Dette betyr EUs nye AI Act for norske utviklere

Loven innebærer krav til hvordan AI-systemer skal dokumenteres, testes og rammeverk, forklarer ekspertene.

Jonas Engestøl Wettre og Naomi Lindtvedt forteller om flere konsekvenser for norske utviklere den dagen EUs AI-lov blir norsk rett. 📸: Ingvild Østraat/privat
Jonas Engestøl Wettre og Naomi Lindtvedt forteller om flere konsekvenser for norske utviklere den dagen EUs AI-lov blir norsk rett. 📸: Ingvild Østraat/privat Vis mer

I midten av juni godkjente EU-parlamentet AI Act (AIA), et av verdens første forslag til en omfattende regulering av kunstig intelligens.

Avstemningen er et av de siste stegene for at forskriften kan bli lov i hele EU - og Norge, som en følge av EØS-avtalen.

Ifølge eksperter kode24 har snakket med, innebærer loven en rekke nye krav som norske utviklere snart må forholde seg til.

Er en produktansvarslov

Ifølge Jonas Engestøl Wettre, prosjektleder i Teknologirådet, er AI Act relevant for norske utviklere, ettersom at den stiller krav til produkter utstyrt med kunstig intelligens.

- Loven rangerer produkter utstyrt med AI etter risiko for individers trygghet og rettigheter, og stiller krav ut ifra det, sier han til kode24.

AI Act er altså en produktansvarslov, som skal sørge for at produkter utstyrt med AI som selges på markedet i EU og EØS stilles samme krav i hele Europa.

- Målet med det hele er at det skal bli trygt, lett og forutsigbart både å bruke og utvikle AI i EU, sier Wettre.

Slik påvirker det deg

AI Act introduserer altså en rekke krav til produkter utstyrt med AI, som du som utvikler må forholde deg til dersom du vil at produktet ditt skal bli tillatt på markedet i EU og EØS.

- Utviklerne av produktene blir ansvarlige for at produktene møter kravene, og må CE-merke dem før de plasserer dem på markedet. Å CE-merke vil si at man går god for at produktet oppfyller gjeldende produktstandarder. Og disse er nå altså under utvikling også for AI-produkter, sier Wettre.

Ifølge ham gjelder kun kravene dersom produktet faller under én av lovens risiko-kategorier: Produkter utviklet for bruk innen migrasjon, utdanning, velferdstjenster, arbeidsliv eller kritisk infrastruktur.

- Det gjelder også alle produkter som er omfattet av produktlovgivning i EU, og der AI nå bli del av sikkerhetssystemet, men det er uklart hva dette vil bety. Dette gjelder blant annet for leker, anleggsmaskiner og medisinsk utstyr, sier Wettre.

Krav til datasett og testing

Ifølge Naomi Lindtvedt, stipendiat i "AI-juss" ved Universitetet i Oslo, handler kravene i AIA blant annet om hvordan systemet skal dokumenteres, krav til datasett, testing, rammeverk, styringssystemet og informasjonssikkerhet.

- Mye av dette vil jeg si er sunn fornuft og beste praksis, men det betyr at det for eksempel for høyrisiko AI-systemer ikke går å an utvikle uten skikkelig dokumentasjon og vurderinger underveis, sier hun.

Det vil heller ikke gå å bruke alle mulige datasett som er høstet fra ulike steder.

- Det vil kreve vurderinger av hvilke data som skal inngå og dokumentasjon av dette. Det er derfor noen mener at for eksempel ChatGPT ikke vil oppfylle kravene i AIA i dag, fordi de ikke vil gi informasjon om hvilke datasett som er brukt i trening og utvikling, sier hun.

Vil gjelde for flere systemer

Lindtvedt sier at det er viktig å merke seg at regelverket vil gjelde for både frittstående AI-systemer, AI-systemer som inngår i annen programvare eller i kombinasjon med andre systemer, og AI-systemer som inngår i produkter.

- Produkter som i dag krever CE-merking, og hvor AI blir en komponent, må da oppfylle produktgodkjenning for selve produktet og AI-systemet, sier hun.

AIA vil også gjelde der hvor norske utviklermiljøer skal bruke AI-systemer som er utviklet av andre sine produkter.

- Fordi det stilles krav til alle AI-systemer som tilbys i det europeiske markedet, så er det kun AI-systemer som følger AIA som kan brukes. Snakker vi om høyrisiko AI-systemer så må det sjekket at det er CE-merket. Det vil også kreve at informasjon og dokumentasjon er tilgjengelig, slik at dette igjen kan inngå i det ferdigutviklede produktet eller tjeneste, sier Lindtvedt.

Meeen når skjer det, egentlig?

Ifølge Lintvedt er ambisjonen å bli ferdig med forhandlingene før nyttår. Dette avhenger dog av hvor langt partene står fra hverandre. Det er ikke usannsynlig at forhandlingene strekker seg utover i 2024.

- Når regelverket er vedtatt vil det være 24 måneder før den gjelder. Dette skal gi mulighet til å tilpasse seg regelverket. Medlemslandene må etablere AI-tilsyn, og det må på plass en rekke standarder, sier hun til kode24.

For Norges del må AIA innlemmes i EØS-avtalen.

- Dette kan gå raskt eller det kan ta tid. Det er en formalitet, men det må gjøres før AIA kan bli en del av norsk rett. Går denne prosessen raskt, kan AIA gjelde i Norge fra samme dato som i EU. Dette er ikke alltid tilfelle. For eksempel trådte GDPR i kraft noen måneder senere i Norge enn i EU fordi lovprosessen ikke var ferdig her, sier Lindtvedt.