EUs AI-forordning: ny adferdskodeks om merking av AI-generert innhold

De aktuelle pliktene får anvendelse i EU fra 2. august 2026, med en snever overgangsordning for enkelte systemer som allerede er på markedet (se nærmere om fristene nedenfor). I et forsøk på å gjøre etterlevelsen noe enklere for aktørene, har Europakommisjonen nylig publisert en frivillig adferdskodeks om merking av AI-generert innhold. 

Nedenfor går vi gjennom hva artikkel 50 krever, hva kodeksen innebærer, og til slutt hva som gjelder for norske aktører. 

Artikkel 50 består av fire forpliktelser som gjelder for “tilbydere” og “idriftsettere” av AI-systemer. Som “idriftsetter” regnes alle profesjonelle aktører som tar et AI-system i bruk og setter det i drift i en profesjonell sammenheng, med andre ord alle virksomheter som implementerer og benytter AI-systemer i sin virksomhet.  Kravene gjelder uavhengig av om systemet er klassifisert som høyrisiko, og treffer dermed et bredt spekter av virksomheter:  

• Artikkel 50 nr. 1: Tilbydere skal sørge for at fysiske personer informeres når de samhandler med et AI-system, for eksempel en chatbot, med mindre det er åpenbart ut fra sammenhengen.
• Artikkel 50 nr. 2: Tilbydere av generative systemer skal merke syntetisk lyd, bilde, video og tekst i et maskinlesbart format, slik at innholdet kan identifiseres som kunstig generert eller manipulert. Dette kravet gjelder ikke i den grad AI-systemet bare utfører en hjelpefunksjon for standardredigering eller ikke i vesentlig grad endrer inndataene.
• Artikkel 50 nr. 3: Idriftsettere av systemer for følelsesgjenkjenning eller biometrisk kategorisering skal informere de berørte personene om at systemet er i bruk.
• Artikkel 50 nr. 4: Idriftsettere som genererer eller manipulerer bilde, lyd eller video som utgjør en “deepfake”, eller som publiserer AI-generert tekst om saker av offentlig interesse, skal opplyse om dette. Med “deepfake” menes bilde- lyd- eller videoinnhold som ligner eksisterende personer, gjenstander, steder, enheter eller hendelser, og som feilaktig kan framstå for en person som autentisk eller sannferdig. 

Adferdskodeksen konsentrerer seg om de to pliktene som er teknisk og operasjonelt mest krevende: tilbydernes merke- og deteksjonsplikt etter nr. 2 og idriftsetternes merkeplikt etter nr. 4. 

Kommisjonen publiserte den endelige adferdskodeksen 10. juni 2026, etter en åpen prosess med flere utkast og innspill fra industri og akademia. Kodeksen er frivillig, men forventes i praksis å bli den sentrale målestokken for hvordan etterlevelse av artikkel 50 vurderes. Det rettslige grunnlaget ligger i forordningen selv, ikke i kodeksen. 

Tilbydere og idriftsettere av generative AI-systemer kan slutte seg til kodeksen ved å signere den, og signaturen markerer at de vil gjennomføre de relevante tiltakene i kodeksen. Kodeksen er ment å fungere som et praktisk rammeverk for å vise etterlevelse av transparenskravene i AI-forordningen artikkel 50, og for å gi tilsynsmyndighetene et mer ensartet grunnlag for å vurdere etterlevelse. Aktører som ikke signerer, er fortsatt bundet av AI-forordningens krav, men må kunne vise etterlevelse på annet grunnlag. Samtidig presiserer kodeksen at tilslutning til kodeksen ikke i seg selv utgjør endelig eller bindende bevis for at AI-forordningens krav er oppfylt. 

Seksjon 1 retter seg mot tilbydere av generative AI-systemer som omfattes av artikkel 50 nr. 2, og bygger på fire forpliktelser: 

• Merking av AI-generert eller manipulert innhold. Kodeksen legger opp til en flerlaget merkingsmodell. Bakgrunnen er at én enkelt teknisk løsning normalt ikke vil være tilstrekkelig. Som hovedregel skal tilbyderen derfor bruke mer enn én form for teknisk merking. De viktigste formene er digitalt signerte metadata og usynlig vannmerking. Tilbydere skal også gjøre rimelige tiltak for å bevare merkingen. Det betyr blant annet at de ikke bevisst skal fjerne eller endre metadata som allerede følger med innhold som brukes som input og senere bearbeides av AI-systemet. I tillegg skal tilbyderen innta forbud mot bevisst fjerning eller manipulering av slik merking i bruksvilkår, "acceptable use policy" eller annen dokumentasjon.
• Deteksjon av merkingen.  Kodeksen krever at tilbyderen gjør tilgjengelig en deteksjonsløsning, slik at relevante aktører kan kontrollere om innhold er generert eller manipulert av AI-systemet. 
• Krav til løsningene. Merke- og deteksjonsløsningene skal være effektive, samvirkende (interoperable), robuste og pålitelige.
• Testing, verifikasjon og dokumentasjon. Tilbyderne skal sette opp, holde oppdatert og implementere prosesser for etterlevelse, testing, verifikasjon og overvåking. 

Seksjon 2 retter seg mot idriftsettere under artikkel 50 nr. 4, og bygger også på fire forpliktelser: 

• Opplysning om deepfakes og publisert tekst. Idriftsettere skal merke deepfakes og relevant AI-generert eller AI-manipulert tekst på en klar og forståelig måte. Kodeksen legger opp til at dette kan gjøres ved bruk av et felles EU-ikon, eller en annen tilsvarende merking som oppfyller kravene. EU-ikonet er ment som en praktisk løsning. Vedlegget til kodeksen inneholder blant annet egne ikoner for fullt AI-generert innhold og for delvis AI-manipulert innhold (se nærmere under). Kodeksen presiserer også blant annet hvordan merkingen skal plasseres.
• Interne rutiner. Det skal etableres rutiner som gjør idriftsetteren i stand til å oppfylle og dokumentere etterlevelsen. Virksomheten må ha rutiner som sikrer at AI-generert innhold merkes riktig i praksis. Ansatte og relevante eksterne må vite når merking kreves, hvordan den skal brukes, hvem som har ansvar for kontroll, og hvordan feil skal rettes.
• Opplysning for kunstneriske og kreative verk. Kodeksen forklarer hvordan opplysningsplikten anvendes på deepfakes som inngår i åpenbart kunstneriske, kreative, satiriske eller fiktive verk, der det er tilstrekkelig med en mer tilbakeholden merking som ikke griper forstyrrende inn i verket.
• Menneskelig kontroll for publisert tekst. Medietjenestetilbydere etter den europeiske mediefrihetsforordningen kan benytte sine eksisterende redaksjonelle prosedyrer og faglige standarder. Øvrige idriftsettere må etablere egne, egnede retningslinjer. 

Vedlegget fastsetter et sett med EU-ikoner som idriftsettere frivillig kan bruke for å merke AI-generert eller AI-modifisert innhold tydelig. Kjerneikonene er tre: 

Ikonene finnes i noe ulike varianter, og er ment å gi et gjenkjennelig, felles europeisk uttrykk på tvers av medlemsstatene. 

Hovedregelen er at transparensforpliktelsene i artikkel 50 gjelder fra 2. august 2026. EUs “Digital Ombinus” for AI forordningen, som det ble oppnådd politisk enighet om 7. mai 2026, innfører en overgangsordning for eldre systemer. Men ordningen er snever. Fristen utsettes til 2. desember 2026 og gjelder utelukkende den maskinlesbare merkeplikten i artikkel 50 nr. 2, og bare for generative systemer som allerede var brakt i omsetning før 2. august 2026. 

De øvrige pliktene gjelder fra 2. august 2026. Det omfatter plikten til å opplyse brukere om at de samhandler med et AI-system (nr. 1), opplysningsplikten ved følelsesgjenkjenning og biometrisk kategorisering (nr. 3) og idriftsetters merkeplikt for deepfakes og publisert tekst (nr. 4). Nye systemer som bringes på markedet fra og med 2. august 2026, må dessuten etterleve merkeplikten fra dag én.  

Brudd på artikkel 50 kan sanksjoneres med overtredelsesgebyr på inntil 15 millioner euro eller 3 prosent av samlet global omsetning. 

AI-forordningen er ennå ikke innlemmet i EØS-avtalen. Arbeidet med en norsk KI-lov, som skal gjennomføre forordningen i norsk rett, har blitt forsinket fordi forhandlingene om nødvendige EØS-tilpasninger tar lengre tid enn forutsatt, og fordi Norge samtidig må hensynta omnibus-justeringene. Målet er at de norske reglene skal tre i kraft kort tid etter innlemmelse, etter planen i løpet av 2026. Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende KI-tilsyn, mens Datatilsynet har tatt en aktiv rolle i grensesnittet mot personvern. 

At forordningen fremdeles ikke er formelt innlemmet, gir likevel ingen grunn til å avvente. Det er minst tre grunner til det: 

• Norske aktører som tilbyr eller bruker AI-systemer i EU-markedet, eller som retter generativt innhold mot mottakere i EU, er allerede direkte berørt av forordningens regler. Geografisk virkeområde følger markedet, ikke etableringsstaten.
• De norske reglene vil etter alt å dømme speile EU-rammeverket tett. Den som bygger merke- og opplysningsrutiner nå, slipper en hasteimplementering når kravene formelt slår inn, og oppnår et forsprang som ofte merkes i anbuds- og leverandørvurderinger.
• Det finnes allerede norske rettsgrunnlag som rammer uoppgitt AI-innhold, uavhengig av AI-forordningen.  I markedsføringssammenheng kan manglende merking av AI-generert eller manipulert innhold eksempelvis utgjøre en villedende eller urimelig handelspraksis etter markedsføringsloven §§ 6 flg. 

Kodeksen gjennomgår nå en adekvansvurdering i regi av styret for kunstig intelligens (AI board). Blir den godkjent, kan signering brukes som dokumentasjon på etterlevelse ved en eventuell kontroll, med redusert administrativ byrde og økt forutsigbarhet på tvers av medlemsstatene. 

Kommisjonen vil i tillegg publisere utfyllende retningslinjer som klargjør tolkningen og anvendelsesområdet for artikkel 50, blant annet hvilke aktører og systemer som omfattes, hvilke typer innhold som faller innenfor, og hvordan pliktene skal anvendes i praksis for interaksjon, maskinlesbar merking, deepfakes og AI-generert tekst om saker av offentlig interesse. Et utkast til slike retningslinjer har allerede vært på høring, og endelig versjon ventes før pliktene får anvendelse. 

Kartlegg porteføljen mot de fire kategoriene i artikkel 50, og avklar om dere opptrer som tilbyder, idriftsetter eller begge deler. Still kontraktsfestede krav til AI-leverandører om merking og kontroller om verktøyene dere bruker, faktisk støtter dette. For systemer som samhandler direkte med mennesker, bør opplysning gis allerede ved første interaksjon, og på en måte som ivaretar tilgjengelighetshensyn. For virksomheter som bruker AI i markedsføring, bør merkerutiner ses i sammenheng med både AI-forordningen og eksisterende regler, slik som markedsføringsloven. Arbeidet bør starte nå, uavhengig av når forordningen formelt innlemmes i EØS-avtalen. 

Denne artikkelen er ment som generell informasjon og utgjør ikke juridisk rådgivning. Ta gjerne kontakt for en konkret vurdering av hva artikkel 50 betyr for deres virksomhet.