Enighet om endelig utkast til AI-forordning (AI Act) - Hjort
Hva leter du etter?

Enighet om endelig utkast til AI-forordning (AI Act)

Fredag 8. desember kom meldingen om at det er oppnådd enighet om et endelige utkast til den kommende AI-forordningen (AI Act) under trilogforhandlingene i EU. Selv om formell vedtakelse gjenstår, ser det ut til at forordningen vil bli vedtatt. Den forventes i tilfelle å tre i kraft om to år, med en innføringsperiode på opptil to år til, slik at den vil tre i full kraft fra 2027/2028.

Risikotilnærming i fire nivåer

 
Det oppdaterte utkastet viderefører den risikotilnærmingen fra tidligere utkast, der AI-systemer er delt inn i fire risikokategorier. Visse typer AI-systemer vil bli forbudt, unntatt for spesifikke formål, mens andre systemer som anses å innebære høy risiko (herunder AI-systemer for bruk i en rekke samfunnskritiske virksomheter), blant annet bli underlagt krav om samsvars-, risiko- og registreringsvurderinger, samt kvalitetskontroll. Det meste av den AI som brukes i dagens vanlige virksomheter antas imidlertid å klassifisere som lavrisiko, og vil dermed kun bli underlagt begrenset regulering i henhold til AI-forordningen.

Regulering av generativ AI

 
Reguleringen av generativ AI har vært noe av det mest kontroversielle i trilog-forhandlingene. Det har vært uklart om man ville gå for den tidligere foreslåtte reguleringen, eller en form for selvregulering fra bransjen grunnet bekymringer for europeiske virksomheters konkurransekraft. Det endelige utkastet ser ut til å stille spesifikke krav til generativ AI, dette inkluderer blant annet krav til transparens rundt treningsdata og beskyttelse av opphavsrettigheter mv. For generativ AI med særlig systemrisiko vil det også bli stilt ytterligere krav.

Konsekvenser for virksomheter

 
AI-forordningen er i stor grad en produktregulering, og vil ha størst konsekvenser for virksomheter som utvikler eller tilbyr AI-systemer. Virksomheter som kun er brukere AI-systemer vil ha begrensede direkte plikter i henhold til AI-forordningen, og for disse vil nok også spørsmål knyttet til personvern mv ved bruk av AI være mer fremtredende enn AI-forordningen som sådan. Det ser imidlertid ut til at EU-parlamentets forslag om en såkalt «fundamental rights impact assessment», som ligner på DPIA-analysen under GDPR for spesifikke risikosituasjoner, også vil bli vedtatt som en plikt for brukere av AI-systemer med høy risiko.

Veien videre

 
Formell godkjennelse i EU gjenstår, men vil sannsynligvis skje snart. I tillegg forutsetter AI-forordningen også en rekke standarder som ennå ikke er vedtatt og som må utarbeides i perioden frem til ikrafttredelse.

Virksomheter som utvikler, tilbyr eller bruker det som vil klassifiseres som høyrisiko AI, bør nå begynne å kartlegge hvordan AI-forordningen kan påvirke deres virksomhet. Dette inkluderer en regulatorisk analyse av hvilke plikter AI-forordningen vil medføre for deres virksomhet, samt implementering av nødvendige tiltak for overholdelse i kontrakter som vil strekke seg inn i den antatte virkeperioden til AI-forordningen.

Det vil være interessant å se hva det videre arbeidet konkret vil medføre av plikter på tilbydere og brukere. Og ikke minst hvordan AI-forordningen vil påvirke europeiske virksomheters konkurransekraft knyttet til utvikling og bruk av AI sammenlignet med resten av verden.