UTKAST · Norsk versjon (bokmål) under gjennomgang · FOUNDER_DECISION-markører angir valg som ligger hos grunder (NOK-pris, juridisk partner, norsk enhet) · FOR_LEGAL_REVIEW-markører angir punkter som krever norsk juridisk gjennomgang (EØS-innlemmelse, arbeidsrett, NIS2-status)

EU AI Act + NIS2 · Norsk HR-tech

Compliance-sjekkliste 2026

Seks faser for norske HR-tech-deployers. Faser 1–4 gjelder EU AI Act. Fase 5 gjelder NIS2-forberedelse (NIS2 er ikke i kraft i Norge ennå – FOR_LEGAL_REVIEW). Fase 6 er løpende audit-beredskap.

Kilde: Forordning (EU) 2024/1689 · NIS2-direktiv 2022/2555 · Digitalsikkerhetsloven 2023-12-20-108 · Verifisert 2026-06-26.

Fase 1

AI-inventar

  • Kartlegg alle KI-systemer i bruk (ATS, chatboter, CV-screening, prestasjonsvurdering, videoanalyse)
  • Identifiser rolle for hvert system: er dere provider, deployer eller begge deler?
  • Registrer datatype, hensikt og brukergruppe per system
  • Merk systemer med potensielt høyrisiko-scope (Annex III punkt 4: rekruttering, vurdering)
  • Dokumenter leverandørkjeden: hvem utvikler og vedlikeholder systemet?
Fase 2

Artikkel 4 · AI-literacy

  • Identifiser roller som opererer, bruker eller påvirkes av KI-systemene
  • Definer literacy-nivå per rolle proporsjonalt med teknisk kunnskap og kontekst
  • Sett opp rollebasert literacy-register (rolle × KI-system × literacy-modul)
  • Gjennomfør og dokumenter literacy-opplæring med attestation-skjema
  • Planlegg halvårlig revisjonssyklus for literacy-registeret
Fase 3

Annex III · Høyrisiko-screening

  • Screen hvert KI-system mot Annex III punkt 4 (rekruttering, prestasjonsvurdering, oppsigelse)
  • Ved høyrisiko-klassifikasjon: innhent Annex IV-dokumentasjon fra systemleverandøren
  • Sett opp risikostyringssystem (Art. 9) for høyrisiko-systemer
  • Verifiser at høyrisiko-KI-systemet er registrert i EU-databasen (primær provider-plikt)
  • Dokumenter menneskelig tilsynsprosedyre (Art. 14) for hvert høyrisiko-system
Fase 4

Artikkel 50 · Transparens

  • Identifiser alle kontaktpunkter der KI interagerer direkte med kandidater eller ansatte
  • Implementer KI-disclosure: kandidater informeres i sanntid ved KI-drevne chatboter
  • Merk KI-generert innhold i rekrutteringskommunikasjon tydelig
  • Dokumenter transparens-tiltak i Artikkel 50-disclosure og publiser på nettsted
  • NB: Art. 50 gjelder i EU fra 2. august 2026; norsk ikrafttredelse er FOR_LEGAL_REVIEW
Fase 5

NIS2 · Cybersikkerhet (forberedelse)

  • Vurder om dere er NIS2-pliktig: ≥50 ansatte ELLER omsetning >10M EUR i relevant sektor
  • Gjennomgå eksisterende sikkerhetstiltak mot NIS2 Art. 21-krav (risikoanalyse, MFA, backup, etc.)
  • Forbered NSM-registrering (portal ventes ~1. juli 2026; FOR_LEGAL_REVIEW endelig dato)
  • Etabler hendelsesresponsprosedyre: varsling 24t (initial), 72t (full rapport), 1 mnd (sluttrapport)
  • NB: NIS2 er IKKE i kraft i Norge per juni 2026 – gjeldende lov er digitalsikkerhetsloven (NIS1)
Fase 6

Dokumentasjon og audit-beredskap

  • Samle all compliance-dokumentasjon i ett strukturert audit-bibliotek med versjonering
  • Sørg for kryptografisk signering av leveranser (Ed25519 eller tilsvarende)
  • Forbered DPO-briefing: gap-analyse, tidsplan og residual-risiko per system
  • Utpek intern AI-compliance-ansvarlig (kan kombineres med DPO-rollen)
  • Sett opp halvårlig revisjonsrutine for inventar, literacy-register og sikkerhetstiltak

Trenger du hjelp til å krysse av?

PowerQuant Modul 1 leverer fasene 1–2 (AI-inventar + Artikkel 4-register) på 5 virkedager. Modul 2 dekker fase 4 (Procurement Evidence Pack). Kontakt oss for norsk prising.

Kontakt oss →Les om Modul 1 →