From 3c70206dbda802bc75ce9feb8b3530e58855b1fe Mon Sep 17 00:00:00 2001 From: Kjell Tore Guttormsen Date: Wed, 15 Jul 2026 09:51:15 +0200 Subject: [PATCH] =?UTF-8?q?fix(ms-ai-architect):=20RX-REG-KB=20deferred=20?= =?UTF-8?q?=C3=B8kt=201=20=E2=80=94=20Art.=2049(3)/48(2)=20+=20Nkom=20utpe?= =?UTF-8?q?kt=20+=20arkivlov-retensjon=20[skip-docs]?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 4 per-påstand-verifiserte KB-korrektheter (deferred fra RX-REG-KB økt 1): - compliance-guide: EU-database-registrering var «kun provider» — Art. 49(3) krever at offentlig-myndighet-deployere registrerer seg, velger systemet og registrerer bruken. Lagt til i deployer-plikter + pre-deployment-sjekkliste. Kilde: EUR-Lex CELEX:32024R1689 art. 49(1)/(3). - compliance-guide: CE-merking-raden hevdet «Gjelder ikke SaaS» og konflaterte CE (Art. 48) med registrering (Art. 49). Art. 48(2): digital CE-merking gjelder digitalt levert høyrisiko-AI (inkl. sky/SaaS); utløses av høyrisiko-klassifisering, ikke leveringsmodell. Kilde: EUR-Lex art. 48(1)-(2). - classification-methodology: «Nkom som kandidat» / «fremtidig Nasjonal AI- tilsynsmyndighet» → Nkom utpekt koordinerende markedstilsynsmyndighet + nasjonalt kontaktpunkt. Kilde: regjeringen.no id3093081 (26.03.2025). - provider-obligations: log-retensjon «forvaltningsloven ... 3-10 år» var feil lov + oppdiktet tall → norsk arkivlovgivning (arkivlova LOV-2025-06-20-96, bevaringsforskrifta); oppbevaringstid fastsettes per dok.type, kassasjon krever hjemmel/Nasjonalarkivet. Kilde: Lovdata. Gap-disiplin: lint-seksjon #10 (4 tester) i test-governance-refs-reg-lint.test.mjs er regresjonsvernet. Suite 846→850 exit 0. --- .../ai-act-classification-methodology.md | 4 +- .../responsible-ai/ai-act-compliance-guide.md | 5 +- .../ai-act-provider-obligations.md | 2 +- .../test-governance-refs-reg-lint.test.mjs | 49 +++++++++++++++++++ 4 files changed, 55 insertions(+), 5 deletions(-) diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-classification-methodology.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-classification-methodology.md index 4114f64..01b01f2 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-classification-methodology.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-classification-methodology.md @@ -228,9 +228,9 @@ Kommunen bruker AI til å analysere demografidata for arealplanlegging — ingen **Tilfelle D: Prediktiv politimodell** System som identifiserer geografiske "hotspot"-områder uten å peke ut enkeltpersoner. - Ikke Art. 5(1)(d) (som krever profilering av *enkeltpersoner*) siden systemet ikke peker ut enkeltpersoner → vurder Annex III kategori 5/6 -- Anbefaling: Konsultér Datatilsynet og Nasjonal tilsynsmyndighet for AI (Nkom som kandidat) FØR implementering +- Anbefaling: Konsultér Datatilsynet og Nkom (utpekt koordinerende markedstilsynsmyndighet for KI-forordningen) FØR implementering -**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og fremtidig Nasjonal AI-tilsynsmyndighet. Dokumenter klassifiseringsargumentasjonen uansett utfall. +**Generell anbefaling for grensetilfeller:** Kontakt Datatilsynet (personvern-aspektet) og Nkom (koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for KI-forordningen). Dokumenter klassifiseringsargumentasjonen uansett utfall. --- diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-compliance-guide.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-compliance-guide.md index c802ddd..d9d63ae 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-compliance-guide.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-compliance-guide.md @@ -87,7 +87,7 @@ Providers av høyrisiko-systemer (de som utvikler/markedsfører) må oppfylle ** | **Accuracy, Robustness, Security** | Høy presisjon, resiliens mot feil, cybersecurity | Azure AI Content Safety, adversarial testing (PyRIT) | | **Quality Management System** | ISO-lignende kvalitetsstyring for hele utviklingsløpet | ISO 42001:2023 (Microsoft sertifisert for M365 Copilot, Copilot Studio, Microsoft Foundry, Security Copilot, GitHub Copilot, Dragon Copilot, Dragon Copilot (Radiologist), Copilot Health) *(Verified MCP 2026-06-19)* | | **Conformity Assessment** | Pre-deployment vurdering (intern eller ekstern) | Microsoft Foundry evaluation metrics, Compliance Manager | -| **CE-merking** | Registrering i EU database før markedsføring | (Gjelder ikke SaaS-tjenester fra Microsoft) | +| **CE-merking** (Art. 48) | Samsvarsmerking før omsetning; digitalt leverte høyrisikosystemer bruker **digital CE-merking** (Art. 48(2)). EU-databaseregistrering er en separat plikt (Art. 49) | Utløses av høyrisiko-klassifisering, ikke av leveringsmodell — digital CE-merking gjelder også sky/SaaS | | **Post-market Monitoring** | Kontinuerlig overvåking av performance i produksjon | Microsoft Defender for Cloud AI threat protection | **Tidslinje for høyrisiko-krav (Digital Omnibus, vedtatt — avventer OJ-publisering):** @@ -105,6 +105,7 @@ Organisasjoner som **tar i bruk** høyrisiko-systemer har også ansvar: 3. **Human oversight:** Implementere menneskelig tilsyn som provider har designet for 4. **Incident reporting:** Rapportere alvorlige hendelser til tilsynsmyndighet 5. **Fundamental rights impact assessment:** For offentlig sektor er dette **obligatorisk** før deployment +6. **EU-database-registrering (offentlig sektor):** Deployere som er offentlige myndigheter må registrere seg, velge systemet og registrere bruken i EU-databasen før ibruktakelse (Art. 49(3)) --- @@ -252,7 +253,7 @@ START: Har du et AI-system? - [ ] **Content safety aktivert** (Azure AI Content Safety filters) - [ ] **Fundamental rights impact assessment (FRIA)** — kun offentlig sektor - [ ] **Conformity assessment** (intern eller 3rd party) — kun provider -- [ ] **EU database registration** — kun provider (Art. 49, før omsetning/ibruktakelse) +- [ ] **EU database registration** — provider (Art. 49(1)) og offentlig-myndighet-deployer (Art. 49(3): registrer virksomheten, velg systemet, registrer bruken), før omsetning/ibruktakelse **For SaaS-løsninger (Microsoft 365 Copilot, Copilot Studio):** diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md index f14a3f3..03059ee 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md @@ -176,7 +176,7 @@ Høyrisiko-AI-systemer skal ha innebygd kapasitet for automatisk loggføring av ### Oppbevaringsperiode -**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype). +**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan følge av norsk arkivlovgivning (arkivlova og bevaringsforskrifta) for offentlig sektor, der oppbevaringstiden fastsettes per dokumentasjonstype og kassasjon krever hjemmel eller tillatelse fra Nasjonalarkivet. ### Logg-arkitektur for Microsoft-plattformer diff --git a/tests/kb-update/test-governance-refs-reg-lint.test.mjs b/tests/kb-update/test-governance-refs-reg-lint.test.mjs index d5a6bb3..b8e9e20 100644 --- a/tests/kb-update/test-governance-refs-reg-lint.test.mjs +++ b/tests/kb-update/test-governance-refs-reg-lint.test.mjs @@ -261,3 +261,52 @@ test('norge-ai-strategy: 2020-strategy successor ministry = Digitaliserings- og 'current successor is Digitaliserings- og forvaltningsdepartementet (DFD)'); assert.ok(/Digitaliserings- og forvaltningsdepartementet/.test(md), 'DFD full name present'); }); + +// --- 10. RX-REG-KB deferred Økt 1 (verified 2026-07-15 against EUR-Lex CELEX:32024R1689, +// regjeringen.no id3093081 26.03.2025, and Lovdata) --- +// Ground truth this session (deferred cluster from Økt 1, each claim independently sourced): +// - Art. 49(3): deployers that are PUBLIC AUTHORITIES (or Union institutions/bodies) +// shall register themselves, select the system and register its use in the EU +// database — the checklist «kun provider» omitted this. (EUR-Lex art. 49(1) provider +// / 49(3) public-authority deployer.) +// - Art. 48(2): high-risk AI provided DIGITALLY uses a digital CE marking; the CE-marking +// duty is triggered by high-risk classification, not by delivery model. «Gjelder ikke +// SaaS» is false, and CE marking (Art. 48) is distinct from EU-database registration +// (Art. 49). (EUR-Lex art. 48(1)-(2).) +// - Nkom is the DESIGNATED coordinating market-surveillance authority + national single +// point of contact (regjeringen besluttet, id3093081 26.03.2025) — «Nkom som kandidat» +// and «fremtidig Nasjonal AI-tilsynsmyndighet» are stale. +// - Public-sector log retention beyond 6 months follows norsk ARKIVLOVGIVNING (arkivlova +// LOV-2025-06-20-96, bevaringsforskrifta), NOT forvaltningsloven; the «3-10 år» figure +// is unsourced — retention is set per documentation type / by Nasjonalarkivet. + +test('compliance-guide: EU-database registration covers Art. 49(3) public-authority deployers', () => { + const md = read('ai-act-compliance-guide.md'); + assert.ok(!/\*\*EU database registration\*\* — kun provider/.test(md), + 'Art. 49(3): public-authority deployers must also register — not «kun provider»'); + assert.ok(/Art\. 49\(3\)/.test(md), 'Art. 49(3) public-authority deployer registration cited'); +}); + +test('compliance-guide: CE marking (Art. 48) applies to digitally-provided high-risk AI', () => { + const md = read('ai-act-compliance-guide.md'); + assert.ok(!/Gjelder ikke SaaS-tjenester fra Microsoft/.test(md), + 'digital CE marking (Art. 48(2)) applies to high-risk AI provided digitally, incl. SaaS'); + assert.ok(/Art\. 48\(2\)/.test(md), 'digital CE marking Art. 48(2) cited'); + assert.ok(/digital CE-merking/i.test(md), 'digital CE-marking concept present'); +}); + +test('classification-methodology: Nkom named as designated authority, not «kandidat»/«fremtidig»', () => { + const md = read('ai-act-classification-methodology.md'); + assert.ok(!/Nkom som kandidat/.test(md), 'Nkom is designated, not «kandidat»'); + assert.ok(!/fremtidig Nasjonal AI-tilsynsmyndighet/.test(md), + 'Nkom is the designated coordinating authority, not «fremtidig»'); + assert.ok(/\bNkom\b/.test(md), 'Nkom named'); +}); + +test('provider-obligations: extended log retention cites arkivlovgivning, not «forvaltningsloven … 3-10 år»', () => { + const md = read('ai-act-provider-obligations.md'); + assert.ok(!/3-10 år avhengig av sakstype/.test(md), '«3-10 år» is unsourced/misattributed'); + assert.ok(!/forvaltningsloven for offentlig sektor i Norge/.test(md), + 'retention follows arkivlovgivning (arkivlova/bevaringsforskrifta), not forvaltningsloven'); + assert.ok(/arkivlova/i.test(md), 'arkivlova cited as the retention basis'); +});