Regelverk
KI-forordningen roller: Leverandør, idriftsetter, importør og distributør
Hvem gjelder KI-forordningen for? Forstå de fire rollene — leverandør, idriftsetter, importør og distributør — og hvilke plikter som følger med hver rolle.
KI-forordningen gjelder ikke bare «KI-selskaper». Den gjelder alle som har en rolle i livssyklusen til et KI-system — fra den som utvikler det til den som bruker det i daglig drift.
Forordningen definerer fire hovedroller, og pliktene avhenger av hvilken rolle din virksomhet har. Denne artikkelen forklarer hver rolle, hvordan du finner ut hvilken som gjelder deg, og hva det betyr i praksis.
De fire rollene
Leverandør (provider)
Definisjon: En fysisk eller juridisk person som utvikler et KI-system, eller som får et KI-system utviklet, og som gjør det tilgjengelig på markedet eller tar det i bruk under eget navn eller varemerke.
I praksis: Leverandøren er den som «eier» KI-systemet og setter det på markedet. Det er den som står bak produktet.
Eksempler:
- Microsoft (Copilot, Azure OpenAI Service)
- OpenAI (ChatGPT)
- Google (Gemini)
- Et norsk software-selskap som utvikler et rekrutteringsverktøy med KI-scoring
- Et konsulentselskap som bygger en KI-basert saksbehandlingsmodul for kommuner
Plikter for leverandører av høyrisikosystemer:
- Etablere risikostyringssystem
- Sikre datakvalitet i trenings- og testdata
- Utarbeide teknisk dokumentasjon
- Sikre transparens — brukerveiledning og informasjon om begrensninger
- Legge til rette for menneskelig tilsyn
- Samsvarsvurdering og CE-merking
- Registrering i EUs KI-database
- Overvåking etter at systemet er satt på markedet
- Rapportering av alvorlige hendelser
Leverandøren har de mest omfattende pliktene under forordningen.
Kilde: KI-forordningen artikkel 3(3) og artikkel 8-25.
Idriftsetter (deployer)
Definisjon: En fysisk eller juridisk person som bruker et KI-system under egen myndighet — med unntak av personlig, ikke-profesjonell bruk.
I praksis: Idriftsetteren er den som tar et ferdig KI-system i bruk i sin virksomhet. Du trenger ikke utvikle eller endre systemet for å være idriftsetter — det holder å bruke det.
Eksempler:
- En kommune som bruker Teamtailor med AI-rangering til rekruttering
- Et helseforetak som bruker KI-basert diagnostikk
- En skole som bruker Turnitin AI Detection for fuskkontroll
- En statsetat som bruker Copilot til saksbehandling
- En privat bedrift som bruker KI-verktøy til kredittvurdering
Plikter for idriftsettere av høyrisikosystemer:
- Bruke systemet i samsvar med brukerveiledningen
- Sørge for menneskelig tilsyn av kvalifiserte personer
- Sikre at inndata er relevante for systemets formål
- Overvåke systemet i drift og rapportere hendelser
- Oppbevare automatiske logger
- Informere ansatte om at KI brukes
- Informere berørte enkeltpersoner om KI-baserte beslutninger
- Gjennomføre FRIA-vurdering (pålagt for offentlige virksomheter)
- Registrere bruk i EUs KI-database (offentlige virksomheter)
Se den fullstendige gjennomgangen av idriftsetterplikter i artikkel 26.
For de fleste norske virksomheter er dette den relevante rollen. Kommuner, statsetater, helseforetak, skoler og private virksomheter som bruker KI-systemer i sin drift er idriftsettere.
Kilde: KI-forordningen artikkel 3(4) og artikkel 26-29.
Importør
Definisjon: En fysisk eller juridisk person som er etablert i EU/EØS og som gjør et KI-system fra et tredjeland tilgjengelig på EU/EØS-markedet.
I praksis: Importøren er mellomledd mellom en leverandør utenfor EU/EØS og det europeiske markedet. Rollen er relevant der KI-systemer produseres utenfor EU (f.eks. i USA, Kina eller Israel) og gjøres tilgjengelig i Europa av et lokalt selskap.
Eksempler:
- Et norsk selskap som distribuerer et amerikansk KI-verktøy til norske kunder
- En europeisk forhandler av kinesisk-utviklet ansiktsgjenkjenningsteknologi
Plikter:
- Sikre at leverandøren har gjennomført samsvarsvurdering
- Kontrollere at teknisk dokumentasjon foreligger
- Kontrollere at systemet har CE-merking
- Ikke gjøre systemet tilgjengelig hvis det ikke oppfyller kravene
- Informere tilsynsmyndigheten ved mistanke om manglende samsvar
For de fleste norske virksomheter er denne rollen ikke relevant. Den gjelder primært selskaper som aktivt markedsfører og videreselger KI-systemer fra land utenfor EU/EØS.
Kilde: KI-forordningen artikkel 3(6) og artikkel 23.
Distributør
Definisjon: En fysisk eller juridisk person i forsyningskjeden som gjør et KI-system tilgjengelig på markedet, uten å endre det — og som verken er leverandør eller importør.
I praksis: Distributøren videreselger eller formidler KI-systemer uten å modifisere dem.
Eksempler:
- En IT-forhandler som selger lisenser for KI-verktøy til kommuner
- En plattform som formidler KI-tjenester fra flere leverandører
Plikter:
- Kontrollere at systemet har CE-merking og medfølgende dokumentasjon
- Ikke gjøre systemet tilgjengelig hvis det er grunn til å tro at det ikke oppfyller kravene
- Informere leverandør og tilsynsmyndighet ved mistanke om manglende samsvar
Distributørens plikter er de minst omfattende av de fire rollene.
Kilde: KI-forordningen artikkel 3(7) og artikkel 24.
Hvordan finner du ut hvilken rolle du har?
Rollen avgjøres av hva du gjør med KI-systemet, ikke av hva du kaller deg eller hva som står i kontrakten.
Bruk denne sjekklisten:
Du er leverandør hvis:
- Du utvikler KI-systemet selv, eller får det utviklet for deg
- Du setter navn eller varemerke på et KI-system (selv om andre har utviklet det)
- Du gjør vesentlige endringer i et eksisterende KI-system slik at det endrer formål eller funksjon
Du er idriftsetter hvis:
- Du bruker et ferdig KI-system i din virksomhet
- Du har ikke utviklet eller vesentlig endret systemet
- Du tar beslutninger basert på systemets output
Du er importør hvis:
- Du er etablert i EU/EØS
- Du bringer et KI-system fra et land utenfor EU/EØS inn på det europeiske markedet
Du er distributør hvis:
- Du videreselger eller formidler et KI-system uten å endre det
- Du er verken leverandør eller importør
Når én virksomhet har flere roller
En virksomhet kan ha flere roller samtidig for ulike systemer:
- En kommune er idriftsetter av Microsoft Copilot, men kan bli leverandør hvis den utvikler en egen KI-basert chatbot
- Et IT-selskap er leverandør av sin egen KI-løsning og distributør av andre selskapers KI-verktøy
- Et software-selskap som kjøper en KI-modell, tilpasser den vesentlig og selger den under eget navn, er leverandør — selv om den opprinnelige modellen ble laget av noen andre
Når idriftsetteren «blir» leverandør
KI-forordningen har en viktig bestemmelse: dersom en idriftsetter gjør vesentlige endringer i et høyrisiko KI-system, eller endrer systemets tiltenkte formål, kan idriftsetteren bli betraktet som leverandør for det endrede systemet.
Det betyr at en kommune som tar et KI-verktøy og tilpasser det til et helt annet bruksområde enn det var ment for, kan påta seg leverandøransvaret — med alle de medfølgende pliktene.
Kilde: KI-forordningen artikkel 25.
Rollefordeling i praksis — tre typiske scenarioer
Scenario 1: Kommunen bruker Microsoft Copilot
| Aktør | Rolle | Plikter |
|---|---|---|
| Microsoft | Leverandør | Dokumentasjon, samsvarsvurdering, brukerveiledning |
| Kommunen | Idriftsetter | Bruke iht. veiledning, menneskelig tilsyn, informere ansatte, FRIA (hvis høyrisiko) |
Kommunen utvikler ingen KI — den bruker et ferdig system. Microsoft har leverandørpliktene. Kommunen har idriftsetterpliktene. Hvis kommunen bruker Copilot til rekruttering eller saksbehandling, er systemet høyrisiko og kravene skjerpes.
Scenario 2: Software-selskap bygger KI-løsning for kommune
| Aktør | Rolle | Plikter |
|---|---|---|
| Software-selskapet | Leverandør | Alle leverandørplikter: risikostyring, datakvalitet, dokumentasjon, samsvarsvurdering |
| Kommunen | Idriftsetter | Idriftsetterplikter: FRIA, menneskelig tilsyn, logging, informasjon |
Her er ansvarsfordelingen klar: selskapet som utvikler systemet er leverandør, kommunen som bruker det er idriftsetter. Kontrakten mellom dem bør regulere informasjonsdeling, dokumentasjon og hendelsesrapportering.
Scenario 3: Kommunen utvikler egen KI-chatbot
| Aktør | Rolle | Plikter |
|---|---|---|
| Kommunen | Leverandør OG idriftsetter | Alle plikter — både leverandør- og idriftsetterplikter |
Når kommunen utvikler KI selv (eller bestiller utvikling under eget navn), er den leverandør. Når den også bruker systemet i egen drift, er den samtidig idriftsetter. Da gjelder begge sett med plikter.
Kilde: KI-forordningen artikkel 2-3 og 25; HK-dir Rapport nr. 04/2026, kap. 2.
Hva betyr rollen for pliktene?
Pliktene er strengere for leverandører enn for idriftsettere. Her er en forenklet sammenligning for høyrisikosystemer:
| Plikt | Leverandør | Idriftsetter |
|---|---|---|
| Risikostyringssystem | ✅ | — |
| Datakvalitet og testing | ✅ | — |
| Teknisk dokumentasjon | ✅ | — |
| Brukerveiledning / transparens | ✅ | — |
| Tilrettelegge for menneskelig tilsyn | ✅ | — |
| CE-merking og samsvarsvurdering | ✅ | — |
| Registrering i EU-database | ✅ | ✅ (offentlige) |
| Bruke iht. brukerveiledning | — | ✅ |
| Gjennomføre menneskelig tilsyn | — | ✅ |
| Sikre relevante inndata | — | ✅ |
| FRIA-vurdering | — | ✅ (offentlige) |
| Informere ansatte | — | ✅ |
| Oppbevare logger | — | ✅ |
| Rapportere hendelser | ✅ | ✅ |
Kilde: KI-forordningen artikkel 8-27; HK-dir Rapport nr. 04/2026, kap. 4.
Ofte stilte spørsmål
Hvilken rolle har kommunen min under KI-forordningen? De fleste norske kommuner er idriftsettere — de bruker KI-systemer utviklet av andre. Unntak: hvis kommunen utvikler eller vesentlig tilpasser et KI-system selv, kan den også bli betraktet som leverandør. Se oversikten over høyrisiko KI-systemer i kommuner.
Hva er forskjellen på leverandør og idriftsetter? Leverandøren utvikler KI-systemet og setter det på markedet. Idriftsetteren bruker det i sin virksomhet. Leverandøren har de mest omfattende pliktene (risikostyring, dokumentasjon, samsvarsvurdering). Idriftsetteren har plikter knyttet til bruk (FRIA, menneskelig tilsyn, informasjon, logging).
Kan en virksomhet ha flere roller? Ja. En virksomhet kan være leverandør av ett KI-system og idriftsetter av et annet. Rollen avgjøres per system, ikke per virksomhet.
Hva skjer hvis en idriftsetter endrer et KI-system? Dersom endringene er vesentlige — for eksempel endring av systemets tiltenkte formål — kan idriftsetteren bli betraktet som leverandør for det endrede systemet, med alle medfølgende plikter.
Gjelder rollene også for private virksomheter? Ja. Rolledefinisjonen er den samme for offentlige og private virksomheter. Den viktigste forskjellen er at offentlige virksomheter har ekstra plikter som idriftsettere av høyrisikosystemer (FRIA-vurdering og registrering i EU-databasen).
Hva er fristen for å ha roller og plikter på plass? Kravene til høyrisikosystemer, inkludert rolle- og pliktavklaringer, var satt til 2. august 2026 men er foreslått utsatt til desember 2027. Se oppdatert tidslinje.
Rollen din under KI-forordningen avgjøres av hva du gjør med KI-systemer, ikke av hva du kaller deg. Start med å kartlegge systemene, avklar rollen for hvert av dem, og forstå hvilke plikter som følger.
Kilde: KI-forordningen (EU) 2024/1689, artikkel 2-3 og 23-29; HK-dir Rapport nr. 04/2026, kap. 2 og 4; Nkom.no.
Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no