Regelverk
KI-forordningen tidslinje: Alle frister og hva du må gjøre
Komplett tidslinje for KI-forordningen (EU AI Act) med alle frister fra 2024 til 2027. Hva trer i kraft når, og hva norske virksomheter bør gjøre ved hver frist.
KI-forordningen trer ikke i kraft på én dato. Reglene innføres trinnvis fra 2024 til 2027 — og noen frister er nå foreslått utsatt ytterligere gjennom EUs Omnibus-reform. Noen regler gjelder allerede.
Denne artikkelen gir deg en komplett oversikt over alle frister, de foreslåtte endringene, og hva din virksomhet konkret bør gjøre.
EU Omnibus-reformen — foreslått utsettelse av høyrisikofristene
Oppdatert april 2026: I november 2025 la EU-kommisjonen frem den såkalte «Digital Omnibus»-pakken, som blant annet foreslår å utsette fristene for høyrisiko KI-systemer. Både Europaparlamentet og Rådet vedtok sine posisjoner i mars 2026, og forhandlinger pågår med mål om enighet innen 28. april 2026.
Foreslåtte nye frister
| Hva | Opprinnelig frist | Foreslått ny frist | Status |
|---|---|---|---|
| Høyrisiko KI-systemer (standalone, vedlegg III) | 2. august 2026 | 2. desember 2027 | Foreslått — ikke vedtatt |
| Høyrisiko KI i produkter (vedlegg I) | 2. august 2027 | 2. august 2028 | Foreslått — ikke vedtatt |
| Transparens/vannmerking (art. 50) | 2. august 2026 | Nov 2026 – feb 2027 | Uenighet mellom Parlamentet og Rådet |
Hva gjelder fortsatt fra 2. august 2026?
Selv med Omnibus-utsettelsen gjelder trolig sanksjonsregimet og deler av transparenskravene fra 2. august 2026. Forbudsreglene (artikkel 5) og GPAI-reglene (artikkel 51-56) er ikke berørt av Omnibus.
Hva betyr dette for norske virksomheter?
Omnibus-reformen er ikke endelig vedtatt. Dersom Rådet og Parlamentet ikke blir enige innen august 2026, gjelder de opprinnelige fristene. Eksperter anbefaler enstemmig å forberede seg som om fristene står — en utsettelse gir mer tid, men endrer ikke hva som må gjøres.
For Norges del betyr dette at forsinkelsen i KI-loven og Omnibus-utsettelsen kan gi norske virksomheter noe mer pusterom — men kartlegging, FRIA og kompetansebygging bør starte uansett.
Kilde: EU Digital Omnibus — Addleshaw Goddard; CIO — Parliament votes to delay AI Act; Global Policy Watch — MEPs adopt Omnibus position, mars 2026.
Oversikt — alle frister (oppdatert med Omnibus)
| Dato | Milepæl | Status |
|---|---|---|
| 12. juli 2024 | KI-forordningen publisert i EU-tidende | ✅ Gjennomført |
| 1. august 2024 | Forordningen trer i kraft (ikrafttredelsesdato) | ✅ Gjennomført |
| 2. februar 2025 | Forbudsreglene gjelder (artikkel 5) | ✅ Gjelder nå |
| 2. mai 2025 | Utvalg av praksiskoder for allmenne KI-modeller | ✅ Gjennomført |
| 2. august 2025 | Regler for allmenne KI-modeller (GPAI) | ✅ Gjelder nå |
| 2. august 2025 | Tilsynsmyndigheter skal være utpekt i hvert land | ✅ Nkom utpekt i Norge |
| 2. august 2026 | Sanksjoner, deler av transparenskrav | ⏳ Om 4 måneder |
| Høyrisikokrav, idriftsetterplikter, FRIA (foreslått utsatt) | 🔄 Omnibus | |
| Høyrisiko i produktsikkerhetslovgivning (foreslått utsatt) | 🔄 Omnibus |
Fase 1: Forbudsreglene — gjelder fra 2. februar 2025
Disse reglene gjelder allerede. Virksomheter som bruker KI-systemer innenfor disse kategoriene er i brudd med forordningen nå.
Hva er forbudt?
- Sosial scoring — rangering av personer basert på sosial atferd eller personlige egenskaper
- Manipulasjon — KI-systemer som bruker subliminale teknikker for å påvirke atferd på skadelig vis
- Utnytting av sårbare grupper — systemer som utnytter barns tillitsfulhet, eldres sårbarhet eller funksjonshemmedes begrensninger
- Biometrisk kategorisering basert på sensitive kjennetegn (etnisitet, religion, seksuell orientering)
- Følelsesgjenkjenning på arbeidsplassen og i utdanning
- Ansiktsgjenkjenning i sanntid på offentlige steder (med unntak for rettshåndhevelse under strenge vilkår)
- Prediktiv politiarbeid basert utelukkende på profilering
Hva bør virksomheten gjøre nå?
Har dere KI-systemer som faller inn under forbudskategoriene? Sjekk spesielt:
- Bruker dere følelsesgjenkjenning i HR-prosesser eller undervisning?
- Rangerer dere ansatte eller innbyggere basert på atferdsmønstre?
- Bruker dere biometrisk kategorisering?
De fleste norske kommuner og virksomheter bruker neppe forbudte systemer. Men det er verdt å bekrefte dette gjennom en kartlegging.
Brudd på forbudsreglene kan gi bøter på opptil 35 millioner euro.
Kilde: KI-forordningen artikkel 5; HK-dir Rapport nr. 04/2026, kap. 3.
Fase 2: Allmenne KI-modeller (GPAI) — gjelder fra 2. august 2025
Fra august 2025 gjelder egne regler for KI-modeller for allmenne formål (General Purpose AI). Dette er modellene som ligger bak de mest brukte KI-verktøyene:
- GPT-4 (ChatGPT, Copilot)
- Claude (Anthropic)
- Gemini (Google)
- Llama (Meta)
- Mistral
Hva kreves av leverandørene?
Leverandørene av disse modellene skal:
- Utarbeide og offentliggjøre teknisk dokumentasjon
- Gjøre informasjon tilgjengelig for idriftsettere som bygger systemer oppå modellene
- Ha retningslinjer for opphavsrett og treningsdata
- Publisere en oppsummering av treningsdata
For modeller med systemisk risiko (svært store modeller som GPT-4 og Gemini) gjelder tilleggskrav: risikovurdering, hendelsesrapportering og cybersikkerhetstesting.
Hva betyr dette for idriftsettere?
For norske virksomheter som bruker disse verktøyene betyr det i praksis at leverandørene (Microsoft, Google, etc.) nå er pliktige til å gi dere bedre informasjon om modellenes begrensninger og risikoer. Det gjør det enklere å oppfylle egne plikter som idriftsetter fra august 2026.
Kilde: KI-forordningen artikkel 51-56; HK-dir Rapport nr. 04/2026, kap. 6.
Fase 3: Hovedfristen — 2. august 2026 (foreslått utsatt til desember 2027)
Merk: EU Omnibus-reformen foreslår å utsette fristene for høyrisikokrav til 2. desember 2027. Forslaget er ikke endelig vedtatt. Teksten nedenfor beskriver hva som gjelder — uavhengig av om fristen blir august 2026 eller desember 2027.
Fra den operative fristen gjelder:
Krav til høyrisikosystemer
Alle krav til leverandører og idriftsettere av høyrisiko KI-systemer trer i kraft:
- Risikostyring — leverandører skal ha løpende risikostyringssystem
- Datakvalitet — krav til trenings-, validerings- og testdata
- Transparens — brukerveiledning og dokumentasjon
- Menneskelig tilsyn — kvalifiserte personer i beslutningskjeden
- Idriftsetterplikter — bruke systemet korrekt, logge, informere ansatte
- FRIA-vurdering — konsekvensutredning for offentlige virksomheter
Transparenskrav for alle KI-systemer
Også KI-systemer som ikke er høyrisiko får krav:
- Chatboter skal merkes slik at brukeren vet de interagerer med KI
- Deepfakes og KI-generert innhold skal merkes
- KI-generert tekst som informerer offentligheten skal merkes
Sanksjonsregimet aktiveres
Tilsynsmyndigheter kan fra denne datoen:
- Gjennomføre tilsyn og stikkprøver
- Ilegge bøter for brudd på høyrisikokravene (opptil 15 millioner euro)
- Gi pålegg om retting og tvangsmulkt
Hva bør virksomheten gjøre innen august 2026?
Nå — Q1 2026:
- Kartlegg alle KI-systemer virksomheten bruker
- Identifiser hvilken rolle virksomheten har (leverandør, idriftsetter, etc.)
- Gjør foreløpig risikoklassifisering — er noen systemer høyrisiko?
Q2 2026: 4. Gjennomfør FRIA-vurdering for høyrisikosystemer (offentlige virksomheter) 5. Etabler rutiner for menneskelig tilsyn 6. Sørg for at ansatte er informert om KI-bruk 7. Forbered registrering i EUs KI-database 8. Opprett logging og hendelsesrapportering
Før 2. august 2026: 9. Alle prosesser på plass og dokumentert 10. FRIA meldt til Nkom 11. Intern kompetanse sikret
Kilde: KI-forordningen artikkel 6, 26-27, 50, 99 og 113; HK-dir Rapport nr. 04/2026.
Fase 4: Produktsikkerhetslovgivning — 2. august 2027 (foreslått utsatt til august 2028)
Merk: Omnibus-reformen foreslår utsettelse til 2. august 2028.
Den siste fasen gjelder høyrisikosystemer som er del av produkter regulert av eksisterende EU-lovgivning (vedlegg I til forordningen):
- Medisinsk utstyr
- Maskiner og maskinkomponenter
- Leker
- Båter og fritidsfartøy
- Heiser
- Radio- og telekommunikasjonsutstyr
- Motorvogner
- Luftfart
Disse systemene har allerede samsvarsvurderinger under eksisterende produktlovgivning. Fra august 2027 skal KI-forordningens krav integreres i disse prosessene.
For norske kommuner og offentlig sektor er denne fasen mindre relevant — den gjelder primært produsenter av fysiske produkter med innebygd KI.
Kilde: KI-forordningen artikkel 6(1) og vedlegg I.
Norges tidslinje — den nasjonale gjennomføringen
Parallelt med EUs frister har Norge sin egen prosess — og den er også forsinket:
| Tidspunkt | Hendelse | Status |
|---|---|---|
| Sommeren 2025 | Høring om forslag til norsk KI-lov | ✅ Gjennomført |
| 2025 | Nkom utpekt som koordinerende tilsynsmyndighet | ✅ Gjennomført |
| Påsken 2026 (opprinnelig plan) | Lovforslag til Stortinget | ❌ Forsinket — EØS-forhandlinger |
| 2026 (ventet) | Stortinget vedtar KI-loven | ⏳ Uklart tidspunkt |
| Aug–des 2026 (estimat) | Operative krav trer i kraft i Norge | ⏳ Avhenger av KI-loven og Omnibus |
EØS-forhandlingene er forsinket, og samtidig må Norge ta hensyn til Omnibus-reformen som endrer fristene i EU. Dette betyr at Norge kan ende opp med å implementere de nye Omnibus-fristene direkte, i stedet for de opprinnelige.
Les mer: KI-loven: Når trer KI-forordningen i kraft i Norge?
Kilde: Høringsnotat fra Digitaliserings- og forvaltningsdepartementet 2025; Nkom.no; Deloitte — KI-regulatorisk oppdatering.
Ofte stilte spørsmål
Når trer KI-forordningen i kraft? KI-forordningen trådte formelt i kraft 1. august 2024, men reglene innføres trinnvis. Forbudsreglene gjelder fra 2. februar 2025, regler for allmenne KI-modeller fra 2. august 2025. Kravene til høyrisikosystemer var opprinnelig satt til 2. august 2026, men EU Omnibus-reformen foreslår utsettelse til 2. desember 2027.
Er høyrisikofristene utsatt? Foreslått utsatt. EU-kommisjonen, Parlamentet og Rådet forhandler om Omnibus-pakken som utsetter fristen for høyrisiko KI-systemer til 2. desember 2027. Enighet er ventet innen 28. april 2026, men er ikke endelig vedtatt. Dersom forhandlingene ikke landes før august 2026, gjelder de opprinnelige fristene.
Gjelder KI-forordningen allerede i Norge? Delvis. Forbudsreglene gjelder allerede i EU fra februar 2025. I Norge avhenger formell ikrafttredelse av at Stortinget vedtar KI-loven. Nkom er utpekt som tilsynsmyndighet og bygger opp tilsynskapasitet.
Hva er den viktigste fristen for norske kommuner? Det avhenger av Omnibus-utfallet. Dersom utsettelsen vedtas, er fristen for høyrisikokrav 2. desember 2027. Sanksjoner og transparenskrav gjelder trolig likevel fra 2026. Kommuner bør starte kartlegging og FRIA uansett — arbeidet tar tid.
Bør vi vente med å forberede oss til Omnibus er vedtatt? Nei. Alle eksperter anbefaler å forberede seg nå. En eventuell utsettelse gir mer tid, men endrer ikke hva som må gjøres. Virksomheter som starter nå er best posisjonert uavhengig av utfallet.
Hva skjer hvis vi ikke rekker fristen? Virksomheter som ikke oppfyller kravene risikerer tilsyn fra Nkom og bøter på opptil 15 millioner euro for brudd på høyrisikokravene. I praksis vil tilsynet trolig fokusere på virksomheter som ikke har gjort noe, fremfor de som er i prosess.
Uansett utfallet av Omnibus-forhandlingene: start med kartlegging, fokuser på høyrisikosystemer, og dokumenter underveis. Les mer om hva KI-forordningen er og hva den krever.
Kilde: KI-forordningen (EU) 2024/1689, artikkel 113; Høringsnotat fra Digitaliserings- og forvaltningsdepartementet 2025; HK-dir Rapport nr. 04/2026; Nkom.no.
Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no