Illinois flytter AI-tilsynet fra løfter til revisjon

Illinois har gjort det Washington ikke har klart: å gjøre sikkerhetstesting av de største AI-modellene til et konkret rapporteringskrav. Delstatens lovgivere vedtok onsdag SB 315, en lov som pålegger de største utviklerne av frontier-modeller å publisere sikkerhetsplaner, levere årlige rapporter fra uavhengige tester og varsle myndighetene raskt ved alvorlige hendelser.

Guvernør J.B. Pritzker har varslet at han vil signere. Dersom han gjør det, trer kravene i kraft 1. januar 2027. Loven gjelder ikke vanlige SaaS-leverandører eller små AI-selskaper. Den er rettet mot aktører med svært store modeller, betydelig omsetning og kapasitet til å trene systemer på et nivå som kan gi samfunnsrisiko.

Det viktigste er ikke at Illinois vil regulere ChatGPT-bruk i skolen eller genererte bilder i markedsføring. Poenget er at sikkerhet rundt frontier-AI flyttes fra frivillige prinsipper til reviserbare prosesser. Det er en annen liga for styrer, CIO-er og CISO-er som kjøper AI-tjenester inn i kjerneprosesser.

Hva loven krever

Ifølge Ars Technica må de største AI-selskapene sende inn offentlige sikkerhetsplaner og årlige rapporter som oppsummerer resultater fra uavhengig tredjeparts sikkerhetstesting. Ved kritiske sikkerhetshendelser må selskapene varsle staten innen 72 timer. Hvis hendelsen kan gi en nærliggende risiko for død eller alvorlig fysisk skade, er fristen 24 timer.

Loven gir også ansatte en tydelig kanal for å varsle om fremvoksende sikkerhetsrisiko. Varslerne skal beskyttes av delstatens regler for whistleblowere. Det er et viktig punkt. Mange av de mest alvorlige AI-risikoene vil sannsynligvis først dukke opp som interne avvik, testresultater, evalueringsfunn eller bekymringer fra sikkerhetsteam. Hvis de blir liggende inne i leverandøren, får kundene bare markedsmateriell.

Capitol News Illinois skriver at SB 315 ble vedtatt enstemmig i Representantenes hus, 110-0, etter at Senatet allerede hadde behandlet saken. Avisen beskriver loven som rettet mot de største og mest kapable modellene, med terskler knyttet til blant annet 500 millioner dollar i omsetning og stor beregningskapasitet.

OpenAI og Anthropic støtter kravene

Det mest interessante er hvem som ikke kjemper mot loven. Både OpenAI og Anthropic støttet SB 315. Anthropic har sagt at kravene ligner sikkerhetspraksis ledende AI-selskaper allerede hevder å ha. OpenAI har ifølge Ars Technica pekt på behovet for mer like regler mellom delstater.

Det er lett å lese dette kynisk. Store aktører tåler revisjonskrav bedre enn små konkurrenter. De har jurister, policy-team og sikkerhetsapparat. En lov som løfter kravene kan dermed også styrke posisjonen til de største leverandørene.

Men for enterprise-kunder er det likevel en nyttig dreining. Når leverandørene sier at modellene er testet, må spørsmålet bli: av hvem, mot hvilke scenarier, med hvilke terskler, og hva skjer når testen feiler? Illinois gjør slike spørsmål mer kontraktsnære.

Hvorfor norske ledere bør bry seg

Dette er en delstatslov i USA. Den gjelder ikke direkte for norske virksomheter. Likevel kan den få praktisk betydning raskt. De største modellutviklerne selger globale tjenester. Hvis de må etablere sikkerhetsplaner, revisjonsspor og hendelsesvarsling for Illinois, vil mye av infrastrukturen kunne bli gjenbrukt i tilbud, enterprise-avtaler og due diligence overfor kunder i Europa.

For norske virksomheter betyr det at AI-leverandørstyring bør bli mer konkret. Det holder ikke å spørre om modellen er trygg. Innkjøp, sikkerhet og juridisk må be om dokumentasjon på evalueringsregime, tredjepartsrevisjon, hendelsesrutiner, tilgang til sikkerhetsrapporter og hvordan leverandøren håndterer ansatte som varsler om modellrisiko.

Dette treffer særlig virksomheter som bruker AI i kundedialog, saksbehandling, sikkerhetsoperasjoner, kodeproduksjon, rådgivning eller beslutningsstøtte. Jo tettere modellen ligger på forretning, persondata eller kritiske arbeidsflyter, desto mindre verdi har generelle forsikringer om «ansvarlig AI».

EU AI Act går i samme retning, men med europeisk struktur og egne krav til general-purpose AI. Illinois-loven viser at amerikanske delstater ikke venter på en samlet føderal modell. Resultatet kan bli et reguleringskart der globale leverandører må leve med flere sett av sikkerhetskrav samtidig. For kundene kan det være upraktisk, men også nyttig: flere krav betyr mer dokumentasjon å etterspørre.

Fra policy til innkjøpskrav

Det praktiske neste steget for norske CIO-er og CISO-er er ikke å kopiere Illinois-loven. Det er å gjøre leverandørkravene mer målbare. AI-kontrakter bør skille mellom modellkort, sikkerhetsplaner, evalueringsresultater, hendelsesvarsling, datahåndtering og rett til revisjonsinformasjon.

Styrene bør også merke seg et annet poeng: regulatorisk risiko flytter seg fra «kommer det en AI-lov?» til «kan vi dokumentere hvorfor vi stolte på denne leverandøren?». Når store AI-aktører selv støtter tredjepartsrevisjon, blir det vanskeligere for kjøpere å nøye seg med salgsslides.

Illinois har ikke løst AI-sikkerhet. Men delstaten har satt en terskel: frontier-modeller skal ikke bare beskrives som sikre. De skal kunne testes, rapporteres og etterprøves. Det er en utvikling norske virksomheter bør ta inn i leverandørstyringen nå, før AI-agentene sitter dypere i drift, økonomi og kundereiser.

Kilder og medier

Primærkilde/top-tier kilde: Ars Technica, «Trump loses more control over AI regulation as Illinois passes landmark law», publisert 28. mai 2026. source_url: https://arstechnica.com/tech-policy/2026/05/trump-loses-more-control-over-ai-regulation-as-illinois-passes-landmark-law/

Supplerende kilde: Capitol News Illinois, «Illinois lawmakers pass landmark AI accountability bill». https://capitolnewsillinois.com/news/illinois-lawmakers-pass-landmark-ai-accountability-bill/

Thumbnail: OpenAI Image 2 / hogby.ai