22 min

    Amerikanske AI-modeller kan stenges for norske SMB-er

    USA har begynt å blokkere utenlandsk tilgang til sine mest avanserte AI-modeller, og EU svarer med egen suverenitetspakke. Her er hva norske SMB-er bør gjøre nå.

    Strategi & Ledelseamerikanske AI-modellerEU AI Act norske bedrifterdigital suverenitet EUAI-tilgang for bedrifterEU AI-autonomi
    Amerikanske AI-modeller kan stenges for norske SMB-er

    Hva økt EU-autonomi i AI faktisk betyr

    I juni 2026 gjorde et amerikansk vedtak noe abstrakt til noe konkret for europeiske bedrifter. USA innførte eksportkontroll som blokkerte utenlandske statsborgere fra å bruke Anthropics mest avanserte modeller, ifølge en rapport fra Bloomberg News gjengitt av Global Banking and Finance. Plutselig var spørsmålet ikke lenger teoretisk: hva skjer med bedriften din den dagen leverandøren i USA ikke lenger får, eller vil, selge til deg?

    Digital suverenitet handler ikke om at Europa skal lage alt selv. Det handler om å ikke være prisgitt beslutninger tatt i Washington eller Beijing. Carnegie Endowment peker på at de reelle hindrene for europeisk AI-lederskap ikke er regulering, men et fragmentert digitalt marked, mangel på risikovillig kapital og avhengighet av utenlandske skyleverandører. Denne artikkelen viser hvor sårbar tilgangen din faktisk er, og hvordan du bygger en plan for leverandøruavhengighet og etterlevelse av AI Act.

    Fra regulering til kappløp om kapasitet

    EU har brukt årene etter 2020 på å bli verdens regulator for AI. Nå skifter tyngdepunktet. Carnegie beskriver en dreining fra en regulatorisk til en innovasjonsdrevet strategi, der EU forsøker å bygge egen kapasitet fremfor bare å skrive regler for andres teknologi. Poenget for en norsk leder er enkelt: både regelverket og infrastrukturen rundt AI er i rask bevegelse, og beslutninger du tar i år bør tåle at bildet endrer seg.

    For SMB-er betyr autonomi-debatten to ting samtidig. Du må forholde deg til nye krav gjennom AI Act, og du må forholde deg til at selve tilgangen til modellene kan bli et geopolitisk forhandlingskort. Begge deler krever at du vet hva du bruker og hvorfor.

    Suverenitet betyr ikke selvforsyning

    Det er lett å lese suverenitet som at Europa skal kutte båndene til amerikansk teknologi. Det er ikke det som skjer. Da Østerrike foreslo å hente Anthropic til Europa, understreket statssekretær Alexander Proell nettopp viktigheten av at Europa ikke blir avskåret fra store innovasjoner. Målet er tilgang på europeiske vilkår, ikke isolasjon.

    For bedriften din er dette gode nyheter og en advarsel på en gang. Du kommer sannsynligvis til å fortsette å bruke amerikanske modeller lenge. Men du bør slutte å behandle den tilgangen som en garanti, og begynne å behandle den som en kontrakt som kan endres på kort varsel.

    Hvorfor 73 prosent av modellene kommer fra USA

    Tallenes tale er tydelig. Siden 2017 har 73 prosent av de grunnleggende AI-modellene kommet fra USA. Når tre av fire modeller som resten av verden bygger på har amerikansk opphav, er ikke avhengigheten en teoretisk risiko, den er utgangspunktet.

    Dette er kjernen i det Alura mener norske SMB-er bør ta på alvor: når så stor del av grunnlaget ligger i USA, bør du vite hvilke modeller du selv er avhengig av, og ha minst ett alternativ klart. Ikke fordi krisen er her, men fordi kartlegging er billig og forsinket kartlegging er dyr.

    Pengene følger USA

    Modelldominansen speiler kapitalstrømmene. 61 prosent av all global AI-finansiering gikk til amerikanske selskaper. Stanford HAIs AI Index for 2026 tallfester gapet enda skarpere: amerikanske private AI-investeringer nådde 285,9 milliarder dollar i 2025, mot 12,4 milliarder dollar i Kina. Når kapitalen samler seg på ett sted, samler talentet og modellene seg der også. Aluras gjennomgang av hvordan Kina strammer inn på AI-startups viser at også andre stormakter bruker regulering som strategisk pressmiddel.

    Infrastrukturen forteller samme historie. USA har ifølge Stanford 5 427 datasentre, mer enn ti ganger noe annet land. Og prestasjonsgapet som lenge skilte amerikanske og kinesiske modeller er i praksis lukket, mens Europa knapt figurerer i toppsjiktet. For en norsk kjøper betyr det at de beste modellene fortsatt kommer utenfra, uansett hva EU gjør de neste årene.

    Europas investeringsgap

    Europa er ikke uten ressurser, men skalaen er en annen. EU tiltrakk seg 8 milliarder dollar i AI-venturekapital i 2023, en brøkdel av de amerikanske tallene. Samtidig bruker bare 11 prosent av europeiske bedrifter AI ifølge samme kilde, mens organisatorisk adopsjon globalt har nådd 88 prosent. Etterspørselen finnes, men det europeiske tilbudet henger etter.

    IndikatorUSAEU / Europa
    Andel grunnleggende modeller siden 201773 %Resten
    Andel global AI-finansiering61 %Lavere
    Private AI-investeringer 2025285,9 milliarder dollarAI-venturekapital 2023: 8 milliarder dollar
    Antall datasentre5 427Langt færre
    Andel bedrifter som bruker AIHøy adopsjon11 %

    Tabellen er ikke ment å skremme, men å forankre en enkel innsikt: avhengigheten av amerikanske modeller er strukturell. Den forsvinner ikke fordi Brussel vedtar en pakke i 2026. Derfor er planen din for uavhengighet et ledelsesansvar, ikke noe du kan vente på at markedet løser.

    Amerikansk eksportkontroll på AI-modeller forklart

    Frem til nylig var eksportkontroll på AI noe som handlet om brikker og maskinvare. Det endret seg. Den amerikanske ordren datert 12. juni blokkerte utenlandske statsborgere fra å få tilgang til Anthropics Fable 5 og Mythos 5, selskapets mest avanserte modeller. Selve programvaren, ikke bare hardwaren, ble et kontrollert gode.

    Hva ordren fra 12. juni gjør

    Kjernen i tiltaket var et forsøk på å blokkere utlendinger fra å bruke Anthropics mest avanserte modeller. For en norsk bedrift som har bygget en arbeidsflyt rundt en toppmodell, er dette scenariet du må kunne overleve: leverandøren finnes fortsatt, men din tilgang til akkurat den beste modellen kan bli begrenset av regler du ikke har innflytelse over.

    Situasjonen var heller ikke statisk. Digi.no meldte 1. juli 2026 at USA åpnet opp for Anthropic igjen, samtidig som europeiske politikere ønsket selskapet velkommen til Europa. Poenget er ikke at døren lukkes for godt, men at den kan lukkes og åpnes raskt. En arbeidsflyt som antar permanent tilgang er sårbar for nettopp denne typen svingninger.

    Hvorfor de mest avanserte modellene er først ute

    Restriksjonene rammet så langt toppmodellene, ikke hele bredden av AI. Det er en viktig nyanse. De fleste norske SMB-er lener seg på modeller som ligger et hakk under absolutt frontlinje, og de var ikke direkte truffet av ordren fra 12. juni. Her mener Alura at panikk-migrering er unødvendig i dag: restriksjonene treffer det mest avanserte sjiktet, og EUs eget svar er tidlig i løpet.

    Men trenden er verdt å følge. Når det mest avanserte sjiktet først gjøres til gjenstand for eksportkontroll, er det rimelig å planlegge for at grensen kan flytte seg. Bedrifter som er avhengige av å ligge helt i front bør ha en tydeligere plan enn de som klarer seg med solide, men ikke ytterste, modeller.

    EUs teknologiske suverenitetspakke og hva den inneholder

    EUs svar på avhengigheten kom i konkret form. Europakommisjonen la 3. juni 2026 frem en teknologisk suverenitetspakke for å styrke kapasiteten innen halvledere, AI, sky og åpen kildekode. Dette er den institusjonelle rammen rundt alt annet i denne artikkelen: EUs forsøk på å bygge et alternativ, ikke bare regulere andres.

    Fire lovforslag i en pakke

    Pakken består av flere deler. Den inneholder en Chips Act 2.0 for spydspiss-halvledere, en Cloud and AI Development Act for å støtte forskning og innovasjon, en åpen kildekode-strategi for å skalere opp åpne alternativer, og et strategisk veikart for digitalisering og AI i energisektoren. Målet, ifølge Kommisjonen, er å gjøre Europa til en global leder innen AI.

    For en SMB er dette langsiktig infrastruktur, ikke noe du tar i bruk på mandag. Men åpen kildekode-sporet er verdt å merke seg: når EU aktivt støtter åpne alternativer, øker sjansen for at du om noen år har europeiske eller åpne modeller som reell backup for de amerikanske.

    AI-fabrikker og superdatamaskiner

    Pengene bak ambisjonene begynner å bli synlige. Carnegie beskriver et investeringsinitiativ på 50 milliarder euro for å løfte europeisk AI-innovasjon, en oppgradering av AI-fabrikker verdt 8 milliarder euro annonsert av von der Leyen, og en grunnfinansiering på 2,1 milliarder euro til AI-fabrikker fra EU og medlemsland. EuropeanRelations teller 15 planlagte AI-fabrikker innen 2025 og ni nye AI-fokuserte superdatamaskiner.

    Skalaen er reell, men den må ses mot de amerikanske tallene lenger opp. Europa bygger, men fra en langt lavere base. Samtidig legger AI beslag på 2,7 prosent av EUs elektrisitetsforbruk gjennom datasentre, en påminnelse om at kapasitet ikke bare er penger, men også strøm og fysisk infrastruktur.

    Forsvars-AI og strategisk autonomi

    Autonomi-debatten er sterkest der innsatsen er høyest. EuropeanRelations beskriver hvordan EU investerer i hjemmelaget forsvars-AI for å redusere avhengighet av USA og Kina, med et europeisk forsvarsfond på over 7 milliarder euro og 8 milliarder euro gjennom 2027. I 2024 gikk 27 prosent av fondets midler til SMB-er, og 31 prosent av 2025-budsjettet til EUDIS-innovasjonstiltak.

    Sivile SMB-er merker lite til dette direkte. Men det forteller noe om alvoret: når EU behandler AI-uavhengighet som et forsvarsspørsmål, er dette ikke en forbigående mote. Retningen er satt for et tiår, og det er den retningen bedriftsstrategien din bør lene seg mot. Vil du forstå grunnlaget bedre, gir Aluras komplette guide til kunstig intelligens for norske bedrifter et bredere bakteppe.

    AI Act og hva EØS forplikter norske bedrifter til

    Mange norske ledere tror AI Act er et EU-anliggende som ikke gjelder Norge. Det er feil, og det er en dyr misforståelse. IT Buddy slår fast at Norge gjennom EØS-avtalen er forpliktet til å implementere AI Act. Loven, formelt forordning 2024/1689, er verdens første helhetlige lov om kunstig intelligens.

    Her står en av Aluras klareste posisjoner: AI Act er ikke valgfritt for norske bedrifter, nettopp fordi EØS-avtalen binder Norge til å innføre den. Du kan mislike regelverket, men du kan ikke velge det bort.

    EØS gjør loven til norsk lov

    Mekanismen er den samme som for GDPR. EØS-avtalen gjør at EU-regelverk på det digitale området blir norsk rett. AI Act gjelder for alle som utvikler, distribuerer eller bruker AI-systemer i EU og EØS, uavhengig av størrelse. En liten bedrift med ti ansatte er ikke unntatt fordi den er liten.

    AI Act trådte i kraft 1. august 2024 og fases inn i etapper. For norske bedrifter er det praktiske spørsmålet ikke om loven gjelder, men når de ulike kravene treffer akkurat din bruk.

    Ekstraterritoriell rekkevidde

    AI Act stopper ikke ved EUs grenser. Advokatfirmaet Bird and Bird understreker at mange av bestemmelsene gjelder uavhengig av om leverandøren er etablert i EU eller i et tredjeland. IBM presiserer at loven også gjelder tilbydere og distributører utenfor EU dersom AI-en eller resultatene brukes i EU.

    Det betyr at ansvaret ikke ligger hos den amerikanske modelleverandøren alene. Bruker du et amerikansk verktøy til å produsere resultater som brukes i det norske markedet, kan du selv være distributør eller ibruktaker med egne plikter. Rollen din i verdikjeden avgjør hvilke krav som treffer deg.

    GPAI-modellene du allerede bruker

    De fleste SMB-er møter AI Act gjennom generell-formål AI, det loven kaller GPAI. IT Buddy nevner at modeller som GPT-4, Claude og Gemini må oppfylle krav til teknisk dokumentasjon, opphavsrett og transparens fra august 2025. Europakommisjonen bekrefter at styringsreglene og forpliktelsene for GPAI-modeller ble gjeldende 2. august 2025.

    Mye av dokumentasjonsbyrden ligger hos modelleverandøren, ikke hos deg. Men du har et ansvar for å vite hva du bruker og til hva. En ny klasse verktøy kompliserer bildet: The Future Society beskriver AI-agenter som kan ta handlinger uavhengig, og konkluderer med at AI Act faktisk gjelder for agenter selv om den ikke opprinnelig ble designet for dem.

    Risikonivåene i AI Act og hvor bedriften din havner

    AI Act er bygget rundt risiko, ikke teknologi. Europakommisjonen definerer fire risikonivåer for AI-systemer, pluss en egen kategori for generell-formål AI. Jo høyere risiko et system utgjør for sikkerhet og grunnleggende rettigheter, jo strengere krav. Den første jobben din er å plassere hver AI-bruk i riktig kategori.

    Fire nivåer pluss GPAI

    Wikipedias oversikt over AI Act deler ikke-unntatte systemer inn i uakseptabel, høy, begrenset og minimal risiko, pluss en tilleggskategori for generell-formål AI. Optro beskriver de samme fire nivåene i praksis. For de fleste SMB-er vil verktøyene lande i begrenset eller minimal risiko, der hovedkravet er transparens.

    RisikonivåHva det betyrTypisk krav
    UakseptabelForbudt praksisIkke tillatt
    HøyKan skade sikkerhet eller rettigheterRisikovurdering, dokumentasjon, menneskelig tilsyn, logging
    BegrensetInteraksjon med menneskerInformasjonsplikt om at det er AI
    MinimalLav risikoIngen særskilte krav
    GPAIGenerell-formål modellerTeknisk dokumentasjon, opphavsrett, transparens

    IBM presiserer et poeng som ofte går tapt: AI-systemer som ikke faller inn under risikokategoriene er ikke underlagt lovens krav. Ikke all AI-bruk utløser plikter. Men du finner ikke ut hvilke som gjør det uten å kartlegge.

    Forbudt praksis

    Noen bruksmåter er rett og slett forbudt. Nemko Digital lister opp sosial poengsetting, biometrisk kategorisering, ustrukturert skraping av ansiktsbilder, emosjonsgjenkjenning på arbeidsplassen og manipulerende AI. Europakommisjonen teller at loven forbyr åtte slike praksiser, og at alle systemer som utgjør en klar trussel mot sikkerhet, levebrød og rettigheter er bannlyst.

    For de fleste norske SMB-er er disse forbudene enkle å etterleve, fordi de sjelden driver med denne typen bruk. Men et system for å analysere ansattes følelser i kundesamtaler, eller automatisk poengsetting av mennesker, kan falle inn under forbudet. Det er verdt en dobbeltsjekk før du kjøper.

    Havner du i høyrisiko?

    Høyrisiko er der byrden blir tung. Legal Nodes forklarer at høyrisiko-systemer må oppfylle kravene i artiklene 8 til 15 gjennom hele livssyklusen, og at distributører må verifisere samsvarsvurdering, teknisk dokumentasjon og CE-merking før et system gjøres tilgjengelig. IT Buddy oppsummerer kravene som risikovurdering, teknisk dokumentasjon, menneskelig tilsyn og logging.

    Høyrisiko treffer typisk AI brukt i rekruttering, kredittvurdering, kritisk infrastruktur eller sikkerhetskritiske produkter. Bilbransjen er et konkret eksempel: den viser hvordan produsenter bør opprette et AI-inventar og klassifisere systemer etter risiko, og at AI Act ikke erstatter eksisterende sikkerhetsrammeverk, men legger et styringslag oppå. Er du usikker: kartlegg først, konkluder etterpå.

    Tidslinjen for AI Act frem mot 2027

    AI Act kommer ikke på en dato, den kommer i bølger. Baker McKenzie oppsummerer at loven trådte i kraft 1. august 2024, men at de fleste bestemmelser først gjelder fra 2. august 2026. Å vite når hver plikt treffer er avgjørende for å planlegge uten å overreagere.

    Datoene som allerede gjelder

    To sentrale datoer er passert. Forbudte praksiser og AI-kompetanseforpliktelser begynte å gjelde 2. februar 2025. Styringsregler og forpliktelser for GPAI-modeller ble gjeldende 2. august 2025. Bruker du en generell-formål modell i dag, er du allerede innenfor et regelverk som er i kraft.

    DatoHva som trer i kraft
    1. august 2024AI Act trer i kraft
    2. februar 2025Forbudt praksis og AI-kompetanse
    2. august 2025Styringsregler og GPAI-forpliktelser
    2. august 2026De fleste øvrige bestemmelser
    2. august 2027Krav for visse eksisterende systemer og GPAI allerede på markedet

    Det som kommer i 2026 og 2027

    Hovedbølgen treffer i 2026. Legal Nodes og Baker McKenzie peker begge på 2. august 2026 som datoen for full anvendelse av de fleste bestemmelser. artificial-intelligence-act.com legger til at merkeplikt for AI-generert innhold, altså vannmerking, har frist 2. desember 2026, og at forpliktelser for frittstående høyrisiko-systemer gjelder fra 2. desember 2027.

    For eksisterende GPAI-modeller er fristen 2. august 2027 for å etterkomme kravene. Leverandører av modeller som allerede var på markedet før august 2025 får altså ekstra tid. Bird and Bird viser at enkelte forpliktelser for høyrisiko-systemer først treffer i 2030, så den fulle innfasingen strekker seg langt forbi 2027.

    Digital Omnibus kan flytte frister

    Regelverket er selv i bevegelse. Baker McKenzie melder at Europakommisjonen 19. november 2025 la frem et forenklingsforslag kalt Digital Omnibus on AI. artificial-intelligence-act.com opplyser at Europaparlamentet godkjente forenklingstiltak 16. juni 2026, med utsettelse av visse forpliktelser for høyrisiko-systemer.

    For deg betyr dette to ting. For det første: noen frister kan bli skjøvet, så panikk fordi en dato nærmer seg er sjelden berettiget. For det andre: du kan ikke basere hele planen på at fristen blir utsatt. Bygg for de gjeldende datoene, og juster hvis forenklingen faktisk lander.

    Botenivåene og hva et brudd faktisk koster

    Kravene har tenner. AI Act opererer med tre botenivåer knyttet til hvor alvorlig bruddet er. Det øverste er reservert for forbudt praksis, det laveste for feilaktig informasjon. Å vite hvor du kan bli truffet, og hvor mye, er en del av risikostyringen.

    Tre botenivåer

    Toppnivået er inntil 35 millioner euro eller 7 prosent av global årsomsetning for brudd på forbudt praksis i artikkel 5, avhengig av hva som er høyest. Wikipedia tallfester de to andre nivåene: inntil 15 millioner euro eller 3 prosent for andre operatørplikter og for GPAI-tilbydere, og inntil 7,5 millioner euro eller 1 prosent for å gi feilaktig, ufullstendig eller villedende informasjon.

    Type bruddMaksbotAndel av global omsetning
    Forbudt praksis (artikkel 5)35 mill. EUR7 %
    Andre operatørplikter og GPAI15 mill. EUR3 %
    Feilaktig informasjon7,5 mill. EUR1 %

    Merk konstruksjonen: boten er den høyeste av et fast beløp eller en prosentandel av omsetningen. For en stor bedrift biter prosentsatsen hardest. For en SMB kan det faste beløpet være det som gjelder, men selv da er tallene store nok til å ta på alvor. Legal Nodes nevner at Italia allerede har innført nasjonale bestemmelser, med en maksimal bot på 774 685 euro under landets AI-lov.

    Samspill med GDPR

    AI Act står ikke alene. Bruker AI-systemet ditt personopplysninger, gjelder også GDPR. Legal Nodes minner om at GDPR har en maksimal bot på 20 millioner euro for brudd knyttet til AI-systemer. To regelverk kan altså treffe samme sak fra hver sin kant.

    Praktisk konsekvens: en AI-løsning som håndterer kundedata må vurderes både mot AI Act og mot GDPR. Det gode er at mye av arbeidet overlapper. Har du allerede orden på personvernet, har du et forsprang på AI Act-dokumentasjonen. Ordentlig datagrunnlag og kontroll på hvor dataene ligger gjør begge deler enklere.

    Kartlegg AI-avhengigheten din før mandag morgen

    Nok teori. Her er den konkrete jobben en leder kan sette i gang med denne uken. Målet er ikke å løse alt, men å fjerne blindsonene: hva bruker vi, hvor kommer det fra, og hva gjør vi hvis tilgangen forsvinner?

    Lag et AI-inventar

    Start med en enkel liste. En god praksis er å opprette et AI-inventar og klassifisere hvert system etter risiko, et råd som gjelder langt utenfor bilbransjen. Skriv ned hvert verktøy, hvilken modell det bygger på, hvem leverandøren er, hvilke data det behandler, og hvilket risikonivå det havner i.

    SpørsmålHvorfor det betyr noe
    Hvilken modell bygger verktøyet på?Avgjør eksponering mot amerikansk eksportkontroll
    Hvem er leverandøren?Avgjør hvem som bærer dokumentasjonsplikten
    Hvilke data behandles?Utløser GDPR ved siden av AI Act
    Hvilket risikonivå?Bestemmer hvilke krav som treffer
    Finnes et alternativ?Måler hvor sårbar du er ved bortfall

    Dette høres banalt ut, men de fleste SMB-er har ikke listen. AI har sneket seg inn via enkeltansatte og løsrevne abonnementer. Uten oversikt kan du verken etterleve AI Act eller vurdere leverandørrisiko.

    Ha minst ett alternativ per modell

    For hver kritiske modell: finnes det et alternativ du kan bytte til uten å bygge alt på nytt? Dette er kjernen i Aluras posisjon om at norske SMB-er bør kartlegge hva de er avhengige av og ha minst ett alternativ klart, når 73 prosent av modellene kommer fra USA. Alternativet trenger ikke være like godt, det trenger å være godt nok til at driften ikke stopper.

    Praktisk betyr det å designe arbeidsflyter som ikke er hardt koblet til en enkelt leverandørs grensesnitt. Jo mer modell-agnostisk oppsettet er, jo lettere er byttet den dagen en eksportkontrollordre eller en prisendring tvinger frem et skifte. Uavhengighet er en arkitekturbeslutning, ikke bare en innkjøpsbeslutning.

    Bygg på egne data

    Den mest robuste posisjonen er når verdien ligger i dine egne data og prosesser, ikke i en spesifikk modell. Da blir modellen en utbyttbar komponent. Retrieval-augmented generation lar deg koble ulike modeller til ditt eget kunnskapsgrunnlag, slik at et modellbytte ikke river bort selve verdien.

    Det samme gjelder automatisering. Robotisert prosessautomatisering og andre prosesslag kan orkestrere hvilken modell som brukes hvor, slik at leverandørbytte blir en konfigurasjonsendring. Vil du forstå modellene bedre før du velger, gir Aluras artikkel om maskinlæring forklart et nyttig fundament.

    Anthropic, Østerrike og kampen om europeisk AI

    Historien om hvordan Europa reagerte på eksportkontrollen er lærerik, fordi den viser både viljen og begrensningene. Da amerikanske restriksjoner traff Anthropics modeller, forsøkte et EU-land å snu problemet til en mulighet.

    Brevet fra Wien

    Østerrike foreslo at EU burde vurdere å huse Anthropic innenfor blokkens grenser. Statssekretær Alexander Proell skrev et brev til EUs teknologikommissær Henna Virkkunen og ba om felles utforskning av strategisk etablering og deltakelse av Anthropic i EU. Forslaget var et direkte svar på de amerikanske forsøkene på å blokkere utlendinger fra selskapets mest avanserte modeller.

    Digi.no beskrev situasjonen 1. juli 2026 som at europeiske politikere sendte brev til EU med ønske om å tilby Anthropic et nytt hjem, mens USA samtidig åpnet opp igjen. Det er en pen illustrasjon av hvor raskt tilgangen kan svinge frem og tilbake.

    Hvorfor det er vanskelig

    Proell selv erkjente skepsis til om tiltaket er mulig, ifølge Global Banking and Finance, og Anthropic svarte ikke umiddelbart på en forespørsel om kommentar. Et amerikansk AI-selskap flytter ikke tyngdepunktet til Europa fordi en østerriksk statssekretær skriver et brev.

    Dette er grunnlaget for Aluras tredje posisjon: panikk-migrering er unødvendig i dag. Restriksjonene rammer så langt de mest avanserte modellene, og EUs eget svar, enten det er suverenitetspakken eller forsøk på å lokke selskaper til Europa, er tidlig i løpet. Du har tid til å planlegge, men ikke til å la være.

    Vanlige feil norske SMB-er gjør akkurat nå

    Etter å ha satt rammene, her er mønstrene som går igjen. Ingen av dem krever et stort budsjett å rette, bare oppmerksomhet.

    Å tro at AI Act ikke gjelder Norge

    Den vanligste feilen er også den dyreste. Fordi Norge ikke er EU-medlem, antar mange at AI Act er irrelevant. Men EØS-avtalen forplikter Norge til å implementere loven, og reglene gjelder uansett hvis resultatene brukes i EU. Å vente på en egen norsk lov før du begynner å forberede deg er å kaste bort tid du kan bruke på kartlegging.

    Å låse seg til en leverandør

    Mange bygger hele arbeidsflyten sin tett rundt en enkelt modell og et enkelt grensesnitt. Det gir kortsiktig enkelhet og langsiktig sårbarhet. Når 73 prosent av modellene kommer fra USA og eksportkontroll allerede har rammet toppmodeller, er hard innlåsing en risiko du velger frivillig. Det gjelder ikke bare USA: Aluras gjennomgang av hvordan Kina strammer inn på AI-startups viser at også andre stormakter bruker regulering som pressmiddel. Modell-agnostisk arkitektur koster litt mer nå og sparer mye senere.

    Panikk-migrering

    Den motsatte feilen er også reell: å rive ut fungerende amerikanske løsninger i frykt for at døren lukkes i morgen. Restriksjonene traff så langt de mest avanserte modellene, ikke bredden. Å bytte til et dårligere alternativ for et problem du ikke har ennå, koster deg konkurransekraft nå. Kartlegg, forbered et alternativ, men ikke migrer i panikk.

    Å ignorere AI-agenter

    En ny risiko vokser stille. The Future Society beskriver AI-agenter som kan ta handlinger uavhengig og automatisere komplekse oppgaver med stor hastighet. Selv om AI Act ikke ble designet med agenter i tankene, gjelder den for dem, men det gjenstår hull som krever ytterligere retningslinjer fra Europakommisjonen. Setter du agenter til å handle på egen hånd, øker både nytten og ansvaret ditt.

    Risikoen er ikke bare regulatorisk. Stanford dokumenterte 362 AI-hendelser i 2025, opp fra 233 året før. Når autonomien øker, øker også antallet ting som kan gå galt. Menneskelig tilsyn er ikke byråkrati, det er driftssikkerhet.

    Ofte stilte spørsmål om AI-tilgang og regulering

    De spørsmålene norske ledere stiller oftest, med korte og etterrettelige svar.

    Gjelder AI Act virkelig for småbedrifter i Norge?

    Ja. AI Act gjelder for alle som utvikler, distribuerer eller bruker AI-systemer i EU og EØS, uavhengig av størrelse, og Norge er forpliktet gjennom EØS-avtalen. Kravene skaleres etter risiko, ikke etter antall ansatte. En liten bedrift med lavrisiko-bruk får lette plikter, men er ikke unntatt.

    Kan USA faktisk stenge oss ute fra AI-modeller?

    Delvis, og det har allerede skjedd i et begrenset tilfelle. Ordren fra 12. juni blokkerte utenlandske statsborgere fra Anthropics mest avanserte modeller. Situasjonen var dynamisk, og USA åpnet senere opp igjen. Konklusjonen: full utestengelse er lite sannsynlig, men begrensninger på toppmodeller er en reell mulighet du bør planlegge for.

    Hvor store er botene egentlig?

    Store. Toppnivået er inntil 35 millioner euro eller 7 prosent av global årsomsetning for forbudt praksis. For andre brudd er taket 15 millioner euro eller 3 prosent, og for feilaktig informasjon 7,5 millioner euro eller 1 prosent, ifølge AI Act. Kommer personopplysninger inn, kan GDPR legge til inntil 20 millioner euro.

    Når må vi være klare?

    Det avhenger av bruken. Forbud og GPAI-krav gjelder allerede, fra henholdsvis 2. februar 2025 og 2. august 2025. De fleste øvrige bestemmelser får full anvendelse 2. august 2026, og enkelte høyrisiko-krav strekker seg til 2027 og senere. Et pågående forenklingsarbeid, godkjent i Europaparlamentet 16. juni 2026, kan flytte noen frister.

    Bør vi bytte til europeiske modeller nå?

    Ikke som hastetiltak. De beste modellene kommer fortsatt fra USA, og europeisk kapasitet, som suverenitetspakken fra 3. juni 2026, er tidlig i løpet. Det fornuftige er å bygge modell-agnostisk, ha et alternativ klart og følge med på når europeiske og åpne alternativer blir gode nok til reell backup.

    Oppsummering og neste steg

    Tilgangen til amerikanske AI-modeller er mer sårbar enn de fleste norske SMB-er tror, men mindre akutt truet enn overskriftene antyder. 73 prosent av modellene kommer fra USA, eksportkontroll har allerede rammet toppmodeller, og AI Act er bindende for Norge gjennom EØS. Samtidig er EUs eget svar tidlig i løpet, og de fleste frister ligger frem i tid.

    Alura mener det riktige svaret verken er panikk eller likegyldighet. Kartlegg hva du er avhengig av, ha minst ett alternativ klart, og behandle AI Act som et faktum du forbereder deg på, ikke et valg du kan utsette.

    Tre ting å gjøre denne uken

    Først: lag AI-inventaret. List hvert verktøy, hvilken modell det bygger på, hvilke data det behandler, og hvilket risikonivå det havner i. Dette er grunnlaget for både leverandøruavhengighet og etterlevelse.

    Deretter: identifiser de kritiske modellene og finn minst ett alternativ per modell. Design arbeidsflytene så modellen kan byttes uten å rive ut verdien, gjerne ved å bygge på egne data. Til slutt: sett en dato i kalenderen for å følge opp AI Act-fristene og suverenitetspakken, så planen holder tritt med et bilde som fortsatt endrer seg. Trenger du et bredere fundament for arbeidet, start med Aluras komplette guide til kunstig intelligens for norske bedrifter.

    I Alura hjelper vi norske bedrifter med å bygge AI-strategi som faktisk lar seg gjennomføre. Vi kombinerer dyp teknisk innsikt med erfaring fra alt fra SMB til enterprise, og leverer veikart som virker i praksis, ikke bare i PowerPoint.

    Bestill en strategiøkt: en halvdags samtale der vi kartlegger virksomhetens AI-modenhet, identifiserer de tre prosessene med størst potensial, og leverer et konkret veikart med budsjettramme. Uforpliktende.

    A

    Alura

    Praktisk kunnskap om AI-automatisering og effektivisering for norske bedrifter.