Abonner
Debatt

Den regulatoriske sandkassen har et urealisert potensial

Med den nye KI-loven får Norge trolig nok en regulatorisk sandkasse. Vi bør benytte oss av denne muligheten til å få enda mer ut av sandkasseprosjekter enn vi har klart til nå.

– En sandkasse kan være en verdifull kilde til kunnskap som vi kan bruke i utviklingen av ansvarlige designprinsipper. Men den blir like ofte en måte å definere grenser på, mener Sebastian Reichmann i Tietoevry..
– En sandkasse kan være en verdifull kilde til kunnskap som vi kan bruke i utviklingen av ansvarlige designprinsipper. Men den blir like ofte en måte å definere grenser på, mener Sebastian Reichmann i Tietoevry.. Foto: Michaela Klouda
Sebastian Reichmann leder for AI & innsikt Public 360, Tietoevry Industry
16. okt. 2025 - 14:07

Dette debattinnlegget gir uttrykk for skribentens meninger. Innlegg kan sendes til debatt@digi.no.

En etablert måte å utforske det nye, juridiske og regulatoriske landskapet på innen teknologisektoren, som i noen tilfeller også er et forsøk på å navigere et utdatert lovverk, er etableringen av såkalte «regulatoriske sandkasser». En rekke offentlige instanser har eller har hatt dem, fra Arkivverket og Mattilsynet til Finanstilsynet og Datatilsynet.

Nå får vi enda en, i kjølvannet av den nye KI-loven (EUs AI Act), der det blir slått fast at «Hver medlemsstat skal etablere minst én regulatorisk sandkasse for KI som skal være i drift innen 2. august 2026».

Sette grenser eller definere ambisjoner

I mitt hode er det (minst) to måter å regulere på. Den ene handler enkelt sagt om å sette grenser og å beskrive alt man ikke får lov til å gjøre. Utfordringen med denne tilnærmingen er at lover og regler først og fremst dekker kjente risikoscenarier på eksisterende bruksområder, men ofte bommer på utilsiktede sideeffekter som oppstår i komplekse, dynamiske systemer. Og praktisk erfaring tilsier at slike uforutsette sideeffekter utgjør en minst like stor kilde til risiko innenfor KI-utvikling som dem vi kan forutsi. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Crayon
I to år har Gard satset bevisst på KI. Nå høster de gevinstene

Den andre måten fokuserer på å definere positive ambisjoner og mål. Den forutsetter at vi prioriterer kunnskapsbygging og ansvarlig design som en standard praksis, noe som gir en større samfunnseffekt og virker forebyggende på nye typer risiko og utilsiktede konsekvenser.

En sandkasse kan være en verdifull kilde til kunnskap som vi kan bruke i utviklingen av ansvarlige designprinsipper. Men den blir like ofte en måte å definere grenser på. Det vi trenger, i en situasjon der teknologien utvikler seg i rekordfart, mens lovverket (naturlig nok) kommer halsende etter, er en kombinasjon av den første varianten av regulering og de verdifulle sidene ved sandkassen.

For jeg sier absolutt ikke at sandkasser ikke har noe for seg. De er nyttige, men de er utilstrekkelige som hovedvirkemiddel når en ny, eller en utdatert, lov skal utforskes – og aller helst utfordres. 

Vår erfaring er at sandkasser har lav gjennomstrømning (få prosjekter hvert år), prioriterer aktører med høy kapasitet og at både prosessen og læringsutbyttet har begrenset verdi for bredden av norske virksomheter, og særlig i SMB-segmentet.

Teori må bli praksis

For en stund siden gjennomførte vi et KI-forum sammen med en del av de større kundene til Tietoevry Public 360. Diskusjonen rundt lovverket og rammene det setter for hvilke data som kan deles og hva slags løsninger som kan utvikles, blir raskt en del av diskusjonen rundt bordet i disse sammenhengende. Og mitt inntrykk var at de aller fleste sitter og venter på veiledning og felleskomponenter fra offentlige instanser som hverken har kapasitet eller kunnskapen de trenger, for å levere verktøyene som etterspørres.

I arbeidet med å vurdere utkastet til den nye KI-loven har vi derfor forsøkt å tenke lengre enn kanten på sandkassen. Og vårt forslag er å komplementere sandkasser med konkrete, skalerbare tiltak: 

  • Praksisnotater: Hver sandkasse oppsummeres med korte, gjenbrukbare notater (problem → fremgangsmåte → maler/verktøy → gjenbruk i andre domener) – som blir tilrettelagt for enkelt gjenbruk.
  • Veiledning knyttet til bruk av ansvarlige designprinsipper og verktøy for intern risikoevaluering
  • Åpne «mal-biblioteker» (design- og styringsmønstre), særlig relatert til egen risikovurdering, risikodialog med sluttbrukere/kunder og andre grupper for en ny løsning, dokumentasjon av gjennomført risikovurdering og relaterte tiltak.
  • Referansetestbenker og datasettretningslinjer for evaluering, inkludert dokumentasjon av datakilder, bias-analyse og metrikker.
  • Mini-sandkasser i regi av klynger og kommuner med lettvekts veiledning og målbasert oppfølging.
  • Sertifiseringsforberedende veiledning: Standardiserte «assuranse pipelines» (krav → evidens → kontrollpunkter) som speiler EU-krav.

På den måten oppnår vi først og fremst én ting: Prosess- og læringsutbyttet unngår å bli teoretiske notater på bunnen av en skuff – og blir i stedet konkret praksis som virksomheter av alle størrelser kan forstå og implementere.

Og nesten enda viktige; en allerede komplisert lov – AI Act – som får ytterligere et tolkningslag – KI-loven – blir gjort forståelig for dem som faktisk skal bruke den i hverdagen. Og det tjener alle på.

Espen Slette er strategisk rådgiver i Nasjonal kommunikasjonsmyndighet, og er her avbildet under konferansen Nkom agenda i Oslo 15. oktober.
Les også:

Sju av ti nordmenn vil ha strengere KI-regler

Debattit-bransjen
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Hvordan er det for en nyutdannet å starte i en stor teknologibedrift?
Les mer
Hvordan er det for en nyutdannet å starte i en stor teknologibedrift?
Nord Universitet
Informasjons­sikkerhetssjef (CISO)
Multiconsult Norge AS
Data Engineer
Sysint AS
Systemingeniør
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra