Utfordringer med styring av agentisk AI i henhold til EUs AI-lov 2026

Etter hvert som håndhevingsbestemmelsene i EUs AI-lov trer i kraft i august 2025 – med fullstendige samsvarsforpliktelser som strekker seg inn i 2026 – dukker det opp et nytt og vanskelig problem for teknologiledere i og utenfor Europa. Agentiske AI-systemer, som autonomt utfører flertrinnsoppgaver på tvers av bedriftsmiljøer, avslører dype styringshull som eksisterende samsvarsrammeverk aldri ble utformet for å håndtere.

Innsatsen er enorm. Organisasjoner som bruker disse autonome agentene kan risikere bøter på opptil 35 millioner euro eller 7 % av den globale årlige omsetningen for de mest alvorlige bruddene. Og den ubehagelige realiteten er at mange bedrifter for øyeblikket ikke har noen pålitelig måte å forklare hva deres AI-agenter gjør, langt mindre bevise at disse handlingene er lovlige.

Hva driver styringskrisen

I motsetning til tradisjonelle AI-modeller som reagerer på én enkelt forespørsel og produserer én enkelt utdata, opererer agentiske AI-systemer med en grad av uavhengighet som fundamentalt endrer risikokalkulen. Disse agentene kan flytte data mellom plattformer, starte transaksjoner, kommunisere med eksterne API-er og kjede sammen beslutningssekvenser – ofte med minimal menneskelig tilsyn på hvert trinn.

Det er nettopp denne autonomien som gjør dem verdifulle. Selskaper som Salesforce, Microsoft og Google har alle satset betydelig på agentarkitekturer de siste atten månedene. Salesforces Agentforce-plattform, Microsofts Copilot-agenter og Googles Vertex AI-agenter lover alle å automatisere komplekse forretningsarbeidsflyter som tidligere krevde menneskelig inngripen i hvert eneste steg.

Men her er utfordringen med styring: Når en agent tar en konsekvensbeslutning – for eksempel å avvise et forsikringskrav, vurdere en pasients medisinske data eller flagge en ansatt for ytelsesvurdering – trenger organisasjonen som bruker den et komplett revisjonsspor. Hvem autoriserte agentens handlingsrom? Hvilke data informerte beslutningen? Var det meningsfull menneskelig tilsyn? I henhold til EUs AI-lovs krav til høyrisikosystemer er disse spørsmålene ikke valgfrie. De er juridisk pålagt.

Hvorfor EUs KI-lov gjør dette presserende

EUs AI-lov kategoriserer AI-applikasjoner i risikonivåer, og de strengeste forpliktelsene faller på brukstilfeller med høy risiko – inkludert ansettelsesbeslutninger, kredittvurdering, rettshåndhevelse, migrasjonshåndtering og kritisk infrastruktur. For en dypere forståelse av disse kategoriene, se vår oversikt over 5 AI-beregningsarkitekturer som alle ingeniører må kjenne til i 2025 .

Her er hva organisasjoner som distribuerer agentsystemer i disse domenene må demonstrere:

• Sporbarhet: Fullstendig logging av agentens handlinger, inndata og utdata gjennom hele dens driftssyklus.
• Menneskelig tilsyn: Mekanismer som tillater kvalifiserte individer å gripe inn, overstyre eller stenge ned systemet når som helst.
• Risikostyring: Løpende vurdering av hvordan agentens autonome atferd kan gi skadelige eller diskriminerende utfall.
• Åpenhet: Tydelig dokumentasjon som gjør det mulig for regulatorer og berørte individer å forstå hvordan beslutninger ble tatt.

Problemet er at mange agentiske AI-implementeringer visker ut ansvarslinjene. Når en agent orkestrerer handlinger på tvers av flere systemer – henter data fra én database, kjører inferens gjennom en annen modell og sender et resultat til en tredje applikasjon – blir beslutningskjeden ugjennomsiktig. Selv ingeniører som bygde systemet kan slite med å rekonstruere den nøyaktige logikken bak et spesifikt resultat.

Ansvarlighetsgapet ledere må lukke

Bedriftsledere har det endelige ansvaret for systemene de distribuerer, uavhengig av hvor autonome disse systemene blir. Dette er et prinsipp som EUs KI-lov forsterker eksplisitt. Distributører av KI-systemer med høy risiko – ikke bare utviklere – har betydelige samsvarsforpliktelser.

Likevel fant en McKinsey-undersøkelse fra tidlig i 2025 at mens 72 % av organisasjonene hadde tatt i bruk en eller annen form for AI i driften, hadde færre enn halvparten implementert formelle styringsstrukturer for disse utrullingene. Spesielt for agentsystemer er gapet sannsynligvis større, siden mange bedrifter fortsatt er i pilotfaser og behandler styring som et problem som må løses senere.

Denne tilnærmingen er raskt i ferd med å bli uholdbar. Bransjeanalytikere advarer om at organisasjoner må behandle styring av AI-agenter med samme strenghet som de anvender på økonomisk kontroll eller databeskyttelse under GDPR. Hvis du ikke kan revidere det, kan du ikke forsvare det – og regulatorer vil til slutt spørre.

Hva ekspertene sier

Flere fremtredende stemmer innen AI-politikk har pekt på agentiske systemer som en regulatorisk blindsone. Forskere ved Ada Lovelace Institute har hevdet at eksisterende AI-styringsrammeverk antar et relativt statisk forhold mellom input og output – en antagelse som brytes sammen når agenter kjeder sammen flere autonome beslutninger over tid.

Gartner spådde i mellomtiden sent i 2024 at innen 2028 ville minst 15 % av de daglige forretningsbeslutningene bli tatt autonomt av AI-agenter – opp fra i hovedsak null i 2023. Denne utviklingen antyder at styringsproblemet bare vil intensiveres etter hvert som utrullingen skaleres.

For IT-ledere er budskapet klart: å vente på at regulatoriske retningslinjer skal bli forskrivende før man handler er en tapsstrategi. EUs AI-lov setter brede forpliktelser, og det vil være opp til organisasjoner å demonstrere at de har oppfylt dem gjennom dokumenterte, forsvarlige styringspraksiser. De som er interessert i å bygge robuste AI-tilsynsprogrammer, bør utforske veiledningen vår om Microsoft Open-Source Toolkit sikrer AI-agenter under kjøring .

Hva skjer videre

Flere utviklingstrekk er verdt å følge nøye med på resten av 2025 og inn i 2026:

1. Veiledningsdokumenter for regulatoriske behov: Det europeiske KI-kontoret forventes å utgi detaljert veiledning om samsvar med høyrisikokrav, som spesifikt kan omhandle systemer med flere agenter og agenter.
2. Funksjoner for leverandøransvar: Store skyleverandører vil sannsynligvis levere forbedrede logging-, forklarings- og kontrollfunksjoner for agentplattformene sine etter hvert som presset på samsvar øker.
3. Forsikrings- og ansvarsendringer: Forvent fremveksten av AI-spesifikke ansvarsforsikringsprodukter, ettersom bedrifter søker å overføre noe av den regulatoriske risikoen knyttet til autonome systemer.
4. Spenninger knyttet til håndheving på tvers av landegrenser: Selskaper med hovedkontor utenfor EU, men som betjener europeiske kunder, vil møte komplekse jurisdiksjonsspørsmål om hvordan agentstyring gjelder for deres virksomhet.

Konklusjonen

Agentisk AI representerer et av de mest betydningsfulle endringene innen bedriftsteknologi siden skytjenester ble brukt. Men den samme autonomien som gjør disse systemene kraftige, gjør dem også vanskelige å styre – og håndhevingstidslinjen for EUs AI-lov gir lite rom for selvtilfredshet.

Ledere som behandler styring som en ettertanke risikerer ikke bare regulatoriske sanksjoner, men også å svekke tilliten til kunder, ansatte og partnere. Organisasjonene som trives under disse nye reglene, vil være de som bygger ansvarlighet inn i sine agentsystemer fra grunnen av, i stedet for å ettermontere den etter at en compliance-krise tvinger dem til å håndtere det.