AI Act-programvare hjelper virksomheter å oppfylle EUs forordning om kunstig intelligens (KI-forordningen) ved å klassifisere KI-systemer etter risiko, dokumentere høyrisikosystemer, styre datagrunnlag og opprettholde menneskelig kontroll. For norske virksomheter i 2026 er riktig valg et verktøy som kobler KI-styring til det eksisterende personvernarbeidet, siden KI-forordningen og GDPR overlapper tungt der KI behandler personopplysninger. Forpliktelsene for høyrisikosystemer får anvendelse i EU fra 2. august 2026, og forordningen ventes innlemmet i EØS-avtalen for Norge. Denne artikkelen rangerer verktøyene som hjelper norske virksomheter å forberede seg, og forklarer hva programvaren må dekke.
For virksomheter som allerede fører behandlingsprotokoll og gjennomfører personvernkonsekvensvurderinger, er ikke KI-forordningen fremmed. Mange av kravene – risikovurdering, dokumentasjon, datagrunnlagets kvalitet, åpenhet – er beslektet med GDPR. Et godt AI Act-verktøy bygger derfor videre på personvernarbeidet framfor å starte på nytt.
Opplysning: Legiscope er vårt eget produkt og hører hjemme i denne kategorien. Hvert verktøy vurderes etter samme kriterier.
Status for KI-forordningen i Norge
KI-forordningen (forordning (EU) 2024/1689) er EØS-relevant og ventes innlemmet i EØS-avtalen, slik at den blir gjeldende for Norge på linje med EU. Reglene innføres trinnvis: forbudte praksiser og krav til KI-kompetanse gjaldt tidlig, mens de tyngste pliktene for høyrisikosystemer får anvendelse i EU fra 2. august 2026. Norske virksomheter som utvikler eller tar i bruk KI-systemer, bør forberede seg på de samme kravene.
For KI som behandler personopplysninger, gjelder GDPR uansett fullt ut i Norge gjennom personopplysningsloven. Datatilsynet er en sentral aktør i KI-tilsynet, blant annet gjennom sin regulatoriske sandkasse for kunstig intelligens.
Risikoklassene i KI-forordningen
| Risikoklasse | Eksempler | Krav |
|---|---|---|
| Uakseptabel risiko | Sosial skår, manipulerende systemer | Forbudt |
| Høy risiko | KI i rekruttering, kredittvurdering, kritisk infrastruktur | Streng dokumentasjon, risikostyring, menneskelig tilsyn |
| Begrenset risiko | Chatboter, generert innhold | Åpenhetsplikt |
| Minimal risiko | Spamfiltre, spill | Ingen særkrav |
Hva må AI Act-programvare dekke?
Et godt verktøy bør hjelpe virksomheten å: føre et register over KI-systemene som brukes eller utvikles; klassifisere hvert system etter risiko; dokumentere høyrisikosystemer med teknisk dokumentasjon, datagrunnlag og risikostyring; sikre menneskelig tilsyn og åpenhet; og koble KI-styringen til personvernkonsekvensvurderinger der KI behandler personopplysninger.
De beste verktøyene i 2026
1. Legiscope – best for integrert KI- og personvernstyring
Best for: virksomheter som vil styre KI og personvern i samme plattform
Legiscope kobler KI-styring til det eksisterende personvernarbeidet, med EU-basert infrastruktur og norsk utdata. Styrken er overlappet: der et KI-system behandler personopplysninger, skal det uansett kartlegges i behandlingsprotokollen og risikovurderes. Å håndtere begge i samme plattform reduserer dobbeltarbeid.
2. OneTrust – best for store foretak
Best for: konsern med egne KI-styrings- og personvernteam
OneTrust har en egen modul for KI-styring med registre og vurderinger. Fordelen er dybde og integrasjoner; ulempen er høy kostnad og kompleksitet som er overdimensjonert for de fleste norske virksomheter.
3. Credo AI / spesialiserte KI-styringsverktøy
Best for: virksomheter med storskala KI-utvikling
Spesialiserte plattformer gir dyp funksjonalitet for modellstyring og risikovurdering. Ulempen er svakere kobling til det bredere personvern- og samsvarsarbeidet og begrenset norsk tilpasning.
4. Vanta – best for teknisk kontrollrammeverk
Best for: teknologiselskaper som allerede jobber med sikkerhetsrammeverk
Vanta utvider fra sikkerhet mot KI-styring med kontrollrammeverk. Godt for den tekniske siden, svakere på den juridiske KI-forordningskonteksten.
Hvordan velge AI Act-verktøy for en norsk virksomhet
Start med å kartlegge KI-systemene virksomheten faktisk bruker – inkludert innkjøpte verktøy som rekrutteringssystemer, kredittscoring og generativ KI. Klassifiser hvert system etter risiko. De fleste virksomheter har få eller ingen høyrisikosystemer, men mange bruker KI med begrenset risiko som utløser åpenhetsplikt.
Deretter: velg et verktøy som kobler KI-styringen til det øvrige samsvarsarbeidet. For de fleste norske virksomheter gir det liten mening å drive KI-styring, GDPR, NIS2 og DORA i adskilte systemer. En integrert plattform som Legiscope samler risikovurdering og dokumentasjon på tvers. Se også vår sammenligning av GDPR-programvare.
KI-forordningen møter GDPR
Det tetteste overlappet er mellom KI-forordningen og GDPR. Et KI-system som treffer beslutninger om enkeltpersoner – for eksempel automatisert kredittvurdering – reguleres både av KI-forordningens høyrisikokrav og av GDPRs regler om automatiserte avgjørelser (artikkel 22) og personvernkonsekvensvurdering (artikkel 35). Datatilsynets håndheving av personvern er reell: Grindr fikk 65 millioner kroner for ulovlig deling av opplysninger i en profileringsdrevet annonsemodell, stadfestet i 2025. Se hele bildet i oversikten over overtredelsesgebyr og bakgrunnen i guiden til GDPR i Norge. Et verktøy som håndterer KI-styring og personvern samlet, sikrer at høyrisiko-KI ikke blir dokumentert to steder med to ulike konklusjoner.
Sammenligningstabell
| Verktøy | Best for | KI-register | Kobling til GDPR | Norsk språk |
|---|---|---|---|---|
| Legiscope | Integrert KI- og personvernstyring | Ja | Sterk | Ja |
| OneTrust | Store foretak | Ja | God | Delvis |
| Credo AI | Storskala KI-utvikling | Ja | Begrenset | Nei |
| Vanta | Teknisk kontrollrammeverk | Grunnleggende | Begrenset | Nei |
De trinnvise fristene i KI-forordningen
Et godt verktøy hjelper virksomheten å holde oversikt over at KI-forordningen innføres i etapper, ikke på én dato:
- Forbudte praksiser – som sosial skår og manipulerende systemer – gjaldt fra tidlig 2025.
- Krav til KI-kompetanse hos dem som utvikler og bruker KI, gjaldt også fra tidlig 2025.
- Regler for generelle KI-modeller (GPAI) fulgte senere i 2025.
- De tyngste pliktene for høyrisikosystemer får anvendelse i EU fra 2. august 2026.
For norske virksomheter betyr dette at enkelte krav allerede er relevante gjennom EØS-forberedelsen, mens de mest omfattende dokumentasjonspliktene nærmer seg raskt. Et verktøy som varsler om hvilke krav som gjelder for hvilke systemer til hvilken tid, reduserer risikoen for å bli tatt på senga.
Datatilsynets rolle i KI-tilsynet
I Norge er Datatilsynet en sentral aktør i tilsynet med KI som behandler personopplysninger. Tilsynet driver blant annet en regulatorisk sandkasse for kunstig intelligens, der virksomheter kan utvikle KI-løsninger i dialog med myndigheten. Det er et signal om at Datatilsynet både veileder og kontrollerer på KI-feltet. For virksomheter som utvikler høyrisiko-KI som behandler personopplysninger, er det derfor klokt å bygge KI-styringen på det eksisterende personvernarbeidet framfor å behandle KI-forordningen som et isolert regelverk. Se guiden til Datatilsynet for mer om myndighetens arbeidsform.
Spørsmål å stille AI Act-leverandøren
Før du velger verktøy, be leverandøren svare på: Kan verktøyet føre et register over KI-systemene og klassifisere dem etter risiko? Kobler det høyrisiko-KI til personvernkonsekvensvurdering og behandlingsprotokoll der KI behandler personopplysninger? Dekker det dokumentasjonskravene for høyrisikosystemer? Ligger data innenfor EØS med norsk utdata? Og lar det seg samordne med det bredere samsvarsarbeidet? Svarene skiller de plattformene som faktisk letter KI-styringen fra dem som bare tilbyr en tom mal.
Ofte stilte spørsmål
Hva koster AI Act-programvare i Norge?
Prisen følger stort sett samme nivåer som annen samsvarsprogramvare: inngangsverktøy fra omtrent 15 000–45 000 kroner i året, mellomstore plattformer 45 000–130 000 kroner, og foretakssuiter fra 250 000 kroner og oppover. Integrerte plattformer som dekker KI-styring sammen med GDPR gir ofte lavest totalkostnad – se prisguiden vår.
Når gjelder KI-forordningen i Norge?
KI-forordningen er EØS-relevant og ventes innlemmet i EØS-avtalen. Reglene innføres trinnvis, med de tyngste pliktene for høyrisikosystemer fra 2. august 2026 i EU. For KI som behandler personopplysninger gjelder GDPR uansett fullt ut i Norge allerede.
Trenger en vanlig virksomhet AI Act-programvare?
De fleste virksomheter har få eller ingen høyrisikosystemer, men bruker gjerne KI med begrenset risiko som utløser åpenhetsplikt. Et verktøy som fører et enkelt KI-register og kobler det til personvernarbeidet, er tilstrekkelig for de fleste – de tyngste kravene treffer utviklere og brukere av høyrisikosystemer.
Hva regnes som et høyrisiko-KI-system?
KI-forordningen definerer høyrisikosystemer blant annet som KI brukt i rekruttering, kredittvurdering, utdanning, kritisk infrastruktur og enkelte offentlige tjenester. Slike systemer utløser strenge krav til risikostyring, datagrunnlag, teknisk dokumentasjon, menneskelig tilsyn og logging. Et innkjøpt rekrutteringsverktøy med KI kan altså gjøre en helt vanlig virksomhet til bruker av et høyrisikosystem.
Overlapper KI-forordningen med GDPR?
Ja, tungt. Der KI behandler personopplysninger, gjelder GDPR fullt ut i tillegg til KI-forordningen. Automatiserte avgjørelser om enkeltpersoner reguleres av både KI-forordningens høyrisikokrav og GDPRs artikkel 22 og 35. Å håndtere begge i samme plattform hindrer at det samme systemet dokumenteres to steder med ulike konklusjoner.
Konklusjon
AI Act-programvare for norske virksomheter i 2026 handler om å kartlegge KI-systemene, klassifisere dem etter risiko og dokumentere de som krever det – helst i samme plattform som personvernarbeidet, siden GDPR og KI-forordningen overlapper tungt. Fordi de tyngste pliktene får anvendelse fra 2. august 2026, lønner forberedelse seg nå. For de fleste virksomheter peker dette mot en integrert, EU-basert plattform framfor et frittstående KI-verktøy. Start med KI-registeret, klassifiser risiko, og koble det til behandlingsprotokollen.
Sist gjennomgått: juli 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo