– Dette savner jeg i den nasjonale KI-satsningen

Sist fredag lanserte digitaliserings- og forvaltningsminister Karianne Tung KI Norge, regjeringens satsing som skal hjelpe offentlige og private virksomheter med å ta i bruk KI «på en trygg måte». 

– Vi skal bli verdens mest digitaliserte land, og lede an trygg KI-bruk

Fredag lanserte digitaliseringsminister Karianne Tung KI Norge: En ny nasjonal arena som skal legge til rette for "god og ansvarlig bruk av kunstig intelligens".

Ambisjonen er at Norge skal bli verdens mest digitaliserte land, og terskelen for å komme i gang skal ned, særlig for dem som ikke vet om de har lov, eller hvor de skal begynne. 

For finansbransjen er bildet litt annet. Der er «trygt» ikke en ambisjon, men en juridisk definisjon – og det kalles DORA.

KI er IKT

DORA (Digital Operational Resilience Act) trådte i kraft i Norge 1. juli 2025 og de utfyllende standardene er innlemmet løpende. Dette er altså gjeldende rett, og tilsynet er i gang. 

Poenget mange overser, er at en KI-modell er IKT. I det øyeblikket en bank, et forsikringsselskap eller en pensjonsleverandør tar i bruk KI, enten den er bygget internt eller kjøpt inn, faller den inn under DORAs krav.

Det vil si, hvis finansbransjen tar i bruk en språkmodell fra en stor leverandør som er kjørt på en skyplattform, kalles det for en IKT-tredjepartsleverandør. Da utløser det konkrete forpliktelser, og leverandøren skal inn i informasjonsregisteret, avtalen må ha en exit-strategi, og konsentrasjonsrisikoen må vurderes. 

Men det stopper ikke der. Faller løsningen ut eller hvis den begynner å levere feil i stor skala, er det en IKT-hendelse som skal klassifiseres og rapporteres til Finanstilsynet innenfor faste frister.

Hva betyr «sikkert»?

KI Norge svarer på «har jeg lov, og hvor begynner jeg?». 

DORA svarer på «er det robust nok, kan jeg bytte leverandør, kan jeg teste det, og kan jeg rapportere når det svikter?». 

Begge er viktige. Men i finans er det andre spørsmålet som avgjør om en KI-satsing overlever første alvorlige hendelse.

KI Norge sier mye riktig. På nettsiden står det at vi må gå fra «hva kan KI gjøre?» til hvordan vi bruker den «riktig, sikkert og effektivt». Og veilederen leverer på deler av dette. Testkapittelet er grundig, og det skiller generelle benchmarks fra domenespesifikke evalueringer og gir konkrete råd om å måle nøyaktighet, konsistens og etterprøvbarhet før en modell tas i bruk. 

Problemet er ikke disse rådene i seg selv, men det er hva «sikkert» betyr. Alt dette måler om modellen svarer riktig, ikke om systemet står når modellen, eller leverandøren bak svikter.

– DORA legger ansvaret på styret. Men du arver det

Utviklerne og arkitektene må rydde opp, selv om loven gjør styret og daglig leder personlig ansvarlig for digital motstandsdyktighet, ifølge Marielle Mortensdatter i CoWork.

Dette savner jeg

Det er nettopp dette skillet DORA gjør eksplisitt, nemlig å validere at en løsning fungerer er én ting, å teste at den tåler å feile er noe annet. 

I finans er antakelsen at løsningen før eller siden svikter. Den delen savner jeg i den nasjonale satsingen! 

Å senke terskelen for å komme i gang er bra og viktig. Men forsvarlig KI-bruk handler like mye om hva vi gjør den dagen modellen tar feil, og det spørsmålet har foreløpig ingen tydelig eier utenfor finans, ennå. 

Svaret er her allerede, og det trenger ikke bli et nytt byråkratisk lag. Finans har et rammeverk der motstandsdyktighet er gjennomgående, ikke en ettertanke til slutt. KI Norge kunne ha sett til DORA og oversatt logikken til sin egen veileder med tredjepartsrisiko, exit-strategier, hendelseshåndtering og gjenoppretting. 

Prinsippene er ikke forbeholdt finans, selv om loven er det. Da ville «slik lykkes du med KI» også rommet «slik står du i det når KI svikter», og det er der den nasjonale ambisjonen faktisk avgjøres.

Tung advarer mot å «stagnere» mens KI-utviklingen tar av

Digitaliseringsministeren vil satse på kunstig intelligens i hele samfunnet. – Spørsmålet er ikke om vi skal gripe mulighetene i KI, men om vi skal lede an i utviklingen.