Innholdsfortegnelse

Artikkel-utforsker

KI-forordningen artikkel 9: Krav til risikostyring for høyrisiko KI

Artikkel 9 krever et løpende risikostyringssystem for alle høyrisiko KI-systemer. Lær hva systemet må inneholde og hvordan din virksomhet kan oppfylle kravene.

Publisert · Oppdatert · 3 min lesetid

For virksomheter som bruker eller utvikler høyrisiko KI-systemer, er artikkel 9 en av de mest operativt krevende bestemmelsene i KI-forordningen. Den krever et løpende risikostyringssystem — ikke en engangsvurdering, men en kontinuerlig prosess gjennom hele systemets levetid.

Hva krever artikkel 9?

Risikostyringssystemet skal bestå av en kontinuerlig iterativ prosess som planlegges og gjennomføres gjennom hele livssyklusen til KI-systemet. Det skal oppdateres jevnlig og minst inkludere:

  1. Identifisering og analyse av kjente og rimelig forutsigbare risikoer som systemet kan utgjøre for helse, sikkerhet og grunnleggende rettigheter.
  2. Estimering og evaluering av risikoer som kan oppstå når systemet brukes i samsvar med tiltenkt formål — og ved rimelig forutsigbar feilbruk.
  3. Risikoreduserende tiltak som er egnet til å håndtere de identifiserte risikoene.
  4. Testing for å sikre at tiltakene fungerer og at resstrisikoer er akseptable.

Resstrisikoer — altså risikoer som gjenstår etter tiltak — skal kommuniseres tydelig til idriftsetteren.

Hvem gjelder dette?

Artikkel 9 retter seg primært mot leverandører av høyrisiko KI-systemer. Men idriftsettere — som kommuner — har også en rolle: de må bruke systemet i tråd med bruksanvisningen og iverksette tiltak dersom de oppdager nye risikoer etter igangsetting.

For kommuner betyr dette at dere ikke kan kjøpe et høyrisiko KI-system og anta at leverandøren håndterer alt. Kommunen må aktivt følge med på systemets oppførsel og melde fra om avvik.

Praktiske steg for organisasjoner

Basert på kravene i artikkel 9 bør virksomheter som et minimum:

  • Kartlegge alle KI-systemer og avklare om de er høyrisiko (se artikkel 6).
  • Etablere en prosess for løpende risikovurdering — ikke bare ved anskaffelse, men ved oppdateringer, endret bruk og nye data.
  • Dokumentere alle identifiserte risikoer, tiltak og resstrisikoer skriftlig.
  • Teste jevnlig at risikoreduserende tiltak fungerer i praksis.
  • Oppdatere risikostyringssystemet etter hendelser, klager eller endringer i systemet.

Praktisk eksempel

En kommune bruker et KI-system til å identifisere elever med risiko for frafall. Leverandøren har gjennomført en initial risikovurdering. Men etter seks måneder oppdager kommunen at systemet systematisk underidentifiserer elever med norsk som andrespråk.

Kommunen har da plikt til å melde dette til leverandøren. Leverandøren må oppdatere risikostyringssystemet, analysere årsaken og iverksette tiltak — for eksempel forbedret treningsdata eller justerte terskelverdier. Hele prosessen skal dokumenteres.

Kilde: KI-forordningen (EU) 2024/1689; HK-dir Rapport nr. 04/2026.