Kapittel

Forord

Direktoratet for forvaltning og økonomistyring (DFØ) fikk i tildelingsbrevet for 2024 i oppdrag å utrede og gi anbefalinger til etablering av ny nasjonal forvaltningsstruktur for håndheving av KI-forordningen, i samarbeid med Digitaliseringsdirektoratet (Digdir).

DFØ fikk hovedansvaret for oppdraget. Digdir har bistått med fortolkning av forordningen og dialog med andre europeiske land, jf. kapittel 2 og 3, samt vedlegg 2.

Dette har vært et krevende prosjekt, blant annet pga. stor usikkerhet om forordningens nedslagsfelt og omfang, og korte tidsfrister. Vi vil særlig takke Digdir ved Alexandra Kleinitz Schultz og Jens Andersen Osberg for god bistand. Vi vil også takke alle andre som har tatt seg tid til intervjuer og møter og delt sine vurderinger og synspunkter med oss.

Seksjonsleder Siri Bjørtuft Ellingsen har vært prosjektansvarlig. Arbeidet med prosjektet er utført av Mats Fremmerlid, Vivi Lassen, Dag Solumsmoen, Eivor Bremer Nebben og Oddbjørg Bakli (prosjektleder). Ingunn Botheim har bistått med kvalitetssikring. 

DFØ står ansvarlig for innhold, drøftinger og anbefalinger.

Oslo, august 2024 

Hilde Nakken 

Divisjonsdirektør 

Oppdatert: 22. august 2024

DFØ-rapport 2024:9 Forvaltningsstruktur for KI-ordningen

Skriv ut / lag PDF

Forord

Sammendrag

Våre anbefalinger kan oppsummeres som følger:

1. Innledning

1.1 Bakgrunn

1.2 Mål og mandat

1.3 Innfallsvinkel og avgrensninger

Organisering av tilsynsfunksjonen:

Organisering av akkrediteringsfunksjonen

Organisering av klageordningen:

Finansieringsmodeller

1.4 Metode

1.5 Leseveiledning

Ordliste

Fotnoter

2. KI-forordningen og håndhevingsstruktur

2.1 Kort om KI-forordningen

2.2 Håndheving av KI-forordningen

Den første delen gjelder utvikling av KI-produkter som skal slippes på EUs indremarked

Den andre delen gjelder overvåking av KI-produkter på markedet

2.3 Krav med betydning for utpekingen av myndigheter som skal håndheve KI-forordningen

Krav til uavhengighet

Krav til kompetanse

Krav om sandkasse

«Notifying authority» og markedsovervåkningsmyndighet kan plasseres i samme organ

«Notified bodies» som direkte utpekes i KI-forordningen og «notifying authorities» kan ikke plasseres i samme organ

Fotnoter

3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land

Fotnoter

4. Tilsyn med KI-forordningen

4.1 Tilsyn som forvaltningsfunksjon

Generelt om organisering av forvaltningsoppgaver

Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner

4.2 Spesielt om premisser i KI-forordningen

4.2.1 Ulike typer KI-kompetanse er en utfordring

4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet

4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar

Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen

Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning

Er det behov for et uavhengig fagråd?

4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet

4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet

Etablering av et nytt organ åpner for skreddersøm

Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis

Et nytt organ vil kunne få en klar og entydig rolle

Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang

Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet

Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver

Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader

4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen

Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng

Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn

For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser

Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet

4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet

Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen

Digdir er underlagt politisk styring

Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan

Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak

Nye oppgaver vil kreve ekstra ressurser

Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel

Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt

4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet

Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett

Nkom er underlagt politisk styring

Nkom har ulike roller uten at de synes å medføre større rollekonflikter

Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse

Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling

Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet

Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter

4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet

4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring

Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger

I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven

Lokalisering av nye statlige arbeidsplasser må utredes og vurderes

4.4.2 Etablering av et nytt organ frarådes

4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom

4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene

Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen

Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse

Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen

De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes

Fotnoter

5. Akkrediteringsfunksjonen

5.1 Generelt om akkreditering

5.2 Spesielt om akkreditering etter KI-forordningen

5.3 Anbefalt organisering - akkreditering

Fotnoter

6. Klagebehandling

6.1 Krav til organisering

Krav om totrinnsbehandling legger føringer for organisering av klagebehandling

Implementering av nye EU-regelverk tilsier ofte etablering av klagenemnd

Horisontalt: Klagebehandling sentralt eller desentralt

Vertikalt: overordnet organ eller klagenemnd

6.2 Anbefalt organisering - klagebehandling

7. Kostnader med budsjettvirkning

7.1 Kostnader for forvaltningsapparatet på kort og lang sikt

7.2 Vurdering av økonomiske og administrative konsekvenser

Fotnoter

Litteraturliste

Vedlegg 1: Datainnsamling og metode

Dokumentstudier

Intervjuer

Andre datakilder

Svakheter og begrensinger i datagrunnlaget

Fotnoter

Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen

1. Nasjonale kompetente myndigheter

1.1 Hva er nasjonale kompetente myndigheter?

1.2 Nærmere om markedsovervåkningsmyndigheter

1.2.1 Organisering

1.2.2 Oppgaver

Markedsovervåkningsmyndighetens oppgaver
Hvordan skal markedsovervåkningsmyndighetene forholde seg til standarder?
Markedsovervåkningsmyndighetenes fullmakter

1.2.3 Utpeking av "single point of contact"

1.3 Nærmere om "notifying authority"

1.3.1 KI-forordningens krav til oppgaver og organisering

1.3.2 Organisering av "notifying authority" etter eksisterende produktsikkerhetsregelverk

1.4 Krav til uavhengighet for nasjonale kompetente myndigheter

1.4.1 Omfanget av uavhengigskravet

1.4.2 Hvilke bindinger skal det sikres uavhengighet fra?

1.4.3 Et praktisk utgangspunkt for uavhengighet

1.5 Særlige spørsmål i forholdet mellom markedsovervåkingsmyndigheter og "notifying authority"

1.5.1 Kan samme myndighet være både markedsoverføringsmyndighet og "notifying authority"?

1.5.2 Særlig om forholdet mellom "notifying authority" og "notified bodies" som er direkte utpekt i KI-forordningen

2 Myndigheter for beskyttelsen av fundamentale rettigheter

Fotnoter

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.