AIGATO.

Kunstig intelligens · Regulering · Hva det betyr for Norge

AI-laber og teknologiselskaperPublisert 14. juli 2026

OpenAI inngår cyberforsvarsavtaler med fem EU-land og ENISA — uten mekanismer for ekstern verifisering

Selskapet publiserte nasjonale sikkerhetsretningslinjer og utvidet Daybreak-programmet til Europa denne uken. Prinsipperklæringen kolliderer på sentrale punkter med EU AI Acts krav til høyrisikobruk.

TIMUR AKTAS · AKTAS · 14. juli 2026
AI-generert · redaksjonelt kontrollert

DEUTSCHLAND FRANKRIKE NEDERLAND POLSKA ROMÂNIA ENISA INGEN VERIFISERING OpenAI · EU Cyberforsvarsavtaler Fem EU-land + ENISA — uten ekstern verifisering CYBER
OpenAI utvider sitt fotavtrykk i europeisk cyberforsvar gjennom Daybreak-programmet, samtidig som selskapets egne prinsipperklæring setter rammene — uten ekstern revisjon.

OpenAI har på én uke inngått cyberforsvarsavtaler med Frankrike, Tyskland, Polen, Nederland og EU-byrået ENISA, lansert sikkerhetsmodellen GPT-5.5-Cyber og publisert nasjonale sikkerhetsretningslinjer med tre kontraktsfestede forbud mot masseovervåking, autonome våpen og høyinnsats automatiserte beslutninger. Retningslinjene inneholder ingen mekanismer for tredjeparts verifisering, slik EU AI Act krever for høyrisikobruk.

Daybreak når Europa

OpenAI publiserte denne uken sine nasjonale sikkerhetsretningslinjer — et dokument som for første gang samler selskapets prinsipper for regjeringssamarbeid og militær bruk av teknologien. Publiseringen faller sammen med utvidelsen av cyberforsvarsprogrammet Daybreak til Europa.

Daybreak er bygget rundt tre komponenter: Codex Security for sårbarhetsskanning i kildekode, den nylig lanserte modellen GPT-5.5-Cyber og initiativet «Patch the Planet» — et samarbeid med sikkerhetsselskapet Trail of Bits for å tette kjente sårbarheter i åpen kildekode-prosjekter. Over 30 prosjekter, inkludert cURL, Go og Python, har ifølge selskapet forpliktet seg til å delta.

Som del av programmet har OpenAI etablert det selskapet kaller «Trusted Access for Cyber»-partnerskap med Australia, Canada, Japan, Sør-Korea, Frankrike, Tyskland, Polen, Nederland og ENISA (Den europeiske unions byrå for nettsikkerhet og informasjonssikkerhet). Storbritannia har en separat partnerskapsavtale om cyber, testing og evaluering.

Tre absolutte forbud

Retningslinjenes kjerne er tre kontraktsfestede forbud: ingen bruk av OpenAI-teknologi til masseovervåking av befolkningen, til å styre autonome våpensystemer, eller til høyinnsats automatiserte beslutninger. Selskapet opplyser at restriksjonene allerede er innarbeidet i kontrakten med det amerikanske forsvarsdepartementet — omtalt som «Department of War» under Trump-administrasjonen.

Retningslinjene er utarbeidet med bistand fra den uavhengige nasjonale sikkerhetseksperten David Kris, og er ifølge selskapet forankret i interne lyttemøter med ansatte fra forskning, sikkerhet, politikk og regjeringspartnerskap.

OpenAI begrunner offentliggjøringen med at spørsmål om AI i nasjonal sikkerhet bør besvares gjennom demokratiske prosesser, ikke av selskaper alene. Selskapet sier det støtter lovgivning som setter grenser for militær høyrisikobruk, herunder overvåking og autonome våpen, men har ikke offentliggjort en tidslinje for dette.

Kollisjon med EU AI Act

EU AI Act — vedtatt juni 2024 og allerede delvis i kraft — krever at høyrisiko-AI-systemer brukt i rettshåndhevelse, kritisk infrastruktur og grensekontroll gjennomgår dokumenterte samsvarsvurderinger og registreres i en EU-database, jf. forordningens Annex III. Kravene til teknisk dokumentasjon, risikovurdering og menneskelig tilsyn får full virkning i august 2026.

OpenAIs retningslinjer bygger derimot på selskapets egne selvpålagte grenser. Kontraktsteksten med det amerikanske forsvarsdepartementet er ikke offentliggjort, og OpenAI har ikke svart på forespørsler om spesifikt kontraktsspråk, ifølge magasinet The Intercept. Det er dermed ikke mulig for utenforstående å verifisere at forbudene faktisk håndheves i operativ bruk.

EU AI Act krever at leverandører av høyrisikosystemer dokumenterer etterlevelse før markedsintroduksjon, og at systemene er gjenstand for løpende post-markedsovervåking og hendelsesrapportering. Loven gjelder tredjelandsleverandører der systemets utdata brukes i EU — noe som i prinsippet treffer OpenAIs Daybreak-avtaler med europeiske regjeringer og ENISA.

Biosikkerhet neste

Parallelt med cyberutvidelsen har OpenAI lansert utvidet tilgang til modellen GPT-Rosalind for utvalgte amerikanske myndigheter og allierte partnere som støtter folkehelse- og bioforsvarsoppdrag. Hvilke allierte land som har fått tilgang, er ikke offentliggjort.

Konteksten for prinsipperklæringen er også geopolitisk. I februar 2026 avviste Anthropic å fjerne sikkerhetsrestriksjoner fra Claude-modellene for militær bruk. President Trump beordret deretter føderale etater til å slutte å bruke Anthropics teknologi, og forsvarsminister Pete Hegseth karakteriserte selskapet som en forsyningskjederisiko mot nasjonal sikkerhet. OpenAI overtok deler av den kontrakten.

Norsk status under EØS

For norske virksomheter og myndigheter er situasjonen todelt. EU AI Act er vedtatt som EØS-relevant, men er ennå ikke innlemmet i EØS-avtalen og gjelder derfor ikke formelt i Norge. Digitaliserings- og forvaltningsdepartementet sendte forslag til norsk KI-lov på høring med frist 30. september 2025. Regjeringen siktet opprinnelig mot å sende proposisjonen til Stortinget rundt påske 2026, men arbeidet er forsinket fordi EØS-tilpasningsforhandlingene tar lenger tid enn ventet, ifølge advokatfirmaet CMS.

EUs pågående «Digital Omnibus»-reform — som blant annet vurderer forenklinger av høyrisikokravene — gjør tidslinjen ytterligere usikker. Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som nasjonalt kontaktpunkt og koordinerende markedstilsynsmyndighet, og anbefaler at norske virksomheter begynner å forberede seg uavhengig av formell innlemmelse.

Norske virksomheter som leverer AI-tjenester til EU-kunder, eller bruker AI-systemer der utdataene brukes i EU, kan allerede være underlagt EU AI Acts krav. Høyrisikokravene får full virkning i EU fra august 2026, med bøter på inntil 35 millioner euro eller 7 prosent av global omsetning for grove brudd.

Hva skjer nå

OpenAI opplyser at retningslinjene gjelder alle eksisterende og fremtidige nasjonale sikkerhets- og politisamarbeid. Spørsmålet om hvilken kontraktsarkitektur som vil gjelde for ENISA-avtalen sett opp mot EU AI Act, er ikke avklart i det publiserte materialet.

««Many of the most consequential questions about AI in government, especially in national security, should be answered through the democratic process.»»
OpenAI, nasjonale sikkerhetsretningslinjer, juli 2025
Få dette rett i innboksen

De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.

Kun nyhetsbrevet, ingen spam. Meld deg av når som helst.

Kilde: https://openai.com/index/government-national-security-partnerships
Bakgrunnskilder: OpenAI: Our approach to government and national security partnerships · OpenAI: Daybreak — securing the world · OpenAI: Our agreement with the Department of War · The Intercept: OpenAI on Surveillance and Autonomous Killings: You're Going to Have to Trust Us · EU AI Act — Annex III: High-Risk AI Systems · CMS: KI-loven — når blir AI Act norsk lov? · Deloitte Norge: KI-regulatorisk oppdatering for Norge — oktober 2025 · Investing.com: OpenAI publishes national security principles amid government AI tensions

OpenAI inngår cyberforsvarsavtaler med fem EU-land og ENISA — uten mekanismer for ekstern verifisering · AIGATO