KI-loven, KI-forordningen og AI Act: forskjellen forklart

Kort svar: Det er i praksis samme regelverk. «AI Act» er EUs navn, «KI-forordningen» er den norske betegnelsen på EU-rettsakten, og «KI-loven» er navnet på den norske gjennomføringsloven. Nkom bruker aktivt «KI-loven» i sin kommunikasjon. For norske virksomheter er det KI-loven som blir direkte bindende — men innholdet kommer fra AI Act.

---

Tre begreper, én regulering

Det kan virke forvirrende at samme regelverk omtales med ulike navn. Her er oversikten:

AI Act er det uformelle navnet på forordning (EU) 2024/1689 om kunstig intelligens. Det er EU-rettsakten vedtatt av Europaparlamentet og Rådet. Den fulle tittelen er «Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence». AI Act brukes i internasjonal faglitteratur, av EU-kommisjonen og i engelskspråklige kilder.

KI-forordningen er den norske betegnelsen på samme EU-rettsakt. Begrepet brukes i norsk juridisk faglitteratur, av Lovdata, og i fagartikler som Vanebo i Lov & Data 2025 nr. 2 og Arnesen i Lov & Data 2024 nr. 2. «Forordning» viser til at det er en EU-rettsakt som gjelder direkte i medlemsstatene — og som via EØS-avtalen også vil gjelde i Norge.

KI-loven er navnet som brukes om den norske gjennomføringsloven. Nasjonal kommunikasjonsmyndighet (Nkom) bruker aktivt «KI-loven» i sin kommunikasjon og beskriver den som Norges gjennomføring av EUs AI Act. Regjeringen bruker også «lov om kunstig intelligens» og «KI-loven» i offentlig kommunikasjon. Vanebo (Lov & Data 2025 nr. 2 s. 22) bekrefter at EU-rettsakten «etter planen [skal] bli gjennomført i norsk rett sommeren/høsten 2026».

---

Hvordan blir EU-reglene til norsk lov?

AI Act er en EU-forordning. Forordninger gjelder direkte i EUs medlemsstater, men Norge er ikke EU-medlem — Norge er med i EØS-avtalen. Det betyr at forordningen må innlemmes i EØS-avtalen og gjennomføres i norsk rett gjennom en egen lov.

Personopplysningsloven er et godt eksempel på hvordan dette fungerer: GDPR (forordning (EU) 2016/679) ble gjennomført i norsk rett gjennom personopplysningsloven § 1, som sier at GDPR «gjelder som lov» i Norge.

KI-loven vil følge samme modell. Når den norske gjennomføringsloven vedtas, vil AI Act gjelde som norsk lov — med de tilpasninger som følger av EØS-avtalen.

EØS-loven § 2 fastslår at bestemmelser som tjener til å oppfylle Norges EØS-forpliktelser «i tilfelle konflikt» skal gå foran andre norske bestemmelser som regulerer samme forhold. Dette betyr at KI-loven vil ha forrang der den kolliderer med eksisterende norsk lovgivning.

---

Hva gjelder allerede?

Selv om den norske KI-loven ikke er vedtatt per april 2026, har AI Act allerede begynt å gjelde i EU:

• 2. februar 2025: Forbud mot uakseptabel risiko-KI og krav om KI-kompetanse (artikkel 4) trådte i kraft i EU.
• 2. august 2025: Regler for KI-modeller for generelle formål (GPAI) begynte å gjelde.
• 2. august 2026: Hoveddelen av forordningen, inkludert plikter for idriftsettere (artikkel 26) og høyrisiko-krav, trer i kraft.

For norske virksomheter betyr det at selv om KI-loven formelt sett ikke gjelder ennå, er det all grunn til å forberede seg. Digitaliseringsrundskrivet D-2025-2 fra Digitaliserings- og forvaltningsdepartementet sier eksplisitt at offentlige virksomheter «bør forberede seg på hvilken virkning ikrafttredelse av KI-forordningen i Norge har for virksomheten» (pkt. 1.3).

---

Hvilket begrep bør norske virksomheter bruke?

I praksis vil dere møte alle tre begrepene. Vår anbefaling:

Bruk «KI-loven» når dere snakker om hva som gjelder i Norge — det er begrepet Nkom og regjeringen bruker, og det er trolig det de ansatte og ledelsen vil kjenne igjen.

Bruk «KI-forordningen» når dere refererer til spesifikke artikler og plikter — det er det juridiske begrepet som brukes i faglitteratur og på Lovdata.

Bruk «AI Act» når dere kommuniserer internasjonalt eller leser EU-kilder.

---

Hva betyr dette i praksis?

Uavhengig av hvilket begrep dere bruker, er pliktene de samme. For norske virksomheter som bruker KI-systemer, er de viktigste:

Artikkel 4 — KI-kompetanse: Alle organisasjoner som bruker KI-systemer skal sørge for tilstrekkelig KI-kompetanse hos personell. Vanebo bekrefter at plikten gjelder «uavhengig av risikonivå» og er «en mer kontinuerlig forpliktelse» (Lov & Data 2025 nr. 2 s. 24–25). Det betyr at den gjelder også for ChatGPT, Copilot og andre lavrisiko-verktøy.

Artikkel 26 — Idriftsetteres plikter: Organisasjoner som bruker høyrisiko-KI-systemer har plikter knyttet til menneskelig tilsyn, risikovurdering, logging og overvåking. Arnesen (Lov & Data 2024 nr. 2 s. 10–11) bekrefter at «både tilbyder og bruker kan bøtelegges, og holdes ansvarlig, for brudd på KI-forordningen».

Artikkel 27 — Vurdering av grunnleggende rettigheter (FRIA): Offentlige virksomheter og private som yter offentlige tjenester må vurdere konsekvensene for grunnleggende rettigheter før de tar i bruk høyrisiko-KI-systemer.

Selv uten KI-loven har norske virksomheter allerede kartleggingsplikter via GDPR artikkel 24, 30 og 32 — man kan ikke oppfylle kravene til egnede tiltak, protokollføring og sikkerhet uten å vite hvilke KI-systemer som brukes. Likestillings- og diskrimineringsloven § 26 pålegger dessuten arbeidsgivere å kartlegge risiko for diskriminering, noe som direkte omfatter KI-verktøy brukt i rekruttering eller vurdering.

---

---

Rettskilder brukt i denne artikkelen

• Forordning (EU) 2024/1689 (AI Act) artikkel 3, 4, 26, 27
• Personopplysningsloven § 1 (gjennomføring av GDPR i norsk rett)
• EØS-loven § 2 (forrang ved konflikt)
• GDPR artikkel 24, 30, 32
• Likestillings- og diskrimineringsloven § 26 (arbeidsgivers aktivitetsplikt)
• Digitaliseringsrundskrivet D-2025-2 pkt. 1.3 (27. mai 2025)
• Vanebo, Ove André: «KI-forordningens krav om å sikre kompetanse innenfor kunstig intelligens», Lov & Data 2025 nr. 2 s. 22–25 (LoD-2025-162-22)
• Arnesen, Lars: «KI-forordningen: Klassisk produktregulering i møte med grunnleggende rettigheter», Lov & Data 2024 nr. 2 s. 9–12 (LoD-2024-158-9)