AI Act trer i kraft: Slik påvirker det oss i Norge

Sigrun Hansen Bock i Tietoevry Tech Services. Foto: Tietoevry

Del

I februar trer de første bestemmelsene i EUs nye KI-regelverk i kraft. Men hva innebærer egentlig AI Act for norske virksomheter, og hvordan bør de gripe det an?

– AI Act er en milepæl som skaper et momentum. Behovet for å vite mer og agere blir presserende, sier Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry Tech Services.

Hun understreker ansvaret som påfaller både leverandører og de som tar KI-teknologien i bruk.

– Det handler om å ta et aktivt grep for å forstå sikkerhetsperspektivet og styre risiko, samtidig som man bevarer innovasjonskraften, sier Wenche Karlstad, Growth Partner Executive, Tietoevry Tech Services.

Hun arbeider blant annet med hvordan man skal utnytte potensialet i KI og implementere ansvarlig KI i det nordiske markedet.

Wenche Karlstad poengterer at Norge er i en tidlig fase med hensyn til den nye KI-reguleringen. Dette er i tråd med EUs implementering av kravsettene i loven fram mot 2026. Foto: Tietoevry

– Det er under arbeid hvilken norsk myndighet som skal ha hovedansvaret for kontroll av KI-systemer. Foreløpig ser vi at industrien og teknologileverandørene trekker lasset, sier Karlstad.

I praksis betyr dette at mange norske virksomheter fortsatt jobber med å utarbeide en tydelig strategi for KI-bruk, hvilken verdiskapning som skal oppnås og hva AI Act vil kreve.

– Dagens virkelighet er preget av eksperimentering og rask innovasjon, det trengs en tydelig felles nasjonal forankring, fortsetter hun.

Balansen mellom innovasjon og ansvar

AI Act er den første europeiske reguleringen som eksplisitt definerer hva et KI-system er, og hvordan det skal brukes. Formålet er å skape klarhet i hva som er akseptabel praksis.

– Regelverket inneholder både forbud mot visse bruksområder og tydelige krav til utviklere og brukere av KI-systemer. Det handler ikke om å hindre innovasjon, men om å beskytte samfunn og individ, forklarer Karlstad.

I tillegg kommer kravet til det som kalles «AI literacy», altså at både utviklere, brukere og beslutningstagere må ha nok kunnskap til å forstå hva en KI-implementering faktisk betyr.

Karlstad påpeker at EU også gjør en rekke tiltak som skal fremme KI-innovasjon:

– EU ønsker å styrke konkurransekraften i Europa mot USA og Kina. Tydelige regler bidrar til at virksomheter tør å satse på KI uten å frykte at de trår feil.

Tre hovedutfordringer

– I regulerte bransjer som finans og energi finnes allerede gode rutiner for etterlevelse, slik at bedrifter lett kan koble KI til eksisterende verktøy, sier Sigrun Hansen Bock. Foto: Tietoevry

Karlstad og Bock trekker fram tre sentrale områder norske virksomheter må ha kontroll på:

Bias og personvern

– Skjevheter i datagrunnlaget kan føre til diskriminerende effekter. Vi snakker om alt fra ansettelsesprosesser til bankenes kredittmodeller. Derfor er det avgjørende å teste og validere KI-modellene, sier Karlstad.

Sikkerhet og personvern

– Dersom man ikke har kontroll på virksomhetens data fra starten av, kan KI-implementering øke risikoen for brudd på personvern og datasikkerhet. Dette er særlig kritisk i bransjer som helse, som håndterer svært sensitive data, sier Bock.

Menneskelig oversyn

– KI skal ikke være så autonomt at det tar beslutninger på våre vegne, påpeker Karlstad; – Regelverket slår fast at systemene kan komme med prediksjoner og forslag, men at mennesker må ta den endelige beslutningen.

Lederansvar kan ikke delegeres

Et sentralt punkt i den nye reguleringen er at ansvaret legges direkte på styre og ledelse. Brudd på regelverket kan føre til strenge sanksjoner på toppnivå.

EUs AI Act innføres gradvis fra februar 2025. <i>Foto: Rico Ködder/Colourbox</i>

EUs AI Act innføres gradvis fra februar 2025. Foto: Rico Ködder/Colourbox

– Fra et ansvarsperspektiv er det viktig at beslutningstakere forstår at hvis de utvikler eller bruker KI-systemer, må de kunne forklare og forsvare hvordan systemene fungerer. Dette kan ikke bare overlates til en teknisk avdeling, sier Karlstad.

I praksis betyr det at ledelsen må involvere seg i alt fra datainnsamling og treningsprosesser til hvilken forretningsverdi KI skal skape.

– Moderne europeisk lovgivning viser en klar tendens: Ledere kan ikke lenger si at «dette fikser IT». De må selv ta ansvar for teknologien, understreker Bock.

Vis mer

Må finne en balanse

Bock understreker at den første milepælen i februar 2025 bare er begynnelsen. AI Act vil innføres trinnvis, og teknologien selv utvikler seg i rasende fart.

– Det holder ikke bare å lage dokumenter. Et godt styringssystem handler om å følge opp og oppdatere rutinene kontinuerlig, og praktisere disse, sier Wenche Karlstad. Foto: Tietoevry

– Vi må finne en balanse: Det er enorme muligheter, men også tydelige risikoer. Når virksomheter forstår risiko bedre, kan de trygt demokratisere KI-bruken. På den måten kan flere dra nytte av teknologien, med færre feilskjær.

Karlstad mener dette også er en mulighet for Norge og Europa til å ta en lederrolle på ansvarlig KI:

– EUs regulering kan ved første øyekast virke streng, men det gir samtidig en anledning til å bygge tillit. Klarer vi å kombinere innovasjon med etisk forankring og datasikkerhet, kan vi skape en bærekraftig konkurransekraft i Europa.