EU AI Act + NIS2 · Norsk HR-tech
20 spørsmål om EU AI Act, KI-loven og NIS2 for norske HR-tech-deployers. Alle svar bygger på verifiserte fakta per 26. juni 2026. FOR_LEGAL_REVIEW-markører angir punkter som krever juridisk avklaring.
EU AI Act (Forordning (EU) 2024/1689) er EUs forordning om kunstig intelligens. Den fastsetter risiko-baserte regler for utvikling, markedsføring og bruk av KI-systemer. Forordningen er merket EØS-relevant, men er ennå ikke formelt inkorporert i EØS-avtalen. Norsk gjennomføring ventes via KI-loven (høring 30.6.2025, ikrafttredelse planlagt sommeren 2026). FOR_LEGAL_REVIEW[endelig EØS-innlemmelsesdato].
Direkte EU-rettsvirkning gjelder ikke i Norge, da Norge er EØS-land, ikke EU-land. Forordningen er under innlemmelse i EØS-avtalen. Norsk regjering foreslår å ta den inn som-er via KI-loven (ventes sommeren 2026). Norske HR-tech-leverandører som selger til EU-kunder er imidlertid allerede underlagt forordningen i de EU-markedene de opererer i.
En deployer er en virksomhet eller person som tar i bruk et KI-system under eget ansvar – i motsetning til en provider som utvikler og markedsfører KI-systemet. HR-tech-leverandører som kjøper inn ferdig KI-programvare til rekruttering eller medarbeidervurdering er typisk deployere etter forordningens definisjon.
Høyrisiko-KI-systemer er listet i Annex III til forordningen. For HR-tech gjelder særlig punkt 4: systemer brukt til rekruttering og utvelgelse av arbeidssøkere (CV-screening, vurdering av intervjuer, rangering), vurdering av ansattes prestasjoner og atferd, og kampanjer for oppsigelse. Disse er underlagt strenge krav til dokumentasjon, menneskelig tilsyn og risikostyring.
2. februar 2025: Forbudte praksiser (Art. 5) trådte i kraft i EU. 2. august 2025: GPAI-forpliktelser (Art. 53–55) trådte i kraft. 2. august 2026: Høyrisiko-krav (Annex III) gjelder fullt ut i EU. Merk: Digital Omnibus-forslaget FORESLÅR utsettelse av frittlevende Annex III-krav til 2. desember 2027 – dette er et forslag som ikke er vedtatt per juni 2026.
KI-loven er utkastet til norsk gjennomføringslov for EU AI Act. Høringsutkastet ble publisert 30. juni 2025 med svarfrist 30. september 2025. Loven forventes vedtatt og i kraft sommeren 2026, samkjørt med EU-forordningens høyrisiko-frist. FOR_LEGAL_REVIEW[endelig ikrafttredelsesdato avhenger av Stortingets behandling og EØS-innlemmelse].
Nkom (Nasjonal kommunikasjonsmyndighet) er foreslått som koordinerende markedstilsynsmyndighet for KI-forordningen i Norge. I tillegg er Digdir (KI-Norge-initiativ og sandkasse), Datatilsynet (norsk DPA for personvern) og Norsk akkreditering relevante myndigheter. Endelig myndighetsstruktur er FOR_LEGAL_REVIEW.
NIS2 (EU-direktiv 2022/2555) er IKKE i kraft i Norge. Gjeldende norsk sikkerhetsregulering er digitalsikkerhetsloven (lov 2023-12-20-108, NIS1-implementering, i kraft 1. oktober 2025). NIS2 må først innlemmes i EØS-avtalen; ny norsk NIS2-lov og CER-direktivlov ventes i 2026, med NSM og NCSC som tilsynsmyndigheter.
Vesentlige enheter (essential entities) og viktige enheter (important entities). Terskler: 50 eller flere ansatte ELLER omsetning over 10 millioner euro. Aktuelle sektorer inkluderer digital infrastruktur, cloud-tjenester og IKT-tjenester. HR-tech-leverandører som oppfyller tersklene kan være underlagt kravene. FOR_LEGAL_REVIEW[endelig norsk sektoravgrensning].
Opptil 35 millioner euro eller 7 % av global årsomsetning for brudd på Art. 5 (forbudte praksiser). Opptil 15 millioner euro eller 3 % for brudd på høyrisiko-krav og Art. 50-transparensforpliktelser. Opptil 7,5 millioner euro eller 1 % for å gi uriktige opplysninger til tilsynsmyndigheter. Laveste terskel gjelder alltid.
Forventet basert på NIS2-direktivet: opptil 10 millioner euro eller 2 % av global årsomsetning for vesentlige enheter, 7 millioner euro eller 1,4 % for viktige enheter. FOR_LEGAL_REVIEW[endelig norsk sanksjonsnivå fastsettes i norsk NIS2-lov].
Artikkel 4 pålegger providers og deployere å sørge for tilstrekkelig KI-kompetanse hos ansatte og andre som arbeider med KI-systemene. Literacy-nivået skal stå i forhold til teknisk kunnskap, erfaring og kontekst. I EU har kravet vært gjeldende siden 2. februar 2025 for alle KI-systemer – inkludert ikke-høyrisiko. Minimum dokumentasjon er et rollebasert literacy-register.
Artikkel 50 krever at brukere informeres når de interagerer med KI. For HR-tech: kandidater og ansatte skal opplyses om KI-bruk i rekruttering og vurdering; chatboter skal identifiseres som KI i sanntid; syntetisk innhold (deepfakes) skal merkes. I EU gjelder kravene fra 2. august 2026. Norsk ikrafttredelse via KI-loven (FOR_LEGAL_REVIEW).
Annex IV lister hva teknisk dokumentasjon for høyrisiko-KI-systemer må inneholde: systembeskrivelse, design-prinsipper, treningsdata-prosess, testing og validering, ytelsesmål, menneskelig tilsyn og cybersikkerhet. Primær plikt ligger hos provideren, men deployere bør innhente og oppbevare denne dokumentasjonen fra leverandøren.
Det avhenger av funksjonalitet og bruk. KI-systemer som screener, rangerer eller filtrerer arbeidssøkere (ATS med KI, videoanalyse), evaluerer ansattes prestasjoner, eller brukes i oppsigelseskampanjer faller typisk under Annex III punkt 4. Screeningen krever analyse av det konkrete systemet. Kontakt oss for å komme i gang med en Annex III-vurdering.
NIS2 Art. 21 krever proporsjonale sikkerhetstiltak: risikoanalyse og IT-sikkerhetspolicyer, hendelseshåndtering, virksomhetskontinuitet og backup, forsyningskjedesikkerhet, sikker systemutvikling og anskaffelse, sårbarhetshåndtering, MFA og kryptering, samt opplæringstiltak. FOR_LEGAL_REVIEW[Norsk gjennomføring av Art. 21 avhenger av ny NIS2-lov].
NIS2 stiller krav om trestegsvarsling: initial varsling til myndigheten innen 24 timer etter at hendelsen oppdages, full hendelsesrapport innen 72 timer, og sluttrapport innen 1 måned. FOR_LEGAL_REVIEW[Norsk rapporteringskanal og myndighet (NSM/NCSC) fastsettes i ny norsk NIS2-lov].
Modul 1 (AI-inventar + Artikkel 4-register) leverer: kartlegging av alle KI-systemer i bruk, rollebasert literacy-register (rolle × KI-system × literacy-modul), rollebasert controls-memo, Annex III-screening og gap-analyse mot kommende høyrisiko-krav. Leveranse på 5 virkedager. Kontakt oss for prising for det norske markedet.
Modul 2 leverer et Procurement Evidence Pack: strukturert svarbibliotek til AI-delen av SIG 2024 og CAIQ, AI Act-avledede kjøperspørreskjema for HR-tech-bruk, levert i Word- og Excel-format. Modul 3 dekker Annex IV teknisk dokumentasjon for høyrisiko-KI-systemer. Alle moduler leveres EU-hostet og Ed25519-kryptografisk signert.
Send inn intake-skjemaet via kontaktsiden. Vi gjennomgår system-scope og NDA-ramme, og leverer Modul 1 på 5 virkedager etter oppstart. Hvert modul er en frittstående engangsleveranse – ingen binding mellom modulene.
Ta kontakt – vi svarer innen én virkedag.
Kontakt oss →