Regelverk
KI-forordningen artikkel 4: Kravet til KI-kompetanse alle må oppfylle
Artikkel 4 krever at alle som jobber med KI-systemer har tilstrekkelig KI-kompetanse — uavhengig av risikonivå. Her er hva kravet betyr i praksis for norske virksomheter.
De fleste snakker om høyrisikokrav, FRIA og bøter når de diskuterer KI-forordningen. Men det er én bestemmelse som gjelder alle — uavhengig av om KI-systemet er høyrisiko eller ikke: artikkel 4 om KI-kompetanse.
Artikkel 4 krever at leverandører og idriftsettere av KI-systemer sørger for at personell som er involvert i drift og bruk av KI-systemer har tilstrekkelig KI-kompetanse. Det gjelder den lille kommunen som bruker en chatbot like mye som den store leverandøren som utvikler rekrutteringsverktøy.
Hva krever artikkel 4?
Artikkel 4 sier at leverandører og idriftsettere av KI-systemer skal treffe tiltak for å sikre, i størst mulig grad, at personell og andre personer som på deres vegne er involvert i drift og bruk av KI-systemer, har tilstrekkelig KI-kompetanse. Kompetansenivået skal ta hensyn til:
- Personellets tekniske kunnskap, erfaring, utdanning og opplæring
- Den konteksten KI-systemene brukes i
- Hvem som blir berørt av systemene
Det sentrale begrepet er «KI-kompetanse» (AI literacy). Forordningen definerer det i artikkel 3 nr. 56 som ferdigheter, kunnskap og forståelse som gjør det mulig for leverandører, idriftsettere og berørte personer å ta informerte beslutninger om KI-systemer — med bevissthet om mulighetene og begrensningene, og de potensielle konsekvensene av bruk.
Kilde: KI-forordningen (EU) 2024/1689, artikkel 4 og artikkel 3 nr. 56; fortale punkt 20.
Hvem gjelder kravet for?
Artikkel 4 har det bredeste virkeområdet av alle bestemmelsene i forordningen:
| Hvem | Eksempler | Gjelder? |
|---|---|---|
| Leverandører av KI-systemer | Microsoft, OpenAI, norske software-selskaper | ✅ |
| Idriftsettere av høyrisiko KI-systemer | Kommuner med rekrutteringsverktøy, helseforetak | ✅ |
| Idriftsettere av KI-systemer med minimal risiko | En bedrift som bruker ChatGPT, stavekontroll med KI | ✅ |
| Ansatte som bruker KI i jobben | Saksbehandlere, HR-medarbeidere, lærere | ✅ |
| Ledere som tar beslutninger om KI-anskaffelse | Kommunaldirektører, IT-sjefer, personalledere | ✅ |
Merk: kravet retter seg mot virksomheten (leverandøren eller idriftsetteren), ikke den enkelte ansatte. Det er virksomhetens ansvar å sørge for at personellet har tilstrekkelig kompetanse.
Sammenlign dette med pliktene for idriftsettere av høyrisikosystemer i artikkel 26, som stiller ytterligere krav til opplæring og kompetanse for personer som utfører menneskelig tilsyn.
Kilde: KI-forordningen artikkel 4; Lov&Data — KI-forordningens krav om å sikre kompetanse.
Hva betyr «tilstrekkelig KI-kompetanse» i praksis?
Forordningen definerer ikke en eksakt pensumliste. Det er med vilje — kompetansebehovet varierer etter rolle og kontekst. Men fortale punkt 20 og definisjonene gir tydelige føringer:
Det handler ikke om formell utdanning
Artikkel 4 krever ikke at alle ansatte tar et KI-kurs med eksamen. Kravet er at de kan ta informerte beslutninger om KI-systemer — det vil si at de forstår:
- Hva et KI-system gjør (og ikke gjør)
- Hvilke begrensninger og feilkilder systemet har
- Når de bør stole på systemets output og når de bør være skeptiske
- Hvem de skal varsle hvis noe går galt
Kompetansenivået skal tilpasses
En saksbehandler som bruker et KI-verktøy trenger annen kompetanse enn en IT-sjef som beslutter anskaffelse. Artikkel 4 sier eksplisitt at kompetansenivået skal vurderes ut fra personens rolle, tekniske bakgrunn og konteksten systemet brukes i.
Konkrete eksempler på hva det kan innebære
For en kommune som bruker Microsoft Copilot:
- Ansatte forstår at Copilot kan hallusinere (generere feilaktig informasjon)
- Ansatte vet at de alltid skal kontrollere Copilots output mot primærkilder
- Ledere forstår at Copilot brukt til saksbehandling kan utløse høyrisikokrav
- IT-avdelingen kan vurdere personvernrisiko ved ny KI-funksjonalitet
For et helseforetak som bruker KI-diagnostikk:
- Klinikere forstår modellens begrensninger og feilrater
- Klinikere vet at KI-resultater er beslutningsstøtte, ikke diagnoser
- Ledelsen forstår dokumentasjonskravene for høyrisikosystemer
For en privat bedrift som bruker KI-basert rekruttering:
- HR-ansatte forstår hva KI-rangering av kandidater betyr
- HR-ansatte vet at de har plikt til menneskelig tilsyn
- Ledelsen forstår at systemet er høyrisiko og krever dokumentasjon
Kilde: KI-forordningen fortale punkt 20; artikkel 3 nr. 56.
Artikkel 4 vs. artikkel 26 — hva er forskjellen?
Det er lett å forveksle kompetansekravet i artikkel 4 med opplæringskravene i artikkel 26. Her er forskjellen:
| Artikkel 4 | Artikkel 26 | |
|---|---|---|
| Gjelder for | Alle KI-systemer | Kun høyrisiko KI-systemer |
| Hvem | Alle leverandører og idriftsettere | Kun idriftsettere |
| Hva kreves | Tilstrekkelig KI-kompetanse tilpasset rolle og kontekst | Opplæring av personer som utfører menneskelig tilsyn |
| Nivå | Generell forståelse — informerte beslutninger | Spesifikk opplæring i det konkrete systemets funksjon og begrensninger |
| I kraft i EU | 2. februar 2025 | Foreslått utsatt til des. 2027 |
Artikkel 4 er bunnlinjen — minimumskravet for alle. Artikkel 26 legger på et ekstra lag for de som driver høyrisikosystemer.
I praksis betyr det at en kommune som bruker et høyrisiko KI-system (for eksempel et rekrutteringsverktøy) må oppfylle begge: generell KI-kompetanse for alle ansatte som er involvert (artikkel 4) og spesifikk opplæring for de som utfører menneskelig tilsyn over det konkrete systemet (artikkel 26).
Når trer kravet i kraft?
I EU gjelder artikkel 4 fra 2. februar 2025 — det er allerede i kraft.
For Norge avhenger ikrafttredelsen av KI-loven, som er forsinket. Men uavhengig av eksakt dato: virksomheter som ikke har begynt å bygge KI-kompetanse, bør starte nå. Det tar tid å kartlegge behov, utvikle opplæringsplaner og gjennomføre opplæring for alle relevante ansatte.
Se KI-forordningen tidslinje for alle frister.
Praktisk veiledning: Slik oppfyller du kravet
Steg 1: Kartlegg hvem som bruker KI
Start med å identifisere alle ansatte og roller som er involvert i drift og bruk av KI-systemer. Bruk KI-Krav for å kartlegge hvilke systemer virksomheten bruker.
Steg 2: Vurder kompetansegap
For hver rolle: hva trenger denne personen å forstå for å ta informerte beslutninger om KI-systemet de bruker? En enkel matrise kan hjelpe:
| Rolle | KI-system | Nødvendig kompetanse | Har i dag? |
|---|---|---|---|
| Saksbehandler | Copilot | Hallusinering, kildekontroll, personvern | ❌ |
| HR-leder | Rekrutteringsverktøy | Høyrisiko-krav, tilsyn, diskriminering | ❌ |
| IT-sjef | Alle systemer | Risikoklassifisering, leverandørkrav, logging | Delvis |
| Kommunaldirektør | — | Overordnet ansvar, ressursallokering | ❌ |
Steg 3: Gjennomfør tilpasset opplæring
Opplæringen trenger ikke være dyr eller komplisert. Det viktige er at den er tilpasset rollen og dokumentert:
- Grunnkurs (alle): Hva er KI? Hva kan gå galt? Hva er virksomhetens retningslinjer?
- Rollespesifikk opplæring: Hva betyr KI for din arbeidshverdag? Hvordan bruker du dette systemet riktig?
- Lederkurs: Juridiske plikter, risikoklassifisering, økonomi, bøter
- Spesialisert opplæring (høyrisiko): Menneskelig tilsyn, FRIA-prosessen, hendelsesrapportering
Steg 4: Dokumenter
Dokumenter hvem som har fått opplæring, hva opplæringen inneholdt og når den ble gjennomført. Dette er ikke et eksplisitt krav i artikkel 4, men det er den eneste måten å bevise etterlevelse ved et eventuelt tilsyn.
Compliance-dokumentasjon, inkludert opplæringsplaner og gjennomføringsbevis, kan deles med tilsynsmyndigheter og revisorer gjennom sikre delingsverktøy som envei.no.
Hva er konsekvensene av manglende KI-kompetanse?
Artikkel 4 håndheves gjennom forordningens generelle sanksjonsbestemmelser. Brudd på artikkel 4 faller i den laveste bøtekategorien — opptil 7,5 millioner euro eller 1 % av global årsomsetning.
Men konsekvensene av manglende KI-kompetanse er ofte indirekte og verre enn selve boten:
- En saksbehandler som ikke forstår KI-verktøyets begrensninger, tar feil beslutning
- Et helseforetak som ikke trener klinikere på KI-diagnostikk, risikerer feilbehandling
- En kommune uten KI-retningslinjer treffer Politihøgskolens skjebne — hallusinasjoner oppdages ikke
KI-kompetanse er ikke bare et juridisk krav. Det er en forutsetning for at KI-systemer brukes trygt og riktig. Uten kompetanse bryter de øvrige kravene i forordningen — menneskelig tilsyn, datakvalitet, transparens — sammen.
Ofte stilte spørsmål
Gjelder artikkel 4 også for KI-systemer med minimal risiko? Ja. Artikkel 4 gjelder for alle KI-systemer, uavhengig av risikoklassifisering. Selv en virksomhet som kun bruker KI-systemer med minimal risiko (for eksempel stavekontroll, spamfilter) skal sikre tilstrekkelig KI-kompetanse hos personell som er involvert i drift og bruk.
Hva er forskjellen mellom KI-kompetanse (artikkel 4) og menneskelig tilsyn (artikkel 14)? KI-kompetanse (artikkel 4) handler om generell forståelse og evne til å ta informerte beslutninger. Menneskelig tilsyn (artikkel 14) handler om konkret overvåking og inngripen i et spesifikt høyrisiko KI-system. Kompetanse er grunnlaget — tilsyn er den operative kontrollen.
Krever artikkel 4 formell sertifisering eller eksamen? Nei. Forordningen stiller ikke krav om formell sertifisering. Kravet er at personellet har «tilstrekkelig» kompetanse tilpasset rolle og kontekst. Det kan oppfylles gjennom intern opplæring, workshops, retningslinjer eller andre egnede tiltak.
Hvem har ansvaret for å sikre KI-kompetanse — virksomheten eller den ansatte? Virksomheten. Artikkel 4 retter seg mot leverandører og idriftsettere, ikke mot enkeltpersoner. Det er virksomhetens ansvar å treffe tiltak for å sikre at personellet har tilstrekkelig kompetanse.
Når trer kravet i kraft i Norge? Artikkel 4 gjelder i EU fra 2. februar 2025. For Norge avhenger ikrafttredelsen av KI-loven, som er noe forsinket. Det er likevel sterkt anbefalt å starte arbeidet med KI-kompetanse nå.
Hva skjer hvis vi allerede har GDPR-opplæring — dekker det artikkel 4? Delvis. GDPR-opplæring dekker personvernaspektet, men KI-kompetanse er bredere. Det inkluderer forståelse av KI-systemers funksjon, begrensninger, feilkilder og potensielle konsekvenser utover personvern. Ved bruk av verktøy som sladd.no for anonymisering og personvern i KI-kontekst, er det nyttig at ansatte forstår samspillet mellom GDPR og KI-regelverket.
Gjelder artikkel 4 for folkevalgte og kommunestyremedlemmer? Forordningen sier «personell og andre personer som på deres vegne er involvert i drift og bruk av KI-systemer». Folkevalgte som tar beslutninger om anskaffelse av KI-systemer kan omfattes. I praksis bør kommuner sørge for at relevante beslutningstakere har en grunnleggende forståelse av KI og forordningens krav.
KI-kompetanse er grunnmuren under hele KI-forordningen. Uten kompetanse fungerer hverken menneskelig tilsyn, FRIA-vurderinger eller risikostyring i praksis. Start med å kartlegge hvem som bruker KI i virksomheten, og sørg for at de forstår hva de holder i hendene.
Denne artikkelen gir generell informasjon om KI-forordningen artikkel 4 og er ikke juridisk rådgivning. For juridisk veiledning, kontakt advokat med kompetanse på teknologiregulering.
Kilde: KI-forordningen (EU) 2024/1689, artikkel 3 nr. 56, artikkel 4, fortale punkt 20; Lov&Data — KI-forordningens krav om å sikre kompetanse innenfor kunstig intelligens; HK-dir Rapport nr. 04/2026; Nkom.no.
Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no