Art. 4 KI-kompetanse: 5 ting norsk SMB må ha på plass
Technobridge
11. mai 2026
EU AI Acts artikkel 4 om KI-kompetanse trådte i kraft 2. februar 2025 og gjelder alle bedrifter som bruker AI. Her er fem konkrete tiltak en norsk SMB kan gjennomføre på én uke.
Hva krever artikkel 4 av din bedrift?
EU AI Acts artikkel 4 om KI-kompetanse trådte i kraft 2. februar 2025. Det betyr at norske bedrifter som bruker kunstig intelligens — også de aller minste — har en formell plikt til å sikre tilstrekkelig kompetanse hos egne ansatte og hos eksterne som bruker AI på vegne av bedriften.
Den gode nyheten er at kravet er bevisst fleksibelt. EU-kommisjonens AI Office har uttrykkelig presisert at de ikke vil innføre strenge krav til artikkel 4. Det er ingen sertifisering, ingen test og ingen detaljerte opplæringskrav. Men du må kunne dokumentere at du har gjort noe.
Her er fem konkrete grep en norsk SMB bør gjøre nå — alle kan gjennomføres på én uke.
1. Kartlegg hvilken AI dere faktisk bruker
Det første steget er å lage en enkel oversikt over alle AI-verktøy ansatte bruker i arbeidshverdagen — inkludert de såkalte skygge-IT-løsningene som noen har tatt i bruk på eget initiativ. Oversikten bør inneholde hvilket verktøy det er snakk om, hvem som bruker det, hva det brukes til, og en enkel risikoklassifisering.
For de fleste SMB-er vil risikoklassifiseringen nesten alltid havne i kategoriene "begrenset" eller "minimal". Det er ikke et lovkrav å ha en slik tabell, men det er fundamentet for alt annet arbeid med AI-kompetanse. Nkom anbefaler eksplisitt denne typen kartlegging som et første skritt.
2. Skriv en intern AI-veileder på to til tre sider
Veilederen trenger ikke være et juridisk dokument. Den skal forklare hva ansatte kan bruke AI til, hvilke datatyper som aldri skal mates inn — som personopplysninger, forretningshemmeligheter og kundekontrakter — hvordan AI-genererte resultater skal verifiseres før de brukes eksternt, og hvem ansatte skal kontakte hvis de er usikre.
Skriv veilederen i din bedrifts egen tone. Det viktige er at den eksisterer, at den deles med alle relevante medarbeidere, og at den oppdateres når noe vesentlig endrer seg i verktøyene dere bruker eller i regelverket rundt dem.
3. Avhold en intern økt om ansvarlig AI-bruk
Sett av 45 minutter i et ordinært teammøte. Gå gjennom kartleggingen og veilederen sammen med de ansatte. Bruk konkrete eksempler på hva som er akseptabel bruk, og hva som ikke er det. Gi rom for spørsmål — det er ofte her den reelle kompetansebyggingen skjer.
Det viktigste etter møtet er å dokumentere at det faktisk ble gjennomført. En kort e-post til alle ansatte der du bekrefter at AI-veiledningen ble gjennomgått i dagens møte er tilstrekkelig dokumentasjon. Enkelt, men effektivt.
Forholdsmessighet er nøkkelordet. En markedsansatt som bruker ChatGPT trenger ikke samme dybde som en utvikler som bygger AI-systemer.
— EU AI Office — AI Literacy Q&A
4. Inkluder eksterne samarbeidspartnere i policy-en
Artikkel 4 omfatter eksplisitt andre personer som håndterer drift og bruk av AI-systemer på bedriftens vegne. Det betyr at konsulenter, frilansere og innleide ressurser som bruker AI for din bedrift, også må ha den samme bevisstheten som egne ansatte.
Det praktiske grepet er å sende AI-veilederen til relevante eksterne parter, og å inkludere en tydelig setning om AI-bruk i konsulentkontraktene fremover. Dette trenger ikke være komplisert — et enkelt tillegg i standardkontrakten er tilstrekkelig for de fleste.
5. Sett en oppfølgingsrutine som faktisk følges
Kompetanse er ferskvare i et landskap der AI-verktøy og regelverk endrer seg månedlig. Uten en fast rutine vil kartleggingen og veilederen raskt bli utdatert og miste sin verdi.
En kvartalsvis gjennomgang sikrer at verktøy-oversikten er oppdatert. En kort årlig oppfriskning gir ansatte ny innsikt i endringer og ny praksis. I tillegg bør nye ansatte lese veilederen som en del av sin første uke i bedriften — det gjør AI-kompetanse til en naturlig del av onboardingen fremfor et etterpåklokskaps-tiltak.
Vanlige misforståelser om artikkel 4
Det finnes flere utbredte misforståelser om hva artikkel 4 faktisk krever, og det er verdt å rydde opp i de viktigste.
En vanlig misforståelse er at alle ansatte må gjennomføre et sertifisert AI-kurs. Det stemmer ikke. AI Office understreker at kravene skal være forholdsmessige — og en markedsansatt som bruker ChatGPT trenger langt mindre opplæring enn en utvikler som bygger AI-systemer fra bunnen av.
En annen misforståelse er at det kreves målbare kompetansetester. Det gjør det ikke. Det finnes ingen krav til testing eller måling, men du må kunne vise at opplæring har funnet sted.
Mange tror også at plikten bare gjelder store bedrifter. Feil. Plikten gjelder alle som bruker eller leverer AI — også enkeltpersonsforetak som bruker AI i tjenesteleveranse til kunder.
Til sist: noen tror de ikke er berørt før norsk lov vedtas. Formelt sett er forordningen ennå ikke inkorporert i norsk rett, med forventet ikrafttredelse sensommeren 2026. Men norsk lov forventes å speile EU-teksten, og bedrifter som leverer AI inn til EU-markedet er allerede direkte underlagt regelverket. Det lønner seg å ha praksisen på plass uansett.
Hva med Digital Omnibus-forslaget?
EU foreslo 7. mai 2026 å konvertere artikkel 4 fra en direkte plikt for bedrifter til en plikt for myndighetene om å fremme KI-kompetanse i befolkningen. Hvis dette vedtas, faller den direkte bedriftsplikten bort.
Men forslaget er ikke vedtatt ennå. Artikkel 4 er per i dag en gjeldende plikt, og det er ingen garanti for at forslaget går igjennom i sin nåværende form. Vi anbefaler å gjennomføre de fem tiltakene uavhengig av den politiske prosessen — du får uansett en mer robust og bevisst AI-bruk i bedriften, og du er klar uansett hvordan forordningen lander.