EU AI Act kommer til Norge i 2026. Her er det som faktisk angår en SMB.

EU AI Act er på vei inn i norsk rett. Det opprinnelige målet var sommeren 2026, men EØS-forhandlinger kan forsinke det noe — sannsynligvis trer loven i kraft i Norge en gang i 2026, kanskje litt senere. Konsulentbransjen er uansett i gang — du har sannsynligvis fått minst én e-post om "AI Act-compliance-pakker" den siste måneden.

Det meste av det de selger, gjelder ikke deg.

AI Act er designet primært for to grupper: leverandører av AI-systemer (OpenAI, Anthropic, Microsoft) og virksomheter som bruker AI for høyrisiko-beslutninger — biometrisk identifikasjon, ansettelser, kredittvurdering, kritisk infrastruktur, rettshåndhevelse. Hvis du driver en 40-personers SMB som bruker Microsoft 365 Copilot til e-poster og ChatGPT til tilbudsskriving, faller du sannsynligvis i kategorien "minimal risiko". Forpliktelsene dine er minimale.

Én viktig nyanse hvis du selger inn i EU-markedet: forbudet mot visse AI-bruksområder (sosial scoring, manipulasjon av sårbare grupper) gjelder allerede i EU siden februar 2025. Regler for generelle AI-modeller har vært gyldige siden august 2025. Hvis bedriften din leverer tjenester direkte til EU-kunder, kan du allerede være omfattet av disse delene — uavhengig av når Norge formelt implementerer.

Men det er tre konkrete realiteter du må forholde deg til. La oss ta dem.

Først: er du faktisk i høyrisiko-kategorien?

Ja, hvis du bruker AI til noe av dette: automatisert screening av jobbsøknader, automatisert kredittvurdering av kunder, biometrisk identifikasjon (ansiktsgjenkjenning på inngangsdøren), AI-assistert HR-beslutning som påvirker lønn eller stilling, AI som styrer kritisk infrastruktur (kraft, vann, transport). Listen kommer fra Annex III i forordningen. Hvis du gjør én av disse, har AI Act mye å si om hva du må dokumentere, hvordan du må overvåke, og hvilken risikohåndtering du må ha på plass.

Hvis du IKKE gjør noe av det — som de fleste norske SMB-er ikke gjør — kan du puste roligere.

Det andre: hvis du bruker noen andres høyrisiko-AI, har du fortsatt forpliktelser.

Dette er der konsulentene har et poeng. AI Act skiller mellom dem som BYGGER AI-systemet (provider, "leverandør" på norsk) og dem som BRUKER det (deployer, "anvender" eller "ibruktager"). Begge har forpliktelser. Hvis du kjøper et HR-screening-verktøy fra en leverandør og bruker det på dine jobbsøknader, er du anvender av et høyrisiko-system — og det utløser ditt eget sett av krav.

Du må kunne dokumentere at det finnes menneskelig oversikt, ikke bare automatisert beslutning. Du må kunne forklare for søkeren hvordan systemet er brukt. Du må kunne vise at du har gjort en grunnleggende risikovurdering.

Det er ikke krevende på rakettforsker-nivå. Men det er ikke gratis heller. Sjekk verktøyene dine før august.

Det tredje: bøtene er reelle, men proporsjonale.

Den verste boten — 35 millioner euro eller 7 % av omsetningen — gjelder for forbudte AI-praksiser (sosial scoring, manipulasjon av sårbare grupper, og lignende). De aller fleste norske SMB-er kommer aldri i nærheten av det forbudet.

Bot for høyrisiko-brudd er 15 millioner euro eller 3 % av omsetningen. For en SMB med 50 millioner i omsetning er det 1,5 millioner — fortsatt seriøst, men ikke noe som knekker selskapet ditt. Og det krever et faktisk brudd, ikke bare en gråsone-vurdering.

Den realistiske risikoen for en norsk SMB er ikke en finansiell katastrofe. Den er en GDPR-aktig glidende-skala-situasjon: en kunde klager, en revisor spør, en partner ber om en AI-erklæring du ikke kan svare på. Det er det du forberedes på.

Det kjedelige arbeidet som faktisk hjelper deg:

Du trenger ikke en compliance-pakke fra en konsulent. Du trenger å gjøre tre ting, og du kan gjøre dem selv på en ettermiddag.

Det første: lag en liste over hver AI som er i bruk i bedriften din. Copilot. ChatGPT. Bilagsscanner i Tripletex. Eventuelle agenter eller automatiseringer som rusler i bakgrunnen. Ikke estimer — spør faktisk ansatte hva de bruker.

Det andre: per verktøy, klassifiser risiko. De fleste vil havne på "minimal" eller "begrenset". Hvis noe brukes til ansettelse, kredittvurdering, eller noe annet i listen ovenfor — flag det som høyrisiko og dokumenter nærmere.

Det tredje: skriv ned hvem som er ansvarlig for hva. "Menneskelig oversikt"-kravet i AI Act handler ikke om at en jurist sitter ved siden av Copilot. Det handler om at noen i organisasjonen har autoritet til å overstyre AI-en og vet at de har det.

Nkom blir den koordinerende tilsynsmyndigheten i Norge. Datatilsynet vil fortsette å håndheve GDPR for personvern-siden. Begge har varslet en pragmatisk håndhevelsesperiode først — de skal ikke jakte på 30-personers regnskapsbyråer i januar 2027.

Du kommer til å klare deg fint. Men du bør gjøre listen.