22 min

    EU AI Act gir bøter på 7 prosent av global omsetning

    EU AI Act er i kraft og bøtene kan nå 7 prosent av global omsetning. Likevel har under 1 prosent av selskaper operasjonalisert ansvarlig AI. Dette bør du gjøre nå.

    Juss & GovernanceEU AI ActAI-reguleringAI-styringansvarlig AIEU AI Act bøterAI governance
    EU AI Act gir bøter på 7 prosent av global omsetning

    Hva EU AI Act er og hvorfor den gjelder norske selskaper

    EU AI Act er verdens første omfattende regulatoriske rammeverk for AI. EU var først i verden med å vedta et helhetlig juridisk regime for kunstig intelligens. Loven ble vedtatt i juni 2024 og trådte i kraft 1. august 2024. I Europaparlamentet ble den vedtatt med 523 stemmer for, 46 mot og 49 avholdende, ifølge registreringen av avstemningen.

    Regelverket kom ikke over natten. Kommisjonen la frem forslaget til AI Act i april 2021, og selve arbeidet startet allerede i 2018 med tre spor: investering, sosioøkonomiske endringer og et etisk og juridisk rammeverk. For norske ledere er poenget enkelt: dette er ferdig lov, ikke et forslag under diskusjon.

    En risikobasert lov bygget på rettighetsvern

    Kjernen i loven er en kombinasjon av risikobasert regulering og et rettighetsbeskyttende konstitusjonelt rammeverk. I praksis betyr det at bruksområder klassifiseres etter hvor stor skade de kan forårsake, og at kravene skjerpes i takt med risikoen. AI-styring, eller AI governance, handler nettopp om å sette opp barrierer som holder AI innenfor juridiske og etiske grenser.

    Loven ble likevel utformet i en pre-generativ AI-kontekst, altså før ChatGPT gjorde generativ AI allemannseie. Den spenningen preger debatten om hvordan reglene skal tolkes, og den er en av grunnene til at håndhevingen fortsatt formes underveis.

    Reglene fases inn over flere år

    AI Act slår ikke inn med full kraft samtidig. Bestemmelsene fases inn over 6 til 36 måneder. Det europeiske AI-kontoret ble opprettet i Kommisjonen i januar 2024, og en praksiskodeks for generell AI ble publisert 10. juli 2025. For høyrisiko-systemer innebygd i regulerte produkter gjelder en utvidet overgangsperiode frem mot 2027.

    Loven oppretter også et europeisk AI-styre som skal fremme nasjonalt samarbeid og sikre etterlevelse. Innfasingen gir pusterom, men den gir også en falsk trygghet: selskaper som venter til siste frist, må bygge styring under tidspress.

    Hvorfor loven treffer norske virksomheter

    Mange norske ledere antar at en EU-forordning ikke angår dem direkte. Det stemmer dårlig. AI Act gjelder ekstraterritorielt for aktører hvis AI-systemer påvirker individer i Europa. Loven forventes å få en betydelig ekstraterritoriell Brussels-effekt, på samme måte som GDPR skapte en Brussels-effekt og inspirerte lignende lover i Storbritannia, Brasil og en rekke amerikanske delstater.

    Konsekvensen er at et norsk selskap som selger eller leverer AI-drevne tjenester inn i det europeiske markedet, eller som behandler data om europeiske individer, i praksis må forholde seg til kravene. Alura mener norske selskaper bør bygge AI-styring før håndhevingen treffer, ikke etter. Det er billigere å bygge orden i forkant enn å rydde opp under et tilsyn.

    Risikonivåene i AI Act fra forbudt til minimal risiko

    AI Act klassifiserer ikke-unntatte AI-anvendelser i fire risikonivåer pluss en egen kategori for generell AI. Jo høyere risiko, desto tyngre krav. Å plassere egne systemer riktig i denne trappen er første skritt mot å vite hvilke forpliktelser som faktisk gjelder.

    RisikonivåBehandling under AI Act
    Uakseptabel risikoForbudt. Praksis ansett som uforenlig med Unionens verdier
    Høy risikoTillatt, men underlagt de tyngste kravene til dokumentasjon og tilsyn
    Begrenset risikoÅpenhetskrav, for eksempel at brukeren vet at den snakker med en AI
    Minimal risikoI hovedsak ingen nye forpliktelser
    Generell AI (GPAI)Egne krav, med strengere regler for modeller med systemisk risiko

    Uakseptabel risiko som er forbudt

    Øverst i trappen ligger bruk som rett og slett er ulovlig. Anvendelser med uakseptabel risiko er forbudt, fordi loven forbyr visse AI-praksiser som anses uforenlige med Unionens verdier. Et konkret eksempel: AI Act forbyr systemer som utleder eller analyserer elevers følelser.

    Dette er kategorien flest norske SMB-er kan avskrive raskt, men ikke uten å sjekke. Verktøy for følelsesgjenkjenning, sosial skåring eller manipulativ profilering kan snike seg inn via tredjepartsleverandører uten at ledelsen er klar over det.

    Høyrisiko der de tyngste kravene ligger

    Det er i høyrisiko-kategorien de fleste etterlevelseskostnadene oppstår. Her ligger AI som brukes i rekruttering, kredittvurdering, utdanning, kritisk infrastruktur og andre områder der feil får store konsekvenser for enkeltmennesker. For systemer innebygd i allerede regulerte produkter gjelder en utvidet overgangsperiode frem mot 2027.

    En analyse av det globale styringslandskapet fra MITs AI Risk Initiative viser at rundt 500 dokumenter retter seg mot AI-utrullere og AI-utviklere. Det forteller noe om hvor tyngdepunktet i reguleringen ligger: hos dem som tar systemene i bruk, ikke bare hos dem som bygger dem.

    Generell AI, begrenset og minimal risiko

    Nederst i trappen ligger begrenset og minimal risiko, der forpliktelsene i hovedsak begrenser seg til åpenhet. En chatbot for kundeservice havner typisk her, forutsatt at brukeren får vite at den snakker med en maskin. De aller fleste interne produktivitetsverktøy faller også i denne enden.

    Generell AI, altså store språkmodeller og lignende, har fått en egen kategori. Kommisjonen publiserte en praksiskodeks for generell AI 10. juli 2025, og loven skiller ut modeller med systemisk risiko basert på en beregningsterskel. For norske selskaper som bygger på leverandørmodeller fra store aktører, er det verdt å merke seg at ansvaret ikke forsvinner: du er utruller, og utrullere har egne plikter.

    Bøtene strekker seg fra 7,5 til 35 millioner euro

    Det er bøtenivået som gjør AI Act til et styresak, ikke bare et compliance-tema. Loven opererer med tre nivåer, og for hvert nivå gjelder det høyeste av et fast beløp og en prosentandel av omsetningen.

    OvertredelseMaks bot
    Brudd på forbudte praksiser (Artikkel 5)35 millioner euro eller 7 prosent av global årsomsetning
    Andre operatørforpliktelser15 millioner euro
    Uriktig eller villedende informasjon7,5 millioner euro

    Tre nivåer etter alvorlighetsgrad

    De alvorligste bruddene er de på forbudene i Artikkel 5. Her kan boten nå 35 millioner euro eller 7 prosent av total verdensomspennende årlig omsetning. For andre operatørforpliktelser er taket 15 millioner euro, og for uriktig, ufullstendig eller villedende informasjon er taket 7,5 millioner euro.

    IBM oppsummerer spennet slik: minimum 7,5 millioner euro og maksimum 35 millioner euro, der taket tilsvarer 7 prosent av verdensomspennende årlig omsetning. Det er en straffeskala som er utformet for å bli følt selv av store konsern.

    Prosent eller fast beløp, det høyeste gjelder

    Mekanismen med prosent av global omsetning er nettopp det som gjør bøtene farlige for store og mellomstore selskaper. For et selskap med milliardomsetning er 7 prosent langt mer enn 35 millioner euro, og det er den høyeste av de to som teller. Modellen er hentet fra samme skole som personvernbøtene: her ble Amazon ilagt en GDPR-bot på nesten en milliard dollar i Luxembourg.

    Til sammenligning gir andre reguleringsregimer langt mildere utfall. Targets oppgjør for et PCI-brudd endte på 20 millioner dollar, og Anthems HIPAA-oppgjør på 16 millioner dollar. AI Act er bygget for å ligge i den øvre enden, ikke den nedre. Selv i forkant, da loven fortsatt var forslag, var det klart at den la opp til bøter på opptil 7 prosent av årlig omsetning.

    Gapet mellom utbredt AI-bruk og umoden styring

    Bøtene er en ting. Realiteten i de fleste virksomheter er en annen: AI er allerede overalt, mens styringen henger langt etter. 88 prosent av organisasjoner bruker AI i minst en forretningsfunksjon, opp fra 78 prosent året før, og 85 prosent har integrert AI i kjerneoperasjoner. Men færre enn 1 prosent har fullt ut operasjonalisert ansvarlig AI.

    Modenheten er tynn selv der prosessene finnes på papiret. 75 prosent har en dedikert AI-styringsprosess, men bare 12 prosent beskriver innsatsen som moden. Kun 29 prosent av organisasjoner har omfattende AI-styringsplaner på plass, og 40 prosent av teknologiledere og ingeniører mener organisasjonens eget styringsprogram er utilstrekkelig.

    Adopsjonen har løpt fra styringen

    Bildet er konsistent på tvers av undersøkelser: selskaper tar i bruk AI raskere enn de klarer å styre den. Bare 34 prosent har strategiske og kontinuerlig forbedrede AI-governance-programmer. Samtidig vokser risikoeksponeringen synlig i markedet. 72 prosent av S&P 500-selskapene opplyste om minst en vesentlig AI-risiko i 2025, opp fra 12 prosent i 2023.

    Den kurven er verdt å dvele ved. På to år er andelen store amerikanske børsselskaper som formelt flagger AI-risiko overfor investorene, seksdoblet. Det er ikke fordi risikoen er ny, men fordi styrene endelig setter ord på den.

    Synlighet er den svake lenken

    Det virkelige problemet er ikke at selskaper bruker AI. Det er at de ikke vet hvor. Bare 25 prosent har omfattende synlighet i ansattes AI-bruk, og svært få ledere er svært trygge på at de har full oversikt over hva som kjører i produksjonsmiljøene sine. En analyse fra Grip Security fant at 23 021 SaaS-applikasjoner opererte utenfor sentralisert IT-synlighet, at gjennomsnittsbedriften drifter 3 891 SaaS- og AI-miljøer, og at organisasjoner i snitt har 139 eller flere AI-aktiverte SaaS-applikasjoner.

    Alura mener at den største governance-risikoen oftere ligger i uoversiktlig tilgang og bruk enn i modellene selv. Det synet deles av dataene: styringssvikt oppstår i økende grad fra spredning i identitet og tilgang, snarere enn fra misbruk av selve modellene. To av tre virksomheter inneholder risikable OAuth-tilgangsområder. Du kan ha verdens beste modellvalg og likevel lekke sensitive data gjennom en glemt integrasjon.

    Når AI skaper juridiske og sikkerhetsmessige hendelser

    Konsekvensene er ikke hypotetiske. 40 prosent av organisasjoner har rapportert unøyaktige AI-utdata det siste året, og 22 prosent har møtt rettskrav knyttet til AI-bruk. På sikkerhetssiden har AI-relaterte angrep økt med nesten 490 prosent fra år til år, og mer enn 80 prosent av SaaS- og AI-hendelser involverte sensitive eller regulerte data.

    Hjemmelagde verktøy bidrar til bildet. 19 prosent av organisasjoner har hatt minst en produksjonshendelse forårsaket av et AI-generert internt verktøy. Kombinasjonen av at mange bruker AI, at få har oversikt, og at hendelsene rammer regulerte data, er akkurat den kombinasjonen AI Act er ment å straffe. Det gjør at 78 prosent av bedrifter er uforberedt på forpliktelsene i EU AI Act til et konkret økonomisk problem, ikke et akademisk et.

    Kartlegg AI-systemene som allerede kjører hos deg

    Før du kan styre noe, må du vite at det finnes. Alura mener at det første praktiske steget er å skaffe oversikt over hvilke AI-systemer som faktisk kjører internt. Det er ikke en policyøvelse, det er en kartleggingsøvelse, og den kommer først.

    Behovet for et register er ikke bare god praksis, det er i ferd med å bli lovpålagt flere steder. I Texas krever House Bill 2060 at statlige etater leverer en inventarrapport over automatiserte beslutningssystemer innen 1. juli 2024. Retningen er tydelig: myndigheter vil vite hvilke systemer som treffer beslutninger, og de forventer at organisasjoner vet det selv.

    Start med et AI-register

    Et AI-register er en levende oversikt over hvert system som bruker AI, hvem som eier det, hvilke data det behandler, og hvilken risikokategori under AI Act det faller i. Uten dette registeret blir enhver risikoklassifisering gjetting. Med det blir de tunge kravene håndterbare, fordi du kan konsentrere innsatsen der høyrisiko faktisk sitter.

    Registeret bør fange både innkjøpte verktøy og egenutviklede. Husk at gjennomsnittsorganisasjonen har 139 eller flere AI-aktiverte SaaS-applikasjoner. Antallet er nesten alltid høyere enn ledelsen tror, og det er nettopp overraskelsen som gjør kartleggingen verdifull.

    Skygge-AI og vibe-kodede verktøy

    Den vanskeligste delen av kartleggingen er alt som ikke gikk gjennom innkjøp. En undersøkelse blant 307 senior teknologi- og sikkerhetsledere fant at 93 prosent er bekymret for vibe-kodede interne verktøy i produksjon, mens svært få rapporterer sterk intern styring med sentraliserte kontroller. Verktøyene gir gevinst: 58 prosent av ledere sier AI-kodeverktøy har hatt en netto positiv effekt på ingeniørteamenes produktivitet. Men 34 prosent sier kodereview-tiden har økt.

    Når du kartlegger, prioriter det ledere selv rangerer høyest. 91 prosent av ledere valgte sikkerhet og datatilgangskontroll som topprioritet for styring av interne verktøy. Det er der skyggen er mørkest, og der en enkelt uautorisert integrasjon kan gjøre mest skade.

    Et rammeverk for AI-styring i fem pilarer

    Når systemene er kartlagt, trenger du en struktur å henge styringen på. AI-styring omfatter retningslinjer, prosedyrer og etiske hensyn for å overvåke utvikling, distribusjon og vedlikehold av AI-systemer. Databricks har utviklet et rammeverk med 43 nøkkelhensyn gruppert i fem pilarer, som gir en konkret sjekkliste å jobbe etter.

    PilarHva den dekker
    AI-organisasjonRoller, ansvar og beslutningsmyndighet
    Juridisk og regulatorisk etterlevelseAI Act, personvern og bransjekrav
    Etikk, transparens og tolkbarhetForklarbarhet, bias og rettferdighet
    Data, AI-ops og infrastrukturDatakvalitet, drift og livssyklus
    AI-sikkerhetTilgangskontroll, angrepsflate og hendelser

    Fra prinsipper til operasjonelle kontroller

    Poenget med et pilarrammeverk er å tvinge styring ut av festtalene og inn i drift. God styring setter opp barrierer som sikrer at AI opererer innenfor juridiske og etiske grenser, og krever ifølge IBM at hver leder, interessent og medarbeider prioriterer ansvarlighet. For norske virksomheter som vil ha en praktisk inngang, har vi samlet erfaringene i vår lederguide for AI-governance og i en gjennomgang av etiske rammeverk for norske virksomheter.

    Datapilaren fortjener ekstra oppmerksomhet, for det er der de fleste kjenner smerten først. 53 prosent av bedriftsarkitekter hadde datapersonvern- og sikkerhetsbrudd som største bekymring. Investeringen lønner seg: 99 prosent av organisasjoner som investerte i personvern og datastyring rapporterer målbare fordeler, og 93 prosent planlegger å investere mer i personvern og datastyring de neste to årene.

    Kompetanse og tillit som konkurransefortrinn

    Styring er ikke bare kontroll, det er også en forutsetning for adopsjon. 80 prosent av forretningsledere ser forklarbarhet, etikk, bias eller tillit som en stor hindring for adopsjon av generativ AI. Organisasjoner som løser dette, kommer lenger: 65 prosent av dem med omfattende styring trener allerede ansatte på AI-verktøy.

    Gevinsten er dokumentert på utfallssiden. Gartner spår at AI-modeller fra organisasjoner som operasjonaliserer transparens, tillit og sikkerhet vil oppnå 50 prosent økning i adopsjon innen 2026. Styring er altså ikke en brems på AI-satsingen, det er det som gjør den bærekraftig.

    Chief AI Officer og spørsmålet om hvem som eier ansvaret

    Et rammeverk uten en eier blir liggende. Derfor har en ny rolle vokst frem raskt: Chief AI Officer. 76 prosent av organisasjoner har nå en Chief AI Officer, opp fra 26 prosent i 2025. Det er en av de raskeste rolleutviklingene på ledernivå på flere år.

    Men tittelen løser ikke ansvarsspørsmålet av seg selv. Ingen enkeltfunksjon eier mer enn en fjerdedel av AI-governance-ansvaret. AI-styring er, som IBM formulerer det, et kollektivt ansvar. Spørsmålet er derfor ikke bare hvem som får tittelen, men hvordan ansvaret koordineres på tvers.

    Fremveksten av Chief AI Officer

    Rollen fyller et reelt tomrom mellom teknologi, juss og forretning. En Chief AI Officer skal se helheten som en CTO, en juridisk direktør og en risikoansvarlig hver for seg bare ser en del av. For en norsk SMB betyr det ikke nødvendigvis en ny heltidsstilling, men det betyr at noen navngitt person må eie oversikten.

    Fremveksten speiler også et bredere skifte. En bredere datadrevet organisasjon er allerede etablert: 70 prosent av selskapene i en HBR-undersøkelse rapporterte at CDO-rollen var veletablert, og 90 prosent sa at investering i data og AI er organisatoriske prioriteringer. Chief AI Officer er neste ledd i den utviklingen.

    Styrets rolle og kompetansehullet

    Ansvaret stopper til slutt i styrerommet, og der er beredskapen svak. 54 prosent av styremedlemmer har ikke trusler fra AI som fast punkt på agendaen. Kompetansen er tynn: svært få styrer vurderer seg selv som å ha sterk AI-ekspertise, mens 40 prosent navngir teknologiske utviklinger, inkludert AI, som den mest utfordrende saken å føre tilsyn med.

    Paradokset er at styrene selv bruker AI før de styrer den. 66 prosent av styremedlemmer bruker allerede AI til styrearbeid, men bare 22 prosent har styringsprosesser for styrets egen AI-bruk. Signalet fra GRC-miljøet er likevel at dette endrer seg: styrer og ledergrupper vil institusjonalisere AI-styring som en kjernekompetanse.

    Kostnaden ved AI-styring og markedet som vokser raskt

    Å bygge styring koster, men markedet forteller at kostnaden er i ferd med å bli en fast post. Det globale markedet for AI-styring vokste fra 0,42 milliarder dollar i 2025 til 0,61 milliarder dollar i 2026, en kraftig årlig vekst. Fremover ventes det å nå 2,63 milliarder dollar i 2030, med fortsatt tosifret årlig vekst.

    ÅrMarkedsstørrelse (AI-styring)
    20250,42 milliarder dollar
    20260,61 milliarder dollar
    20302,63 milliarder dollar

    Markedet for AI-styring vokser i to sifre

    Veksten drives blant annet av at regjeringstiltak for å utnytte AI-teknologi driver markedet. Nord-Amerika var den største regionen i 2025. Store leverandører har posisjonert seg tidlig: IBM lanserte watsonx.governance i november 2023, og Databricks kjøpte MosaicML for 1,3 milliarder dollar i juli 2023. Til sammenligning har Databricks alene over 15 000 kunder.

    Spesifikt for styringsplattformer er tallene også tydelige. Forventet utgift på AI-governance-plattformer i 2026 er 492 millioner dollar, og innen 2030 ventes det å nå 1 milliard dollar.

    Avkastningen på styring

    Kostnaden må veies mot gevinsten, og gevinsten er målbar. Organisasjoner med AI-governance-plattformer er markant mer sannsynlige å oppnå høy effektivitet. Effektive styringsteknologier kan gi en reduksjon i regulatoriske utgifter på rundt 20 prosent. Samtidig er investeringsviljen bred: 67 prosent av forretningsledere øker investeringene i AI.

    En nøktern påminnelse hører likevel med: avkastningen på AI generelt er ikke garantert. Bare 12 prosent av administrerende direktører sier AI har gitt både kostnads- og inntektsfordeler. Styring er ikke det som skaper avkastningen, men det er det som hindrer at en enkelt hendelse spiser den opp. En skjult kostnadsdriver bør også nevnes: tariffer har økt kostnadene for importerte programvareplattformer.

    Regulering utover EU i USA, California og Kina

    AI Act er den mest omfattende loven, men den står ikke alene. For norske selskaper med internasjonal virksomhet er det verdt å forstå at reguleringsbildet er lappeteppe, ikke ett enkelt regelverk. Det er fortsatt ingen bred enighet om graden eller mekanismene for AI-regulering.

    USA uten en samlet føderal lov

    USA mangler fortsatt en helhetlig føderal AI-lov. Landet har ikke implementert omfattende føderal AI-lovgivning, men bygger i stedet et lappeteppe av tiltak. En Executive Order om trygg og pålitelig AI ble utstedt i oktober 2023. Aktiviteten på lavere nivå er intens: amerikanske føderale etater introduserte 59 AI-relaterte reguleringer i 2024, og 700 AI-relaterte lovforslag ble lagt frem på tvers av 45 delstater i 2024.

    Selskapenes egen beredskap henger etter lovgivningen. Bare 38 prosent av amerikanske selskaper har publisert en AI-policy. Blant innbyggerne er presset heller ikke overveldende: 35 prosent av amerikanere mente det var svært viktig for føderale myndigheter å regulere AI.

    California og delstatene tar ledelsen

    Der føderalt nivå nøler, går delstatene foran. Californias Transparency in Frontier Artificial Intelligence Act trer i kraft 1. januar 2026, samme dato som Texas' AI-lov. Texas har allerede innført et krav om inventar over automatiserte beslutningssystemer gjennom House Bill 2060.

    For et norsk selskap som selger inn i USA, betyr dette at etterlevelse ikke er ett spørsmål, men femti. Delstatsnivået er der de konkrete forpliktelsene, som registerkrav og åpenhetsplikter, dukker opp raskest.

    Kina, OECD og den globale Brussels-effekten

    Kina har regulert tidlig og målrettet. Landet lanserte i 2021 både Algorithmic Recommendations Management Provisions og etiske normer for ny generasjons AI. Holdningen i befolkningen skiller seg fra Vesten: 78 prosent av kinesiske borgere var enige i at produkter og tjenester som bruker AI har flere fordeler enn ulemper. Internasjonalt gir OECDs AI-prinsipper fra 2019, oppdatert i mai 2024, en felles referanseramme, og Indias DPDPA ble vedtatt i 2023.

    Det som binder lappeteppet sammen for norske selskaper, er Brussels-effekten. Slik GDPR spredte seg til Storbritannia, Brasil og amerikanske delstater, forventes AI Act å sette standarden andre kopierer. Parallelt pågår en bredere faglig debatt om hvordan AI bør styres demokratisk, blant annet gjennom forslag om samstyring som gir innbyggere reell beslutningsmyndighet.

    Strengere håndheving og hva 2026 bringer

    Retningen for 2026 er klar fra dem som følger feltet tettest. AI-regulering vil forbli uforutsigbar og stadig strengere i 2026, og AI-styring beveger seg fra overordnede prinsipper til håndhevbare regler. Compliance-funksjonen står foran en fundamental omstilling.

    Fra prinsipper til håndhevbare regler

    Presset på compliance-teamene er allerede betydelig. 61 prosent av compliance-team opplever regulatorisk kompleksitet og ressursutmattelse. Et blikk på det globale styringslandskapet forklarer noe av usikkerheten: av hard-lov-dokumentene i MITs datasett er bare 44 prosent faktisk vedtatt, mens 43 prosent er utgått og 12 prosent fortsatt kun er forslag.

    Med andre ord: mye av det som ser ut som lov, er enten forslag eller allerede foreldet. Det gjør at selskaper må styre etter retning og prinsipp, ikke bare etter bokstaven i den til enhver tid gjeldende paragrafen.

    Digital Omnibus og press for å myke opp

    Samtidig som håndhevingen skjerpes, er det press for å justere loven. Rangone peker på bekymringer rundt Digital Omnibus-forslaget, som er en del av en bredere debatt om balansen mellom innovasjon og rettighetsvern. At loven ble utformet i en pre-generativ AI-kontekst, gjør at enkelte krav oppleves som dårlig tilpasset dagens teknologi.

    For norske ledere er lærdommen at detaljene kan endres, men retningen ikke. Alura mener norske selskaper bør bygge AI-styring før håndhevingen treffer, ikke etter. Et selskap som allerede har register, roller og kontroller på plass, tåler regelendringer langt bedre enn et som starter fra null når tilsynet banker på. GRC-miljøet venter da også at styrer institusjonaliserer AI-styring som en kjernekompetanse.

    Vanlige feil norske selskaper gjør i AI-styring

    Feilene går igjen på tvers av bransjer og størrelser. De fleste er ikke tekniske, de er organisatoriske, og de er derfor mulige å rette uten store investeringer.

    Å tro at loven ikke gjelder oss

    Den vanligste feilen er å avfeie AI Act som et EU-anliggende. Men loven gjelder ekstraterritorielt for aktører hvis AI-systemer påvirker individer i Europa. Resultatet av denne feilvurderingen er synlig i tallene: 78 prosent av bedrifter er uforberedt på forpliktelsene i EU AI Act. Å utsette forberedelsene fordi man antar seg utenfor, er en dyr antakelse når bøtetaket ligger på 7 prosent av global omsetning.

    Å styre modellene men ikke tilgangen

    Den nest vanligste feilen er å bruke all energi på modellvalg og prompt-policyer, mens tilgangen står åpen. Det er en feil fordi styringssvikt i økende grad oppstår fra spredning i identitet og tilgang, snarere enn fra misbruk av selve modellene. Med to av tre virksomheter som har risikable OAuth-tilgangsområder, er tilgangskontroll ofte den billigste risikoreduksjonen som finnes. Dette er kjernen i Aluras posisjon om at risikoen oftere ligger i uoversiktlig tilgang enn i modellene selv.

    Policy på papir uten operasjonalisering

    Den tredje feilen er å tro at en vedtatt policy er det samme som styring. Det er den ikke. Færre enn 1 prosent av organisasjoner har fullt ut operasjonalisert ansvarlig AI, og bare 18 prosent har aktiv mitigasjon for de fleste identifiserte risikoene, selv om 58 prosent av ledere tror styringskontrollene holder tritt med adopsjonen. Gapet mellom tro og handling er selve problemet.

    En beslektet feil er å undervurdere agentisk AI. 83 prosent av organisasjoner planlegger å ta i bruk agentisk AI, men bare 31 prosent føler seg fullt utrustet til å sikre systemene, og bare 21 prosent rapporterer en moden modell for agentstyring. Autonome agenter som tar handlinger på egen hånd, forsterker nettopp tilgangsrisikoen. Å vente på perfekt oversikt før man begynner, er også en feil: start med kartleggingen, forbedre etter hvert.

    Ofte stilte spørsmål om EU AI Act

    Her er de spørsmålene norske ledere oftest stiller, med korte og konkrete svar.

    Når trer reglene i kraft?

    AI Act trådte i kraft 1. august 2024, men bestemmelsene fases inn over 6 til 36 måneder. For høyrisiko-systemer i regulerte produkter gjelder en utvidet overgangsperiode frem mot 2027. Loven er altså allerede gjeldende rett, og forpliktelsene slår inn trinnvis frem mot 2027.

    Gjelder loven for norske SMB-er?

    Ja, hvis dere leverer AI-drevne tjenester inn i det europeiske markedet eller behandler data om individer i Europa. Loven gjelder ekstraterritorielt, og forventes å få en bred Brussels-effekt. Selv der loven ikke skulle treffe direkte, blir kravene ofte standard gjennom kunder og leverandører.

    Hvor store er bøtene egentlig?

    For de alvorligste bruddene kan boten nå 35 millioner euro eller 7 prosent av global årsomsetning. For andre forpliktelser er taket 15 millioner euro, og for uriktig informasjon 7,5 millioner euro. Det er alltid det høyeste av fast beløp og en prosentandel av omsetningen som gjelder.

    Hva er det første praktiske steget?

    Kartlegg hvilke AI-systemer som faktisk kjører internt. Det er utgangspunktet fordi bare 25 prosent av organisasjoner har omfattende synlighet i ansattes AI-bruk, og fordi antallet AI-aktiverte SaaS-applikasjoner i snitt er 139 eller flere. Uten oversikt blir all videre styring gjetting. Vår lederguide for AI-governance går gjennom hvordan et slikt register bygges.

    Oppsummering og de neste stegene

    EU AI Act er verdens første omfattende AI-regelverk, den er allerede i kraft, og den treffer norske selskaper ekstraterritorielt. Bøtene på opptil 35 millioner euro eller 7 prosent av global omsetning gjør dette til en styresak. Samtidig er gapet stort: 88 prosent bruker AI, men færre enn 1 prosent har operasjonalisert ansvarlig AI.

    De neste stegene er ikke kompliserte, men de må tas i riktig rekkefølge. Alura mener norske selskaper bør bygge AI-styring før håndhevingen treffer, ikke etter, og at det første praktiske steget er å skaffe oversikt over hvilke AI-systemer som faktisk kjører internt.

    Tre steg for de neste nitti dagene

    Først: kartlegg. Bygg et AI-register som fanger både innkjøpte og egenutviklede systemer, med eier, dataflyt og risikokategori. Dette lukker synlighetsgapet der svært få ledere i dag har full oversikt. Andre steg: klassifiser systemene mot risikonivåene i AI Act, og konsentrer innsatsen der høyrisiko faktisk sitter.

    Tredje steg: fest ansvaret og operasjonaliser. Gi en navngitt eier oversikten, forankre AI som fast punkt i styret der 54 prosent i dag ikke har det på agendaen, og strukturer arbeidet etter et rammeverk som Databricks' fem pilarer. For en dypere gjennomgang av det praktiske, se vår artikkel om ansvarlig AI i praksis. Gevinsten er dokumentert: selskaper med styringsplattformer er markant mer sannsynlige å oppnå høy effektivitet, og styring er billigst når den bygges før tilsynet, ikke etter.

    I Alura kombinerer vi teknisk AI-kompetanse med praktisk forståelse for GDPR, EU AI Act og Datatilsynets forventninger. Vi hjelper norske virksomheter å bygge AI som tåler en revisjon, uten å bremse innovasjonen.

    Bestill en compliance-vurdering: vi kartlegger dine AI-systemer mot gjeldende og kommende krav, og leverer en handlingsplan som faktisk er gjennomførbar. Uforpliktende.

    A

    Alura

    Praktisk kunnskap om AI-automatisering og effektivisering for norske bedrifter.