EU AI Act: Hva skjer egentlig 2. august 2026?
2. august 2026 går EU AI Act inn i en ny fase, men trolig ikke den fasen mange virksomheter har forberedt seg på. Transparenskravene i artikkel 50 trer i kraft, og AI Office og nasjonale myndigheter får fullt håndhevings- og sanksjonsansvar, også overfor tilbydere av General-Purpose AI)GPAI). Det som derimot ikke skjer på denne datoen, etter en lovendring vedtatt i sommer, er den brede innføringen av høyrisikoforpliktelser som opprinnelig var planlagt.
For de fleste virksomheter handler dette først og fremst ikke om OpenAI, Microsoft eller Google. Det handler om hvordan virksomheten selv bruker AI, og om dere kan dokumentere at det gjøres ansvarlig.
Hva endres på nettopp denne datoen
Det er verdt å være presis på hva 2. august 2026 faktisk dekker, for datoen har endret betydning siden forordningen først ble publisert:
- Håndheving av GPAI-forpliktelsene blir operativ – de materielle forpliktelsene for tilbydere av generell-formål-AI-modeller (artikkel 51–55) har allerede vært gjeldende siden 2. august 2025. Det som endres nå, er at AI Office kan ta i bruk sine håndhevings- og sanksjonsfullmakter overfor disse tilbyderne, inkludert undersøkelser og administrative sanksjoner.
- Transparenskravene i artikkel 50 trer i kraft. De dekker mer enn generativt innhold: opplysningsplikt når brukere samhandler direkte med et AI-system (som chatboter), merking av AI-generert eller manipulert innhold (inkludert deepfakes), og opplysningsplikt ved bruk av emosjonsgjenkjenning og biometrisk kategorisering. Ett unntak: selve kravet om maskinlesbar vannmerking av AI-generert innhold fra systemer som allerede er på markedet før denne datoen, er utsatt til 2. desember 2026.
- Høyrisikosystemer (Annex III) er, verdt å merke seg, ikke lenger en del av denne datoen. EUs «Digital Omnibus», som endrer AI Act, fikk endelig godkjenning i Rådet 29. juni 2026. Den flytter compliance-fristen for frittstående høyrisikosystemer – som dekker områder som rekruttering, kredittscoring, utdanning og samfunnskritiske tjenester – fra 2. august 2026 til 2. desember 2027. Høyrisiko-AI innebygd i regulerte produkter (Annex I), som medisinsk utstyr eller maskiner, flyttes til 2. august 2028.
- Et nytt forbud mot AI-systemer som genererer ikke-samtykkende intime bilder eller CSAM trer også i kraft 2. desember 2026, uavhengig av virksomhetens høyrisikostatus.
Det praktiske bildet: fristen for Annex III er reelt utsatt, ikke kravene i seg selv, og det er en grunn til å bruke den ekstra tiden godt, ikke en grunn til å slutte å forberede seg. Klassifiseringsarbeidet (hvilke systemer som regnes som høyrisiko, hvilke data de behandler) blir ikke enklere av å vente, og håndheving av GPAI, transparenskravene og det nye innholdsforbudet er alle fortsatt høyst gjeldende i 2026.
Hva dette betyr hvis dere ikke selv bygger AI-modeller
De fleste virksomheter er ikke GPAI-tilbydere. De er brukere – som tar i bruk AI gjennom hverdagsverktøy som Microsoft Copilot, ChatGPT, Google Gemini, eller AI-funksjoner bygget inn i eksisterende forretningsapplikasjoner. AI Act gjelder fortsatt for dere, bare gjennom et annet sett forpliktelser: åpenhet, tilsyn og dokumentasjon av hvordan AI brukes, fremfor hvordan den er bygget.
Ettersom AI blir en integrert del av vanlige arbeidsprosesser, flytter den praktiske utfordringen seg fra «bør vi bruke AI» til «vet vi faktisk hvordan vi bruker den». Det betyr å ha reelle svar på:
- Hvilke AI-tjenester som er i bruk i virksomheten
- Hvilke forretningsdata som behandles av disse tjenestene
- Om sensitiv eller regulert informasjon deles med AI-modeller
- Hvordan AI-generert output blir gjennomgått før den tas i bruk
- Om AI-leverandørene deres oppfyller sine regulatoriske forpliktelser – og hvordan dette påvirker virksomhetens egen risikoprofil
Ett krav gjelder for øvrig allerede, uavhengig av datoen 2. august: AI Act krever at virksomheter sørger for tilstrekkelig AI-kompetanse («AI literacy») hos ansatte som utvikler eller bruker AI-systemer. Dette har vært gjeldende siden februar 2025, og er for mange virksomheter det første konkrete tiltaket å få på plass.
For mange virksomheter har innføringen av AI gått raskere enn styringen av den. Fristen 2. august er mindre en plutselig ny byrde, og mer en anledning til å tette et gap som sannsynligvis allerede finnes.
Sikkerhetsperspektivet
Etterlevelse av AI Act og AI-sikkerhet er ikke separate arbeidsstrømmer – de overlapper i stor grad. De samme synlighetsproblemene som skaper compliance-risiko, skaper også sikkerhetsrisiko:
- Shadow AI – verktøy ansatte tar i bruk uten IT-avdelingens viten, som ofte behandler sensitive data utenfor ethvert styringsrammeverk
- Identitets- og tilgangsstyring – hvem som kan koble hvilke data til hvilken AI-tjeneste, og under hvilke betingelser
- Tredjeparts- og leverandørkjederisiko – AI-leverandørenes compliance-nivå blir en del av deres egen eksponering
- Beskyttelse av sensitiv informasjon – å forhindre at konfidensiell eller regulert informasjon havner i en AI-tjenestes treningsgrunnlag eller brukes videre på en måte virksomheten ikke har kontroll over
Eksisterende sikkerhetskontroller er fortsatt relevante, men de må utvides slik at AI-tjenester omfattes av de samme prinsippene for identitets- og tilgangsstyring, logging, databeskyttelse og overvåking.
Hvordan NetNordic kan hjelpe
Vi hjelper virksomheter med å bygge AI-styring som står i forhold til reell risiko, ikke bare en øvelse på papiret:
- AI-modenhetsvurderinger
- Utvikling av AI-styring og retningslinjer
- AI-risikovurderinger
- Gjennomgang av sikkerhetsarkitektur
- Sikkerhetsvurderinger av Microsoft Copilot og Azure AI
- Identitets- og tilgangsstyring
- Sikkerhetsovervåkning og rådgivning
Virksomheter som etablerer styring nå, før fristen tvinger frem tiltak, står bedre rustet til å ta i bruk AI med trygghet, oppfylle regulatoriske forventninger og opprettholde tilliten hos kunder og interessenter. Vi bistår på flere områder med sikkerhet og rådgivning. Les mer her om hva vi tilbyr av tjenester.
De fleste virksomheter vet allerede at de bruker AI. Færre vet hvor den brukes, hvilke data som behandles, eller hvordan dette kan dokumenteres. Det er nettopp dette gapet AI-styring handler om.
Vil du vite hvor din virksomhet står?
Ta kontakt med teamet vårt for en samtale om AI-risikoeksponeringen deres foran augustfristen.
Kilder
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
FortiBleed-saken: Beviset på at stjålet tilgang sjelden blir liggende ubrukt
Når angriperne går gjennom leverandøren din
Digitalsikkerhetsloven: Hvorfor cybersikkerhet nå er et lederansvar
Advokatfirmaet trodde de var sikret.
OT-kontroll handler ikke bare om sikkerhet
Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!