Trilogforhandlinger om KI-forordningen er i gang: Dette er de viktigste endringene

Hvorfor vil EU endre KI-forordningen og hva er egentlig Digital Omnibus

KI-forordningen trådte i kraft i 2024 og er EUs regelverk for kunstig intelligens. Forordningen er ikke gjennomført i norsk rett ennå, men KI-loven som inkorporerer forordningen var på høring sommeren 2025. I november 2025 foreslo Kommisjonen en rekke endringer i regelverket, som en del av en bredere forenklingspakke av det digitale regelverket, kjent som Digital Omnibus. Digital Omnibus foreslår endringer i eller oppheving av en rekke EU-regelverk, herunder forenklinger i nettopp KI-forordningen.

Kommisjonens endringsforslag inkluderer en utsettelse av ikrafttredelsen av regler om høyrisiko KI-systemer for å gi lovgiver og relevante organer tid til å utforme og publisere nødvendige standarder og retningslinjer. Kommisjonen foreslår også utvidede unntak for mindre bedrifter, inkludert forenklede krav til teknisk dokumentasjon.

Nå har både Rådet og Parlamentet vedtatt sine posisjoner til endringsforslagene i KI-forordningen.

Rådet skjerper Kommisjonens forslag på fire sentrale punkter

Rådet stiller seg i all hovedsak bak Kommisjonens forslag, men gjør samtidig noen viktige justeringer.

Faste datoer for ikrafttredelse av regler om høyrisiko KI-systemer. Der Kommisjonen foreslo en fleksibel utsettelse på inntil 16 måneder, fastsetter Rådet konkrete datoer. Rådet foreslår at reglene for frittstående høyrisiko KI-systemer skal gjelde fra 2. desember 2027 og for høyrisiko KI innebygget i produkter fra 2. august 2028.

Meldeplikt gjeninnføres. Rådet foreslår å gjeninnføre plikten for leverandører til å registrere KI-systemer i EUs database for systemer som er unntatt fra klassifisering som høyrisiko. Kommisjonen foreslo å fjerne denne plikten.

Strengere krav til behandling av sensitive personopplysninger. Rådet foreslår å gjeninnføre kravet om at behandling av særlige kategorier personopplysninger for å avdekke og korrigere skjevheter bare kan skje der det er «strengt nødvendig». Kommisjonen foreslo å fjerne også denne plikten.

Forbud mot generering av seksuelt innhold. Rådet foreslår å innføre et eksplisitt forbud mot KI-generering av seksuelt og intimt innhold med identifiserbare personer uten samtykke, samt overgrepsmateriale av barn.

Avklarer kompetansen til AI Office. Rådet klargjør grensedragningen mellom kompetansen til kontoret for kunstig intelligens (AI Office) og nasjonale tilsynsmyndigheter. Kontoret beholder ansvaret for KI-modeller for allmenne formål, men Rådet definerer eksplisitte unntak for rettshåndhevelse, grensekontroll og finansinstitusjoner.

Utsettelse av sandkasser. Rådet utsetter tilsynsorganenes frist for etablering av KI-sandkasser til 2. desember 2027.

Parlamentet er i stor grad enig med Rådet men ønsker raskere krav til vannmerking

Parlamentets posisjon er også i stor grad sammenfallende med Kommisjonens forslag, men ser også behovet for enklere justeringer.

Faste datoer for ikrafttredelse av regler om høyrisiko KI-systemer. Parlamentet støtter en utsettelse av ikrafttredelsen for reglene om høyrisiko KI-systemer og foreslår, i tråd med Rådets forslag, faste datoer fremfor fleksible frister. Parlamentet foreslår at reglene for høyrisiko KI-systemer skal gjelde fra 2. desember 2027, mens reglene for KI-systemer som er omfattet av EU-sektorlovgivning om sikkerhet og markedsovervåking, skal gjelde fra 2. august 2028.

Forbud mot generering av seksuelt innhold. I likhet med Rådet, foreslår Parlamentet et nytt forbud mot KI-systemer som brukes til å lage eller manipulere seksuelt eksplisitte eller intime bilder av identifiserbare personer uten deres samtykke. Parlamentet foreslår samtidig et unntak for systemer med effektive sikkerhetstiltak som hindrer brukere i å generere slikt materiale.

Strengere krav til behandling av sensitive personopplysninger. Parlamentet støtter at tjenesteleverandører skal kunne behandle særlige kategorier av personopplysninger for å avdekke og korrigere skjevheter i KI-systemer, men understreker at det bare kan skje der det er «strengt nødvendig», i tråd med Rådets posisjon.

Raskere tidsfrist for vannmerking. Parlamentet støtter Kommisjonens forslag om utsettelse av krav om vannmerking av KI-generert innhold, men ønsker en kortere overgangsperiode enn Kommisjonen. Parlamentet foreslår 2. november 2026 til forskjell fra Kommisjonens opprinnelige forslag om 2. februar 2027.

Kritikere advarer mot lobbyister, svekket personvern og demokratisk hastverk

Endringsforslagene har møtt noe kritikk. Det er blant annet stilt spørsmål ved om det som presenteres som teknisk forenkling i realiteten innebærer ny og substansiell lovgivning. Bakgrunnen er at Digital Omnibus benytter EUs forenklede lovgivningsspor, som er ment for tekniske justeringer uten store implikasjoner.

Endringsforslagene til KI-forordningen illustrerer at Digital Omnibus ikke bare innebærer mindre justeringer, men at EU-institusjonene også tillater seg å fremme forslag til nye bestemmelser. Grensen mellom forenkling og ny lovgivning er omdiskutert, og spørsmålet er om hastverket i prosessen går utover en grundig demokratisk behandling.

Det er også stilt spørsmål ved om endringsforslagene er et resultat av lobbyvirksomhet fra teknologiindustrien, snarere enn en reell forenkling for brukere og samfunn. Personvernorganisasjonen NOYB, ledet av Max Schrems, har blant annet advart mot at de foreslåtte endringene i GDPR kan svekke enkeltpersoners rettigheter og undergrave formålet med det opprinnelige regelverket.

Kommisjonens opprinnelige forslag inneholdt to elementer som har vakt oppsikt. For det første ble kravet til behandlingsgrunnlag for sensitive personopplysninger svekket, med det formål å gjøre det enklere å avdekke skjevheter i KI-systemer. For det andre ble meldeplikten for systemer med høy risiko foreslått fjernet for systemer som leverandøren selv mener er unntatt etter art. 6(2). Begge forslagene møtte motstand fra Rådet og Parlamentet og ble i stor grad reversert.

En allerede usikker rettstilstand forlenges nå med ytterligere et par år, og vi mener den planlagte implementeringsrekkefølgen er særlig problematisk. Annex III gjelder systemkategorier der det foreløpig ikke finnes noe rammeverk for å håndtere høyrisikokrav. Til tross for dette skal Annex III implementeres før Annex I, som er forankret i produktansvarslogikken og utgjør kjernen i KI-forordningen.

Muligheten til å bruke personopplysninger for å avdekke skjevheter i KI-systemer forblir uendret. Dette skaper en dobbel risiko for virksomheter som vurderer å utvikle B2C-basert kunstig intelligens. Har systemet skjevheter, oppstår et reelt problem overfor brukerne. Har virksomheten i tillegg basert treningen av systemet på feil behandlingsgrunnlag, er det rettslige problemet langt større.

De foreslåtte endringene avklarer heller ikke den juridiske usikkerheten som knytter seg til Section 3. Sentrale begreper i kravene til systemutvikling og implementering forblir uavklarte. Virksomheter som vurderer å utvikle potensielle høyrisikosystemer, må avvente om lag 22 standarder og retningslinjer. For dem som ikke vil risikere å måtte revidere hele systemet etter hvert, er situasjonen krevende.

Digital Omnibus illustrerer den vanskelige balansegangen mellom behovet for å fremme innovasjon og konkurransekraft på den ene siden, og hensynet til personvern, informasjonssikkerhet og rettssikkerhet på den andre. Hensynene er ikke gjensidig utelukkende, men trilogforhandlingene vil være avgjørende for hvor balansen til slutt lander.

Veien videre

Med vedtakene fra Rådet og Parlamentet er EU-institusjonene nå klare for å innlede trilogforhandlinger. Institusjonene har ambisjoner om å komme til enighet raskt, og det første trilogmøtet ble avholdt allerede 26. mars 2026.

KI-forordningen er ikke innlemmet i EØS-avtalen, men regjeringen har uttalt at den ønsker å gjennomføre forordningen i norsk rett. Resultatet av EUs Digital Omnibus vil derfor få betydning for norske virksomheter som utvikler eller tar i bruk KI-systemer som faller innenfor KI-forordningens virkeområde.

Det var opprinnelig et mål at KI-loven skulle tre i kraft rundt sommeren 2026. Digitaliseringsministeren har nå varslet at dette arbeidet er forsinket, og ny tidslinje er ikke opplyst.

Har du spørsmål knyttet til KI-forordningens virkeområde?

Ta kontakt med vårt team innen teknologi, IT og AI. Du finner oss her.