EU AI Act readiness: Det første steget mot etterlevelse av AI Act 

AI Act (EU AI Act) er vedtatt i EU og forventes innført i norsk lov gjennom EØS-avtalen. Samtidig øker bruken av kunstig intelligens raskt i både offentlig og privat sektor. 

For mange ledere er spørsmålet ikke lenger om virksomheten bruker AI, men hvor mye den brukes, hvilke prosesser den påvirker, og hvilke krav som kan bli aktuelle når regelverket får virkning. 

Utfordringen er at mange virksomheter ikke har tilstrekkelig oversikt til å kunne svare på disse spørsmålene. Det er her AI Act readiness kommer inn. 

AI Act readiness er en strukturert vurdering av virksomhetens bruk av kunstig intelligens med formål å identifisere hvordan AI Act kan påvirke organisasjonen. 

Vurderingen gir ledelsen et grunnlag for å forstå: 

• hvilke AI-systemer som er i bruk  
• hvilke prosesser som påvirkes av AI  
• hvilke deler av virksomheten som kan omfattes av strengere krav  
• hvilke tiltak som bør prioriteres videre  

Målet er ikke å dokumentere full etterlevelse av AI Act. Målet er å skaffe oversikt og forståelse nok til å kunne planlegge videre arbeid på en risikobasert måte. 

For de fleste organisasjoner vil den største utfordringen ikke være å skrive dokumentasjon eller etablere nye prosedyrer. Den største utfordringen vil være å forstå hvordan kunstig intelligens faktisk brukes i virksomheten. 

Jo større organisasjonen er, desto vanskeligere blir dette. 

AI brukes i dag gjennom: 

• generative AI-verktøy som ChatGPT, Copilot og Gemini  
• AI-funksjoner i eksisterende forretningssystemer  
• analyse- og beslutningsstøtteverktøy  
• leverandørløsninger som inneholder AI-funksjonalitet  

Mange virksomheter kan derfor ha en langt større AI-portefølje enn ledelsen er klar over. 

AI Act er risikobasert og konsekvensene av regelverket avhenger i stor grad av hvordan AI brukes. Det betyr at ingen kan avgjøre hvor stor betydning AI Act får uten først å kartlegge virksomhetens AI-portefølje. 

En typisk vurdering vil omfatte følgende.

Hvilke AI-løsninger finnes i virksomheten? 

Hvilke prosesser, beslutninger og arbeidsoppgaver påvirkes av AI? 

Kan noen av løsningene omfattes av høyrisikokategoriene i AI Act? 

Har virksomheten tilstrekkelige retningslinjer, roller og prosesser for AI-bruk? 

Hvilke områder bør prioriteres videre? 

Det er lett å hoppe rett til diskusjoner om AI governance, AI-policy eller ISO 42001. 

For mange virksomheter er det imidlertid vanskelig å vite hvilke tiltak som er nødvendige før de har fått oversikt over dagens situasjon. 

En AI Act readiness-vurdering gir ledelsen et faktabasert grunnlag for å vurdere risiko, prioriteringer og videre arbeid. 

For noen virksomheter vil vurderingen vise at dagens AI-bruk representerer begrenset regulatorisk risiko. For andre kan den avdekke behov for mer omfattende tiltak knyttet til styring, dokumentasjon og internkontroll. 

AI Act kommer ikke til å påvirke alle virksomheter på samme måte. Hvor stor betydning regelverket får, avhenger av virksomhetens AI-portefølje, bruksområder og risikoprofil. 

Derfor er det første og viktigste steget å etablere oversikt. 

Virksomheter som starter dette arbeidet tidlig vil være bedre rustet til å møte både regulatoriske krav og den videre utviklingen innen kunstig intelligens. 

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!