Kapittel

Sammendrag

Målet med prosjektet har vært å vurdere og anbefale en hensiktsmessig organisering for håndheving av KI-forordningen i Norge. Vurderingene og anbefalingene skulle være uavhengige og ta utgangspunkt i KI-forordningen og forvaltningspolitiske hensyn for organisering av tilsyn.

Regelverket er overordnet og åpner for ulike fortolkninger. Forordningen er tett knyttet opp til andre EU-produktsikkerhetsregelverk og er delt inn i risikoklasser. Krav til uavhengighet tilsvarer kravene i andre produktsikkerhetsregelverk. KI-forordningen har to sentrale deler knyttet til forvaltningsstruktur; oppfølging på produktutviklingsstadiet (avhengig av risikoklassifisering) og overvåkning av markedet.

KI-forordningen legger opp til et forvaltningsapparat bestående av minst én markedsovervåkningsmyndighet («Market Surveillance Authority»), minst ett akkrediteringsorgan (Notifying Authority) og etablering av minst én regulatorisk sandkasse. Ansvaret for å håndheve forordningen skal i utgangspunktet fordeles på de ulike sektorene som en utvidelse av det tilsynsansvaret de allerede har. Det legges opp til en to-nivå-modell. Én av de utpekte markedsovervåkningsmyndighetene skal ha rollen som nasjonalt kontaktpunkt (Single point of contact) opp mot EU og en koordineringsrolle overfor de øvrige markedsovervåkningsmyndighetene.

Intervjuene viser at det er ulikt kunnskapsnivå og til dels mye umodenhet knyttet til KI og KI-forordningen både innenfor og utenfor forvaltningen. Relativt få har en klar oppfatning av hvordan forvaltningsapparatet bør organiseres. Det er stort behov for informasjon og veiledning i de fleste interessentgruppene. Knapphet på kompetanse, særlig IKT- og KI-kompetanse, oppleves som en stor utfordring.

Rapporten drøfter fire alternativer for organisering av den koordinerende markedsovervåkningsrollen, inklusive rollen som kontaktpunkt; et nytt organ, Datatilsynet, Digitaliseringsdirektoratet (Digdir) og Nasjonal kommunikasjonsmyndighet (Nkom).

Våre anbefalinger kan oppsummeres som følger:

  • På grunn av stor usikkerhet om omfang og forordningens nedslagsfelt bør organiseringen tas opp til ny vurdering når forordningen har «satt» seg og begynt å virke.
  • I tillegg til usikkerhet om omfanget, mener vi det vil bli for kostbart og ta for lang tid å etablere et nytt organ.
     
  • Den nasjonale markedsovervåkningsfunksjonen og kontaktpunktrollen bør legges til Nkom. Nkom vil da få et overordnet ansvar for:
    • kontakt opp mot EU og deltakelse i de ulike EU-organene og -prosessene
    • koordinering, veiledning og bistand til de øvrige markedsovervåknings-myndighetene
    • veiledning og informasjon til KI-leverandører, -brukere og allmennheten for øvrig
  • Nkom, Digdir og Datatilsynet bør alle få i oppdrag å samarbeide om informasjon og veiledning om KI og KI-forordningen
  • Den nasjonale sandkassen bør etableres og driftes som et felles prosjekt mellom Datatilsynet, Nkom og Digdir. Det vil bidra til å sikre felles og omforent informasjon og veiledning om forordningen og til gjensidig kompetanseoppbygging.
  • Det bør opprettes et «brukerråd» knyttet til den nasjonale sandkassen der sentrale aktører kan få veiledning og informasjon og gi innspill om behov og utfordringer.
  • Akkrediteringsvurderinger og overvåking av tildelte akkrediteringer bør legges til Norsk akkreditering, mens relevante fagmyndigheter bør ha ansvar for formell utpeking og melding til EU.
  • Klagebehandling bør i første omgang følge gjeldende klageordninger for de ulike tilsynene som får ansvar etter forordningen.
  • Det må påregnes kostnader knyttet til kontaktpunktrollen, til etablering og drift av en regulatorisk sandkasse og til økt satsing på informasjon og veiledning i forbindelse med implementering av ordningen.
Oppdatert: 22. august 2024

DFØ-rapport 2024:9 Forvaltningsstruktur for KI-ordningen

Skriv ut / lag PDF

Forord

Sammendrag

Våre anbefalinger kan oppsummeres som følger:

1. Innledning

1.1 Bakgrunn

1.2 Mål og mandat

1.3 Innfallsvinkel og avgrensninger

Organisering av tilsynsfunksjonen:

Organisering av akkrediteringsfunksjonen

Organisering av klageordningen:

Finansieringsmodeller

1.4 Metode

1.5 Leseveiledning

Ordliste

Fotnoter

2. KI-forordningen og håndhevingsstruktur

2.1 Kort om KI-forordningen

2.2 Håndheving av KI-forordningen

Den første delen gjelder utvikling av KI-produkter som skal slippes på EUs indremarked

Den andre delen gjelder overvåking av KI-produkter på markedet

2.3 Krav med betydning for utpekingen av myndigheter som skal håndheve KI-forordningen

Krav til uavhengighet

Krav til kompetanse

Krav om sandkasse

«Notifying authority» og markedsovervåkningsmyndighet kan plasseres i samme organ

«Notified bodies» som direkte utpekes i KI-forordningen og «notifying authorities» kan ikke plasseres i samme organ

Fotnoter

3. Organisering av KI-forvaltnings-apparatet i andre EU-/EØS-land

Fotnoter

4. Tilsyn med KI-forordningen

4.1 Tilsyn som forvaltningsfunksjon

Generelt om organisering av forvaltningsoppgaver

Tilsyn kan sees som en av statsforvaltningens hovedfunksjoner

4.2 Spesielt om premisser i KI-forordningen

4.2.1 Ulike typer KI-kompetanse er en utfordring

4.2.2 Mulige oppgaver for rollen som kontaktpunkt og koordinerende markedsovervåkningsmyndighet

4.2.3 Mange av dagens tilsynsorganer vil få utvidet ansvar

Minst 12 av dagens tilsyn vil få utvidet ansvar etter KI-forordningen

Både tilsynsorganer og tilsynsobjekter vil ha stort behov for støtte og veiledning

Er det behov for et uavhengig fagråd?

4.3 Drøfting av mulig koordinerende markedsovervåkningsmyndighet

4.3.1 Nytt organ som koordinerende markedsovervåkningsmyndighet

Etablering av et nytt organ åpner for skreddersøm

Grad av uavhengighet kan tilpasses kravene i forordningen – og etablert praksis

Et nytt organ vil kunne få en klar og entydig rolle

Svært utfordrende å rekruttere nødvendig kompetanse på kort sikt, gitt stor usikkerhet om behov og omfang

Det tar tid og er kostnadskrevende å etablere og bygge opp en helt ny virksomhet

Stor usikkerhet om oppgaveomfang og kompetansesammensetning gjør alternativet krevende å gjennomføre, men det vil være fleksibelt mht. nye oppgaver

Oppsummert: Et nytt organ er en formålseffektiv løsning, men det er knyttet stor usikkerhet til kompetansesammensetning, tidsløp og kostnader

4.3.2 Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet vil kunne erfare motsetning mellom formålet knyttet til personvern-lovgivningen og formålet med KI-forordningen

Datatilsynet har en lovfestet uavhengighet i personvernsaker, men må ikke ha det i KI-sammenheng

Flere er skeptiske til Datatilsynet som koordinerende markedsovervåkningsmyndighet

Datatilsynet har mye juridisk kompetanse og tilsynserfaring, spesielt på personvern og databehandling, men mer begrenset KI-kompetanse og erfaring med produkttilsyn

For en relativt liten organisasjon med begrensede ressurser vil KI-oppgaver kreve tilleggsressurser

Oppsummert: Til tross for mye og god kompetanse vil Datatilsynets personvernrolle utfordre tilliten til tilsynet som en nøytral markedsovervåkningsmyndighet

4.3.3 Digdir som koordinerende markedsovervåkningsmyndighet

Digdirs pådriverrolle knyttet til digitalisering, innovasjon og effektivitet er i overensstemmelse med hovedformålet for KI-forordningen

Digdir er underlagt politisk styring

Digdirs rolle som felleskomponentleverandør kan komme i konflikt med rollen som et sterkt og troverdig tilsynsorgan

Digdir har mye informasjons- og veiledningskompetanse, men lite praktisk tilsynskompetanse – med noen unntak

Nye oppgaver vil kreve ekstra ressurser

Digdir har en fleksibel organisering som gjør det mulig å flytte kompetanse på relativt kort varsel

Oppsummert: Digdir har mye relevant KI-kompetanse, men det er ikke en tilsynsetat, og noen av Digdirs øvrige roller kan medføre interessekonflikt

4.3.4 Nkom som koordinerende markedsovervåkingsmyndighet

Nkoms primære formål er å sikre innovasjon og god konkurranse på ekom-området, inklusive trygg og sikker bruk av internett

Nkom er underlagt politisk styring

Nkom har ulike roller uten at de synes å medføre større rollekonflikter

Nkom er et produktsikkerhetstilsyn med mye teknologisk, juridisk og standardiserings-kompetanse, men med mindre tverrsektoriell og veiledningskompetanse

Gebyrfinansiering av KI-tilsyn kan utfordre likebehandling

Mange nye oppgaver parallelt kan utfordre Nkoms kapasitet

Oppsummert: Nkoms store styrke er deres erfaring med og kompetanse på produkttilsyn med digitale tjenester og produkter

4.4 Anbefalt organisering - koordinerende markedsovervåkningsmyndighet

4.4.1 Valgt løsning bør vurderes på nytt når det er høstet mer erfaring

Umodenhet og usikkerhet gjør det vanskelig å gi klare anbefalinger

I våre anbefalinger ser vi tilsynsfunksjonen som den mest sentrale oppgaven

Lokalisering av nye statlige arbeidsplasser må utredes og vurderes

4.4.2 Etablering av et nytt organ frarådes

4.4.3 Kontaktpunkt- og koordineringsrollen bør legges til Nkom

4.4.4 Veiledning og informasjon om KI-forordningen er særlig viktig de første årene

Nkom, Digdir og Datatilsynet bør få i oppgave å samarbeide om informasjon og veiledning om KI og KI-forordningen

Samarbeidet bør omfatte etablering og drift av en regulatorisk sandkasse

Det bør etableres et brukerråd knyttet til informasjons- og veiledningsfunksjonen

De tre virksomhetene bør få i oppgave å foreslå hvordan det konkrete samarbeidet bør organiseres, koordineres og ressurssettes

Fotnoter

5. Akkrediteringsfunksjonen

5.1 Generelt om akkreditering

5.2 Spesielt om akkreditering etter KI-forordningen

5.3 Anbefalt organisering - akkreditering

Fotnoter

6. Klagebehandling

6.1 Krav til organisering

Krav om totrinnsbehandling legger føringer for organisering av klagebehandling

Implementering av nye EU-regelverk tilsier ofte etablering av klagenemnd

Horisontalt: Klagebehandling sentralt eller desentralt

Vertikalt: overordnet organ eller klagenemnd

6.2 Anbefalt organisering - klagebehandling

7. Kostnader med budsjettvirkning

7.1 Kostnader for forvaltningsapparatet på kort og lang sikt

7.2 Vurdering av økonomiske og administrative konsekvenser

Fotnoter

Litteraturliste

Vedlegg 1: Datainnsamling og metode

Dokumentstudier

Intervjuer

Andre datakilder

Svakheter og begrensinger i datagrunnlaget

Fotnoter

Vedlegg 2: Beskrivelse og analyse av utvalgte deler av KI-forordningen

1. Nasjonale kompetente myndigheter

1.1 Hva er nasjonale kompetente myndigheter?

1.2 Nærmere om markedsovervåkningsmyndigheter

1.2.1 Organisering

1.2.2 Oppgaver

Markedsovervåkningsmyndighetens oppgaver
Hvordan skal markedsovervåkningsmyndighetene forholde seg til standarder?
Markedsovervåkningsmyndighetenes fullmakter

1.2.3 Utpeking av "single point of contact"

1.3 Nærmere om "notifying authority"

1.3.1 KI-forordningens krav til oppgaver og organisering

1.3.2 Organisering av "notifying authority" etter eksisterende produktsikkerhetsregelverk

1.4 Krav til uavhengighet for nasjonale kompetente myndigheter

1.4.1 Omfanget av uavhengigskravet

1.4.2 Hvilke bindinger skal det sikres uavhengighet fra?

1.4.3 Et praktisk utgangspunkt for uavhengighet

1.5 Særlige spørsmål i forholdet mellom markedsovervåkingsmyndigheter og "notifying authority"

1.5.1 Kan samme myndighet være både markedsoverføringsmyndighet og "notifying authority"?

1.5.2 Særlig om forholdet mellom "notifying authority" og "notified bodies" som er direkte utpekt i KI-forordningen

2 Myndigheter for beskyttelsen av fundamentale rettigheter

Fotnoter

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.