Kunstig intelligens blir i 2026 et ansvarsspørsmål

EU har vedtatt forordning (EU) 2024/1689 om kunstig intelligens. Dette er ikke først og fremst et teknologiregelverk, men et regelverk om ansvar.

Forordningen, som i norsk oversettelse er på ikke mindre enn 144 siden, blir etter alt å dømme til norsk lov like over sommeren.

Regelverket retter seg ikke mot en bestemt bransje, men vil i praksis få direkte betydning for blant annet nettbransjen, i den grad virksomhetene tar i bruk KI i drift, analyse eller beslutningsprosesser. Forordningen treffer med andre ord nettselskapene, som forvalter av samfunnets viktigste infrastruktur, sterkt.

Formålet med de nye reglene er å sikre et høyt nivå av helse, sikkerhet og vern av grunnleggende rettigheter, samtidig som innovasjon fremmes. I praksis innebærer dette at nettselskaper nå må kunne forklare, kontrollere og dokumentere hvordan kunstig intelligens brukes.

Kjernen i regelverket er risikobasert, men konsekvensene er konkrete. De fleste KI-systemer vil være lite regulert, men så snart systemene påvirker mennesker, rettigheter eller beslutninger av betydning, skjerpes kravene raskt. For såkalte høyrisiko-systemer holder det ikke at teknologien “fungerer”. Virksomheten må etablere løpende risikostyring, sikre kvaliteten i datagrunnlaget og kunne dokumentere hvordan systemet er utviklet, testet og anvendt. Det må være mulig å etterprøve beslutninger, og det må være reell menneskelig kontroll der konsekvensene tilsier det.

Det mest praktiske – og kanskje mest undervurderte – poenget er at pliktene ikke bare gjelder utviklere. Også virksomheter som bruker KI i egen drift, får selvstendige forpliktelser. Det er ikke tilstrekkelig å vise til at systemet er kjøpt fra en leverandør. Den som tar systemet i bruk, må følge det opp, overvåke hvordan det fungerer og sikre at det brukes innenfor regelverkets rammer.

Samtidig inneholder regelverket en betydelig fallgruve. En virksomhet kan bli ansett som leverandør dersom den gjør vesentlige endringer i et system, tilpasser det eller bruker det til et nytt formål. Dermed kan ansvar og regulatoriske krav øke vesentlig, uten at dette nødvendigvis er tilsiktet. Dette vil være særlig aktuelt for virksomheter som bygger videre på eksisterende løsninger eller integrerer KI i egne systemer.

For nettbransjen er dette ikke et fremtidsspørsmål, men et nå-spørsmål. KI brukes allerede i analyser, prognoser, drift og kundehåndtering, og vil få en stadig mer sentral rolle i optimalisering av nett og produksjon. Det avgjørende fremover vil ikke være om KI brukes, men hva den brukes til og hvilke beslutninger den påvirker. Systemer som støtter interne analyser vil ofte ha lav regulatorisk risiko, mens systemer som påvirker kunder, prioriteringer eller sikkerhet raskt kan falle inn under strengere krav.

Dette innebærer at KI må håndteres på linje med andre regulatoriske kjerneområder. Det er ikke lenger tilstrekkelig å se KI som et IT- eller innovasjonsprosjekt. Virksomheter må etablere oversikt, forstå egne roller i verdikjeden, klassifisere systemene og sikre at styring, dokumentasjon og kontroll er på plass.

Det samlede bildet er at KI-forordningen etablerer et nytt compliance-område. Spørsmålet fremover er ikke om virksomheter bruker kunstig intelligens, men om de har kontroll på den.

De som begynner dette arbeidet nå, vil ikke bare redusere regulatorisk risiko. De vil også være bedre posisjonert i et marked hvor tillit til bruk av kunstig intelligens blir en forutsetning for å lykkes.

For nettselskap som forvaltere av landets viktigste infrastruktur vil korrekt bruk av KI bli et være eller ikke være.