Målet med prosjektet har vært å vurdere og anbefale en hensiktsmessig organisering for håndheving av KI-forordningen i Norge. Vurderingene og anbefalingene skulle være uavhengige og ta utgangspunkt i KI-forordningen og forvaltningspolitiske hensyn for organisering av tilsyn.
Regelverket er overordnet og åpner for ulike fortolkninger. Forordningen er tett knyttet opp til andre EU-produktsikkerhetsregelverk og er delt inn i risikoklasser. Krav til uavhengighet tilsvarer kravene i andre produktsikkerhetsregelverk. KI-forordningen har to sentrale deler knyttet til forvaltningsstruktur; oppfølging på produktutviklingsstadiet (avhengig av risikoklassifisering) og overvåkning av markedet.
KI-forordningen legger opp til et forvaltningsapparat bestående av minst én markedsovervåkningsmyndighet («Market Surveillance Authority»), minst ett akkrediteringsorgan (Notifying Authority) og etablering av minst én regulatorisk sandkasse. Ansvaret for å håndheve forordningen skal i utgangspunktet fordeles på de ulike sektorene som en utvidelse av det tilsynsansvaret de allerede har. Det legges opp til en to-nivå-modell. Én av de utpekte markedsovervåkningsmyndighetene skal ha rollen som nasjonalt kontaktpunkt (Single point of contact) opp mot EU og en koordineringsrolle overfor de øvrige markedsovervåkningsmyndighetene.
Intervjuene viser at det er ulikt kunnskapsnivå og til dels mye umodenhet knyttet til KI og KI-forordningen både innenfor og utenfor forvaltningen. Relativt få har en klar oppfatning av hvordan forvaltningsapparatet bør organiseres. Det er stort behov for informasjon og veiledning i de fleste interessentgruppene. Knapphet på kompetanse, særlig IKT- og KI-kompetanse, oppleves som en stor utfordring.
Rapporten drøfter fire alternativer for organisering av den koordinerende markedsovervåkningsrollen, inklusive rollen som kontaktpunkt; et nytt organ, Datatilsynet, Digitaliseringsdirektoratet (Digdir) og Nasjonal kommunikasjonsmyndighet (Nkom).
Våre anbefalinger kan oppsummeres som følger:
- På grunn av stor usikkerhet om omfang og forordningens nedslagsfelt bør organiseringen tas opp til ny vurdering når forordningen har «satt» seg og begynt å virke.
- I tillegg til usikkerhet om omfanget, mener vi det vil bli for kostbart og ta for lang tid å etablere et nytt organ.
- Den nasjonale markedsovervåkningsfunksjonen og kontaktpunktrollen bør legges til Nkom. Nkom vil da få et overordnet ansvar for:
- kontakt opp mot EU og deltakelse i de ulike EU-organene og -prosessene
- koordinering, veiledning og bistand til de øvrige markedsovervåknings-myndighetene
- veiledning og informasjon til KI-leverandører, -brukere og allmennheten for øvrig
- Nkom, Digdir og Datatilsynet bør alle få i oppdrag å samarbeide om informasjon og veiledning om KI og KI-forordningen
- Den nasjonale sandkassen bør etableres og driftes som et felles prosjekt mellom Datatilsynet, Nkom og Digdir. Det vil bidra til å sikre felles og omforent informasjon og veiledning om forordningen og til gjensidig kompetanseoppbygging.
- Det bør opprettes et «brukerråd» knyttet til den nasjonale sandkassen der sentrale aktører kan få veiledning og informasjon og gi innspill om behov og utfordringer.
- Akkrediteringsvurderinger og overvåking av tildelte akkrediteringer bør legges til Norsk akkreditering, mens relevante fagmyndigheter bør ha ansvar for formell utpeking og melding til EU.
- Klagebehandling bør i første omgang følge gjeldende klageordninger for de ulike tilsynene som får ansvar etter forordningen.
- Det må påregnes kostnader knyttet til kontaktpunktrollen, til etablering og drift av en regulatorisk sandkasse og til økt satsing på informasjon og veiledning i forbindelse med implementering av ordningen.