ktg-plugin-marketplace/plugins/ms-ai-architect/skills/ms-ai-governance/references/responsible-ai/ai-act-compliance-guide.md

AI Act Compliance - EU Regulation & Norwegian Implementation

Last updated: 2026-05 Status: GA Category: Responsible AI & Governance

---

Introduksjon

EU AI Act er verdens første omfattende regulering av kunstig intelligens, vedtatt i 2024 og gjeldende fra august 2024 med gradvis innfasing av krav frem til 2027. For Norge som EEA-medlem blir regelverket direkte gjeldende, med planlagt implementering sommeren 2026.

Regelverket innfører en risikobasert tilnærming der AI-systemer klassifiseres i fire kategorier: forbudt, høyrisiko, begrenset risiko og minimal risiko. Majoriteten av forpliktelsene gjelder høyrisiko-systemer, som omfatter AI brukt i kritiske områder som ansettelse, kredittvurdering, rettshåndhevelse og kritisk infrastruktur.

Hvorfor dette er viktig for norsk offentlig sektor:

• Omfatter AI-systemer brukt i forvaltning og velferdstjenester
• Krav til dokumentasjon, transparens og menneskerettigheter
• Compliance-krav før AI-systemer settes i produksjon
• Betydelige bøter for brudd (opp til 7% av global omsetning eller 35M EUR)

Microsoft sin posisjon: Microsoft er forpliktet til AI Act compliance og har bygget readiness gjennom sin Responsible AI Standard. Azure AI-tjenester utvikles i tråd med regelverkets prinsipper om sikkerhet, transparens og ansvarlighet.

---

Kjernekomponenter / Nøkkelegenskaper

Risikoklassifisering

AI Act kategoriserer AI-systemer i fire nivåer:

Risikonivå	Beskrivelse	Eksempler	Konsekvenser
Forbudt	Uakseptabel risiko for grunnleggende rettigheter	Social scoring, manipulerende systemer, sanntids biometrisk identifikasjon i offentlige rom	Totalt forbud mot markedsføring/bruk
Høyrisiko	Betydelig risiko for helse, sikkerhet eller grunnleggende rettigheter	Rekruttering, kredittvurdering, kritisk infrastruktur, rettshåndhevelse, utdanning	Strenge compliance-krav (se under)
Begrenset risiko	Spesifikke transparenskrav	Chatbots, deepfakes, emotion recognition	Informasjonsplikt til brukere
Minimal risiko	Ubetydelig risiko	Spam-filtre, spill-AI, personalisering	Ingen spesifikke krav, men frivillige codes of conduct oppmuntres

Høyrisiko-systemer: Definisjon

Et AI-system regnes som høyrisiko hvis det oppfyller én av disse kriteriene:

Kategori 1: Sikkerhetskomponenter i regulerte produkter AI som er sikkerhetskomponent i produkter underlagt EU produkt-sikkerhetsdirektiver (medisinsk utstyr, kjøretøy, luftfart, leker, etc.) og krever tredjeparts conformity assessment.

Kategori 2: Annex III-listede bruksområder AI-systemer som brukes i følgende områder (hvis de profilerer individer):

Område	Eksempler fra offentlig sektor
Biometri	Identifikasjon, autentisering i IKT-systemer
Kritisk infrastruktur	Styring av vann-, strøm-, gassforsyning
Utdanning	Karaktersetting, eksamensresultater, studieprogresjonsvurdering
Ansettelse	CV-screening, intervjuvurdering, befordringsbeslutninger
Velferdstjenester	Søknadsbehandling (NAV), tildeling av offentlige tjenester
Rettshåndhevelse	Risikovurdering, etterforskning
Migrasjon og grensekontroll	Søknadsbehandling, risikovurdering
Rettsadministrasjon	Juridisk forskning, saksforberedelse

Viktig unntak: Hvis AI-systemet kun utfører smale prosedyreoppgaver (dokumentformatering, transkribering, OCR) uten beslutningslogikk, regnes det IKKE som høyrisiko.

Compliance-krav for høyrisiko-systemer

Providers av høyrisiko-systemer (de som utvikler/markedsfører) må oppfylle 16 hovedkrav:

Kravområde	Konkret innhold	Microsoft-verktøy
Risk Management System	Kontinuerlig identifisering, analyse og mitigering av risikoer gjennom hele livssyklusen	Azure AI Foundry risk assessments, MITRE ATLAS framework
Data Governance	Relevante, representative og feilfrie treningsdata; bias-analyse	Microsoft Purview Data Lifecycle Management, data lineage
Technical Documentation	Komplett dokumentasjon av design, utvikling, testing	Azure AI Foundry reports (PDF/SPDX), model cards
Record-keeping	Automatisk logging av events for sporbarhet	Azure Monitor, Log Analytics, Purview audit logs
Transparency	Brukere skal forstå systemets kapabiliteter og begrensninger	Transparency notes, model cards
Human Oversight	Mekanismer for human-in-the-loop i kritiske beslutninger	Azure Logic Apps, Power Automate approval workflows
Accuracy, Robustness, Security	Høy presisjon, resiliens mot feil, cybersecurity	Azure AI Content Safety, adversarial testing (PyRIT)
Quality Management System	ISO-lignende kvalitetsstyring for hele utviklingsløpet	ISO 42001:2023 (Microsoft sertifisert for M365 Copilot, Copilot Studio, Microsoft Foundry, Security Copilot, GitHub Copilot, Dragon Copilot) (Verified MCP 2026-04)
Conformity Assessment	Pre-deployment vurdering (intern eller ekstern)	Azure AI Foundry evaluation metrics, Compliance Manager
CE-merking	Registrering i EU database før markedsføring	(Gjelder ikke SaaS-tjenester fra Microsoft)
Post-market Monitoring	Kontinuerlig overvåking av performance i produksjon	Microsoft Defender for Cloud AI threat protection

Tidslinje for høyrisiko-krav:

• 2. august 2026: Providers må registrere seg og sine systemer i EU-databasen
• 2. august 2027: Full compliance påkrevd for nye systemer
• Systemer lansert før 2. august 2026 får overgangsperiode til 2030

Deployers (brukere) sine forpliktelser

Organisasjoner som tar i bruk høyrisiko-systemer har også ansvar:

1. Due diligence: Sikre at systemet er CE-merket og dokumentert
2. Input-datakvalitet: Påse at data som mates inn er relevante og representative
3. Human oversight: Implementere menneskelig tilsyn som provider har designet for
4. Incident reporting: Rapportere alvorlige hendelser til tilsynsmyndighet
5. Fundamental rights impact assessment: For offentlig sektor er dette obligatorisk før deployment

---

Arkitekturmønstre

Pattern 1: Compliance by Design (Microsoft Azure-stack)

For organisasjoner som bygger egne AI-løsninger på Azure:

┌─────────────────────────────────────────────────────────────┐
│ Governance Layer                                             │
│ • Microsoft Purview Compliance Manager (EU AI Act template) │
│ • Azure Policy (infrastructure controls)                    │
│ • Microsoft Entra ID (identity governance)                  │
└─────────────────────────────────────────────────────────────┘
                            │
┌─────────────────────────────────────────────────────────────┐
│ Development Layer                                            │
│ • Azure AI Foundry (model development + evaluation)         │
│ • AI Red Teaming Agent (pre-deployment adversarial testing) │
│ • Model cards + transparency notes (documentation)          │
│ • AI Reports (PDF/SPDX export for audits)                   │
└─────────────────────────────────────────────────────────────┘
                            │
┌─────────────────────────────────────────────────────────────┐
│ Runtime Layer                                                │
│ • Azure AI Content Safety (input/output filtering)          │
│ • Azure Monitor + Log Analytics (record-keeping)            │
│ • Human-in-the-loop workflows (Logic Apps/Power Automate)   │
│ • RBAC + managed identities (security)                      │
└─────────────────────────────────────────────────────────────┘
                            │
┌─────────────────────────────────────────────────────────────┐
│ Monitoring Layer                                             │
│ • Microsoft Defender for Cloud (AI threat protection)       │
│ • Application Insights (performance metrics)                │
│ • Purview Insider Risk Management (misuse detection)        │
└─────────────────────────────────────────────────────────────┘

Forklaring:

• Governance Layer: Oversetter AI Act-krav til tekniske kontroller (Azure Policy definitions for AI workloads)
• Development Layer: Sikrer at AI-modeller utvikles med compliance built-in (risk assessments, bias testing)
• Runtime Layer: Håndhever guardrails i produksjon (content filtering, human oversight)
• Monitoring Layer: Post-market monitoring for kontinuerlig compliance

Pattern 2: SaaS AI Compliance (Microsoft 365 Copilot, Copilot Studio)

For organisasjoner som bruker Microsofts managed AI-tjenester:

Microsoft's ansvar (Provider):
├─ Conformity assessment
├─ Technical documentation
├─ CE-marking (hvis relevant)
├─ Quality management system (ISO 42001 sertifisert)
└─ Baseline security + robustness

Kunde's ansvar (Deployer):
├─ Fundamental rights impact assessment (offentlig sektor)
├─ Human oversight implementation
├─ Input data quality assurance
├─ User training and transparency
└─ Incident reporting (via Support)

Shared responsibility-modellen:

• Microsoft håndterer provider-forpliktelsene (conformity assessment, documentation)
• Kunden må håndtere deployer-forpliktelsene (impact assessment, oversight)
• Viktig: Microsoft 365 Copilot og Copilot Studio har baseline assessment automatisk provisjonert i Compliance Manager når lisens kjøpes

Pattern 3: Fundamental Rights Impact Assessment (FRIA) - Offentlig sektor

AI Act krever obligatorisk FRIA for offentlig sektor før deployment av høyrisiko-systemer.

Steg i FRIA-prosessen:

Steg	Aktivitet	Microsoft-verktøy
1. Scope	Identifiser AI-systemet og påvirkede rettigheter (personvern, ikke-diskriminering, ytringsfrihet)	Priva Privacy Assessments
2. Data kartlegging	Dokumenter datakilder, behandlingsformål, lagringstid	Microsoft Purview Data Map
3. Risikovurdering	Analyser potensielle skader på grunnleggende rettigheter	Compliance Manager risk assessment templates
4. Mitigering	Design kontroller (HITL, bias-testing, transparens)	Azure AI Content Safety, Logic Apps approvals
5. Stakeholder konsultasjon	Involver berørte grupper og tillitsvalgte	(Manuell prosess)
6. Dokumentasjon	Lagre FRIA-rapport og revisjonsspor	Microsoft Purview (DLP policies for doc protection)
7. Monitoring	Kontinuerlig evaluering etter deployment	Microsoft Defender for Cloud, Communication Compliance

Confidence: Medium-High — FRIA-kravet er eksplisitt i AI Act Article 27, men detaljert veiledning fra EU Commission kommer først i Q3 2026.

---

Beslutningsveiledning

Beslutningstre: Er mitt AI-system høyrisiko?

START: Har du et AI-system?
    │
    ├─ Ja → Er det en sikkerhetskomponent i regulert produkt (medisinsk utstyr, bil, etc.)?
    │       │
    │       ├─ Ja → Krever det 3rd party conformity assessment?
    │       │       │
    │       │       ├─ Ja → HØYRISIKO ✓
    │       │       └─ Nei → IKKE høyrisiko
    │       │
    │       └─ Nei → Er det listet i Annex III (biometri, rekruttering, kreditt, etc.)?
    │               │
    │               ├─ Ja → Profilerer det individer (automatisert personvurdering)?
    │               │       │
    │               │       ├─ Ja → HØYRISIKO ✓
    │               │       └─ Nei → IKKE høyrisiko (smal prosedyreoppgave)
    │               │
    │               └─ Nei → Begrenset risiko (chatbot?) eller minimal risiko
    │
    └─ Nei → Regelverket gjelder ikke

Eksempler fra norsk offentlig sektor:

Use case	Høyrisiko?	Begrunnelse
NAV: AI-assistert søknadsbehandling for uføretrygd	JA	Annex III (velferdsytelser) + profiling av søkere
Helsedirektoratet: AI for pasientdiagnostikk	JA	Annex III (helsevesen) + sikkerhetskomponent i medisinsk utstyr
Direktoratet for digital tjenesteutvikling: Chatbot for saksbehandlingspørsmål	NEI	Begrenset risiko (transparenskrav, men ikke høyrisiko)
Kommune: AI-drevet dokumentklassifisering (kun metadata)	NEI	Smal prosedyreoppgave uten profiling
Politiet: Prediktiv policing (risikovurdering)	JA	Annex III (rettshåndhevelse) + høy menneskerettighetsimpakt

Sjekkliste: Pre-deployment compliance

For høyrisiko-systemer (både provider og deployer):

• Risk assessment gjennomført (identifisert bias, security, privacy-risikoer)
• Data governance dokumentert (treningsdata-kilder, representativitet, kvalitetskontroll)
• Technical documentation komplett (model card, architecture, evaluation metrics)
• Logging konfigurert (Azure Monitor, Log Analytics workspace)
• Transparency dokumentasjon (brukerveiledning, limitations statement)
• Human oversight implementert (approval workflows for kritiske beslutninger)
• Adversarial testing utført (PyRIT, AI Red Teaming Agent)
• Content safety aktivert (Azure AI Content Safety filters)
• Fundamental rights impact assessment (FRIA) — kun offentlig sektor
• Conformity assessment (intern eller 3rd party) — kun provider
• EU database registration — kun provider (fra august 2026)

For SaaS-løsninger (Microsoft 365 Copilot, Copilot Studio):

• Baseline assessment gjennomgått i Compliance Manager
• FRIA gjennomført (offentlig sektor)
• Human oversight-strategi definert (hvilke Copilot-forslag krever human review?)
• DLP policies konfigurert (unngå at Copilot eksponerer sensitiv data)
• User training levert (transparens om hva Copilot kan/ikke kan gjøre)
• Audit logging aktivert (Purview audit logs for Copilot-interaksjoner)

---

Integrasjon med Microsoft-stakken

Purview Compliance Manager: AI Act-støtte

Automatisk assessment for AI apps (GA):

Compliance Manager tilbyr 4 premium AI templates gratis i 6 måneder ved kjøp av Copilot/Agent-lisenser:

1. EU Artificial Intelligence Act ← direkte support for AI Act
2. ISO/IEC 23894:2023 (AI risk management)
3. ISO/IEC 42001:2023 (AI management system)
4. NIST AI RMF 1.0

Automatisk synkronisering fra Azure AI Foundry:

• Compliance Manager kan synkronisere 15 automated evaluation actions fra AI Foundry (reliability, BLEU score, coherence, fluency)
• Real-time pass/fail status vises i Compliance Manager
• Reduserer manuelt arbeid med compliance-rapportering

Hvordan ta i bruk:

1. Gå til Compliance Manager i Microsoft Purview portal
2. Create assessment → velg "EU Artificial Intelligence Act"
3. Scope assessment til relevante AI workloads (Azure subscriptions, M365 services)
4. Assign improvement actions til ansvarlige team members
5. Integrate med Azure AI Foundry for automated evaluation sync (krever AI Project Manager RBAC role)

Confidence: High — Compliance Manager's AI Act template er offisielt lansert og aktivt vedlikeholdt av Microsoft.

Azure AI Foundry: Built-in compliance features

AI Reports for audit readiness:

Azure AI Foundry kan generere compliance-klare rapporter som dekker AI Act dokumentasjonskrav:

• Model cards (modellnavn, versjon, formål, begrensninger)
• Evaluation metrics (accuracy, fairness, robustness)
• Content safety filter configurations
• Export formats: PDF eller SPDX (Software Package Data Exchange)

Hvordan generere:

# I Azure AI Foundry portal
Project → Reports → Create Report
├─ Include: Model card, Evaluations, Safety filters
├─ Export format: PDF (for auditors) eller SPDX (for tech compliance)
└─ Store securely med retention policy (7 år for offentlig sektor)

AI Red Teaming Agent for adversarial testing:

Pre-deployment testing er kritisk for AI Act compliance (robustness + security-kravet).

Supported risk categories:

• Hateful and unfair content
• Sexual content
• Violent content
• Self-harm-related content

Hvordan kjøre:

# I Azure AI Foundry
Evaluation → AI Red Teaming Agent → Select risk categories
├─ Run automated attack scenarios (prompt injections, jailbreaks)
├─ Review failure cases
└─ Mitigate weaknesses before production deployment

Confidence: High — Disse verktøyene er GA og eksplisitt designet for regulatory compliance.

Microsoft Purview: Data governance for AI Act

Key capabilities:

AI Act-krav	Purview-løsning	Bruk i Norge
Data governance (Art. 10)	Data Map, Data Lineage	Spore treningsdata-kilder, valider representativitet
Data residency (offentlig sektor)	Data location controls	Sikre at data ikke forlater Norge/EEA
Record-keeping (Art. 12)	Audit logs, Data Lifecycle Management	Retain AI interaction logs (7 år for offentlig sektor)
Transparency (Art. 13)	Communication Compliance	Detect upassende AI-interaksjoner, enforce disclosure
Privacy (GDPR alignment)	Priva Privacy Assessments	Kjør FRIA med privacy-fokus
DLP for AI outputs	Data Loss Prevention policies	Hindre Copilot i å returnere sensitiv data (SSN, kredittkort)

Eksempel: DLP policy for Copilot i NAV-kontekst:

Policy: "Blokkér eksponering av fødselsnummer i Copilot-svar"
├─ Scope: Microsoft 365 Copilot, Copilot Studio agents
├─ Condition: Output inneholder norsk fødselsnummer (11 siffer)
├─ Action: Block output + log incident
└─ Notification: Alert security team

Microsoft Defender for Cloud: AI threat protection

Post-market monitoring (AI Act Art. 72):

Defender for Cloud's AI threat protection detekterer:

• Prompt injection-forsøk
• Data exfiltration via AI-grensesnitt
• Unauthorized access til AI models
• Adversarial manipulation

Hvordan aktivere:

1. Enable Defender CSPM (Cloud Security Posture Management) plan
2. Activate AI workload protection (covers Azure OpenAI, AI Foundry)
3. Configure alerts til Azure Monitor + Microsoft Sentinel
4. Define incident response playbooks (auto-disable rogue AI agent)

Confidence: High — AI threat protection er GA og integrert i Defender for Cloud.

---

Offentlig sektor (Norge)

Norsk implementering av AI Act

Status per februar 2026:

• Lovutkast publisert: 30. juni 2025
• Høringsfrist: 30. september 2025
• Planlagt ikrafttredelse: Sommeren 2026 (målsetting august 2026)
• Tilsynsmyndighet: Nasjonal kommunikasjonsmyndighet (Nkom) — koordinerende rolle
• Akkrediteringsorgan: Norsk Akkreditering (for conformity assessment bodies)
• Støtteinfrastruktur: AI Norge etableres hos Digdir (ekspertise + veiledning)

Nkom's rolle:

• Koordinere compliance-tilsyn på tvers av sektorer
• Fungere som single point of contact mot EU-organer
• Sikre enhetlig tolkning av AI Act i Norge

Sektorspesifikke myndigheter:

• Datatilsynet: AI-systemer med personvernimplikasjon (GDPR overlap)
• Helsetilsynet: AI i helsevesen
• Arbeidstilsynet: AI i rekruttering/HR
• Utdanningsdirektoratet: AI i utdanningssektorer

Confidence: High — Informasjon bekreftet fra Regjeringen.no og White & Case regulatory tracker (januar 2026).

Særskilte hensyn for norsk offentlig forvaltning

Forvaltningsloven og AI Act:

Norsk forvaltningslov har allerede krav om:

• Begrunnelsesplikt for vedtak
• Innsyn i saksbehandling
• Forsvarlighetskrav

AI Act forsterker disse kravene for AI-støttede vedtak:

Krav	Forvaltningsloven	AI Act (høyrisiko)
Begrunnelse	Ja (§ 25)	Ja (Art. 13 - transparency)
Innsyn i prosess	Ja (offentlighetsloven)	Ja (Art. 12 - record-keeping)
Menneskelig kontroll	Implisitt	Eksplisitt (Art. 14 - human oversight)
Konsekvensutredning	Nei (kun ved innføring av IKT-systemer)	Ja (FRIA obligatorisk, Art. 27)

Praktisk implikasjon: En kommunes AI-drevne søknadsbehandling må ikke bare følge forvaltningsloven, men også dokumentere at AI-systemet oppfyller AI Act-krav (data quality, bias-testing, human oversight). Manglende compliance kan ugyldiggjøre vedtak.

Eksempel: NAV og AI Act compliance

Scenario: NAV utvikler AI-system for å prioritere søknader om arbeidsavklaringspenger (AAP).

AI Act-klassifisering: Høyrisiko (Annex III - velferdsytelser)

Compliance-krav:

1. Risk assessment: Identifiser risiko for diskriminering (alder, kjønn, etnisitet)
2. Data governance: Dokumenter at treningsdata er representative for hele befolkningen (ikke bias mot visse grupper)
3. Technical documentation: Model card som forklarer hvordan AI prioriterer saker
4. Logging: Alle AI-anbefalinger logges med timestamp + input data
5. Transparency: Søkere informeres om at AI brukes i saksbehandling
6. Human oversight: Saksbehandler må alltid godkjenne AI-prioritering før handling
7. FRIA: Gjennomfør fundamental rights impact assessment (personvern, likestilling, rettssikkerhet)
8. Conformity assessment: NAV (som provider av systemet) må gjennomføre intern conformity assessment
9. EU database registration: NAV må registrere systemet i EU-databasen før produksjonssetting (fra aug 2026)

Microsoft-verktøy for NAV:

• Azure AI Foundry for utvikling + evaluation
• Purview Compliance Manager med AI Act template
• Purview Data Map for data lineage (spore datakilder)
• Azure AI Content Safety for å filtrere upassende input
• Power Automate for human-in-the-loop approval workflows
• Microsoft Defender for Cloud for post-market monitoring

Confidence: High — Dette er et realistisk scenario basert på AI Act's Annex III og eksisterende NAV-prosesser.

Sanksjonsmyndighet og bøter

Overtredelseskategorier og bøter (Art. 99):

Overtredelse	Bøteramme (bedrift)	Bøteramme (SMB/startup)
Brudd på forbudte systemer (Art. 5)	Opp til €35M eller 7% av global omsetning	Opp til €7,5M eller 1,5% av omsetning
Brudd på høyrisiko-krav (Art. 8-15)	Opp til €15M eller 3% av global omsetning	Opp til €3M eller 0,6% av omsetning
Brudd på transparenskrav	Opp til €7,5M eller 1,5% av global omsetning	Opp til €1,5M eller 0,3% av omsetning
Falsk informasjon til myndighet	Opp til €7,5M eller 1,5% av global omsetning	Opp til €1,5M eller 0,3% av omsetning

Viktig for offentlig sektor: Selv om offentlige virksomheter ikke har "omsetning", kan administrative sanksjoner pålegges. Nkom kan kreve stans av AI-systemer som ikke oppfyller kravene.

---

Kostnad og lisensiering

Compliance-kostnader: Estimat for norsk offentlig sektor

Engangs-investeringer (høyrisiko-system):

Aktivitet	Estimert kostnad (NOK)	Tidsbruk
Fundamental rights impact assessment (FRIA)	150 000 - 400 000	2-6 uker (ekstern konsulent)
Conformity assessment (intern)	200 000 - 600 000	4-8 uker (dedikert team)
Technical documentation + model cards	100 000 - 300 000	2-4 uker
Adversarial testing (red teaming)	150 000 - 400 000	2-4 uker
Human oversight workflow design	100 000 - 250 000	2-3 uker
Total engangskostnad	700 000 - 2 000 000 NOK	3-6 måneder

Årlige driftskostnader:

Aktivitet	Estimert kostnad (NOK/år)
Post-market monitoring (logging, alerts)	100 000 - 300 000
Incident response readiness	50 000 - 150 000
Compliance audits (årlig review)	150 000 - 400 000
Total årlig kostnad	300 000 - 850 000 NOK

Kostnadsreduksjon med Microsoft-stack:

• Purview Compliance Manager: €0 for AI templates (inkludert i E5/Copilot-lisens)
• Azure AI Foundry reports: €0 (inkludert i AI Foundry subscription)
• Automated evaluation sync: Reduserer manuelle compliance-sjekker (estimert 30-40% tidsbesparelse)
• Pre-built guardrails: Azure AI Content Safety koster ~$1-2 per 1000 transactions (billigere enn custom-løsning)

Confidence: Medium — Kostnadsestimater basert på erfaring fra GDPR-compliance prosjekter og konsulentmarkedet i Norge (2024-2026).

Microsoft-lisenser med AI Act-støtte

Inkludert i eksisterende lisenser:

Lisens	AI Act-relevante features
Microsoft 365 E5	Purview Compliance Manager (AI Act template), Purview Audit, Communication Compliance, eDiscovery
Microsoft 365 E5 Compliance	Full Purview suite (DLP, Insider Risk, Data Lifecycle Management)
Azure AI Foundry	AI Reports, AI Red Teaming Agent, evaluation metrics, model cards
Microsoft Defender for Cloud (CSPM)	AI threat protection, vulnerability scanning
Copilot for M365	Baseline AI Act assessment auto-provisioned, built-in content filters

Ekstra kostnader:

• Priva Privacy Assessments: Krever Priva-lisens (pricing på forespørsel)
• Microsoft Purview SDK: Gratis, men krever utviklingsarbeid for integrasjon med 3rd party AI platforms

Confidence: High — Lisensinfo bekreftet fra Microsoft Learn (januar 2026).

---

For arkitekten (Cosmo)

Når kommer AI Act opp i kundesamtaler?

Triggere:

• "Vi skal sette et AI-system i produksjon i offentlig sektor"
• "Hvordan dokumenterer vi at vår AI er compliant?"
• "Trenger vi conformity assessment?"
• "Er Copilot godkjent for bruk i NAV/helsevesen?"

Første spørsmål å stille kunden

1. "Er dere provider (utvikler) eller deployer (bruker) av AI-systemet?" → Bestemmer hvilke forpliktelser som gjelder

2. "Hvilken sector opererer dere i, og hva er use casen?" → Bestem om systemet faller under Annex III (høyrisiko)

3. "Profilerer systemet individer (automatisert personvurdering)?" → Hvis nei, kan det være unntatt høyrisiko selv om det er i Annex III-kategori

4. "Når planlegger dere deployment?" → Før august 2026: mindre press (men god praksis å følge AI Act nå) → Etter august 2026: full compliance påkrevd

5. "Har dere eksisterende GDPR/ISO-prosesser vi kan bygge videre på?" → AI Act compliance er enklere hvis GDPR data governance allerede er på plass

Anbefalinger per scenario

Scenario 1: Kunde bruker Microsoft 365 Copilot (SaaS)

Ditt råd:

• "Microsoft håndterer provider-forpliktelsene (conformity assessment, technical documentation, CE-marking)."
• "Dere må håndtere deployer-forpliktelsene: FRIA hvis offentlig sektor, human oversight-strategi, DLP policies."
• "Start med baseline assessment i Compliance Manager — den er auto-provisioned når dere kjøper lisensen."
• "Definer hvilke Copilot-forslag som krever human review (f.eks. i saksbehandling må saksbehandler alltid godkjenne før vedtak sendes ut)."

Confidence: High

Scenario 2: Kunde bygger custom AI på Azure AI Foundry (høyrisiko)

Ditt råd:

• "Dere er provider, så dere må gjennomføre full compliance-løp: risk assessment, data governance, FRIA (hvis offentlig sektor), conformity assessment."
• "Bruk Compliance Manager's AI Act template som checklist. Assign improvement actions til team members."
• "Sett opp automated evaluation sync mellom AI Foundry og Compliance Manager (krever AI Project Manager RBAC role)."
• "Kjør AI Red Teaming Agent før production deployment — dette dekker robustness-kravet i Art. 15."
• "Eksporter AI Report (PDF format) for auditorer. Lagre i 7 år (norsk bokføringslov for offentlig sektor)."
• "Registrer systemet i EU-databasen før production release (påkrevd fra august 2026)."

Confidence: High

Scenario 3: Kunde har AI i produksjon fra før august 2026

Ditt råd:

• "Dere får overgangsperiode til 2030 for eksisterende systemer, men jeg anbefaler å starte compliance-arbeid nå."
• "Gjennomfør gap analysis mot AI Act-krav: Hva har dere allerede (logging, documentation), hva mangler dere (FRIA, conformity assessment)?"
• "Prioriter høyrisiko-systemer først — low-risk AI kan håndteres senere."
• "Lag en roadmap: 2026 = FRIA + documentation, 2027 = full technical compliance, 2028-2030 = post-market monitoring + audits."

Confidence: Medium-High — Overgangsreglene er klare, men nasjonale myndigheter kan ha ulik enforcement-praksis.

Vanlige misforståelser å korrigere

Misforståelse 1: "Vi bruker bare AI til intern automatisering, så AI Act gjelder ikke." Korreksjon: "AI Act gjelder også intern bruk hvis systemet er høyrisiko. Eksempel: HR-AI for interne befordringsbeslutninger er høyrisiko (Annex III - employment)."

Misforståelse 2: "Microsoft er provider, så vi trenger ikke gjøre noe." Korreksjon: "Dere er deployer, så dere har fortsatt forpliktelser: FRIA (offentlig sektor), human oversight, input data quality assurance, incident reporting."

Misforståelse 3: "Vi kjøper bare off-the-shelf AI, så vi slipper conformity assessment." Korreksjon: "Provider (leverandøren) må gjennomføre conformity assessment. Dere må sjekke at systemet er CE-merket før kjøp. For SaaS (Copilot) håndterer Microsoft dette. For on-prem løsninger: krev dokumentasjon fra leverandør."

Misforståelse 4: "GDPR compliance = AI Act compliance." Korreksjon: "GDPR dekker personvern, men AI Act krever MER: bias-testing, robustness-testing, human oversight-design, transparency-dokumentasjon. De overlapper, men er ikke identiske."

Når henvise til ekstern compliance-konsulent?

Henvis hvis:

• Kunde er provider av høyrisiko-system og trenger 3rd party conformity assessment
• Kunde er i høyrisiko-kategori og mangler intern compliance-kompetanse
• Kunde opererer i svært regulert sektor (helsevesen, finans, politi)
• Kunde trenger legal opinion på om deres system er høyrisiko (edge cases)

Du kan håndtere selv hvis:

• Kunde bruker Microsoft SaaS-løsninger (Copilot, Copilot Studio)
• Kunde bygger på Azure og trenger teknisk veiledning på Microsoft-verktøy
• Kunde trenger arkitekturbeslutninger (hvilke guardrails, hvilke logging-strategier)

Tekniske arkitekturbeslutninger

Human-in-the-loop (Art. 14): Hvordan implementere?

Tre nivåer av human oversight:

Nivå	Implementasjon	Use case
Human-on-the-loop	AI kjører autonomt, men menneske kan stoppe ved behov	Lavrisiko: Chatbot med escalation-knapp
Human-in-the-loop	Menneske må godkjenne hver AI-anbefaling før handling	Høyrisiko: NAV saksbehandling (AI foreslår, saksbehandler bestemmer)
Human-over-the-loop	Menneske overvåker aggregerte metrics og kan justere system	Post-deployment: Compliance team overvåker bias-metrics i produksjon

For høyrisiko-systemer i offentlig sektor: Bruk alltid human-in-the-loop (godkjenningsworkflow).

Implementer med:

• Power Automate approval flows
• Azure Logic Apps (for Azure-native løsninger)
• Custom UI med approval-button + audit log

Logging (Art. 12): Hvor lenge, hva lagre?

Data type	Retention period	Lagringsplass
AI interaction logs (prompts + responses)	7 år (offentlig sektor bokføringslov)	Azure Log Analytics workspace (med data retention policy)
Model evaluation reports	Permanent (hele AI-systemets levetid)	Azure Blob Storage (immutable storage tier)
Incident reports	10 år (for høyrisiko-systemer)	Microsoft Purview eDiscovery cases
User consent records (GDPR)	GDPR minimumskrav (3 år)	Purview Data Lifecycle Management

Confidence: High — Basert på norsk bokføringslov og AI Act Art. 12 (3-10 år retention for høyrisiko-logs).

---

Kilder og verifisering

Primærkilder (EU)

1. Regulation (EU) 2024/1689 (AI Act) — Official Journal of the EU Last accessed: 2026-02-03

2. Article 6: Classification Rules for High-Risk AI Systems — EU Artificial Intelligence Act Confidence: Highest (primary legal source)

3. European Commission AI Act Implementation Timeline — Shaping Europe's Digital Future Last accessed: 2026-02-03

4. European Artificial Intelligence Board (EDPB) Guidelines — Expected Q3 2026 Confidence: Medium (not yet published)

Primærkilder (Norge)

5. Norwegian AI Act Draft (Implementation of EU AI Act) — Regjeringen.no Published: 2025-06-30, Consultation deadline: 2025-09-30 Confidence: High

6. Nasjonal kommunikasjonsmyndighet (Nkom) - National Supervisory Authority — White & Case AI Regulatory Tracker Last accessed: 2026-02-03 Confidence: High

7. AI Norway (Digdir) - National Support Infrastructure — MediaFutures Report Last accessed: 2026-02-03 Confidence: High

Microsoft-dokumentasjon

8. Microsoft AI Act Compliance Commitment — Microsoft Learn: Responsible AI FAQ Last accessed: 2026-02-03 Confidence: Highest

9. Purview Compliance Manager - AI Regulations — Microsoft Learn Last accessed: 2026-02-03 Confidence: Highest

10. Azure AI Foundry - AI Reports for Compliance — Microsoft Tech Community Blog Published: 2024 Confidence: High

11. Microsoft Purview - Govern AI Apps and Data — Microsoft Learn Last accessed: 2026-02-03 Confidence: Highest

12. Azure AI Foundry - Governance and Security for AI Agents — Microsoft Learn Last accessed: 2026-02-03 Confidence: Highest

13. ISO/IEC 42001:2023 - Microsoft Certification — Microsoft Learn Status: M365 Copilot certified Confidence: Highest

Juridiske analyser (3rd party)

14. WilmerHale - High-Risk AI Systems Requirements — WilmerHale Insights Published: 2024-07-17 Confidence: High

15. Pinsent Masons - Guide to High-Risk AI Systems — Out-Law Guides Last accessed: 2026-02-03 Confidence: High

16. A. O. Shearman - Obligations for High-Risk AI Systems — A. O. Shearman Insights Last accessed: 2026-02-03 Confidence: High

Verifikasjonsmetodikk

Confidence-graderinger brukt i dokumentet:

• Highest: Primær lovtekst eller offisiell Microsoft-dokumentasjon
• High: Offisielle regjeringskilder, jusfirma-analyser, Microsoft Tech Community
• Medium-High: Bransjerapporter med god reputasjon
• Medium: Kostnadsestimater, fremtidige tidslinjer (usikkerhet)

MCP-søk utført 2026-02-03:

• microsoft_docs_search: 3 queries (EU AI Act compliance, governance, risk classification)
• WebSearch: 2 queries (EU AI Act 2026 requirements, Norway implementation)
• microsoft_docs_fetch: 3 URLs (Compliance Manager, AI governance guides)

Total sources referenced: 16 (7 primary, 9 secondary/tertiary)

---

Dokumentets status: GA (Generally Available) Neste oppdatering anbefales: Q3 2026 (når EU Commission publiserer detailed guidelines per Art. 6) Owner (Cosmo): Oppdater ved nye Nkom-retningslinjer eller Microsoft-feature launches.