NIST flytter AI-arbeidet mot måling og standarder

NIST utvider og omdøper det tidligere AI Safety Institute Consortium. Det nye navnet er NIST Artificial Intelligence Consortium, og mandatet flyttes tydeligere mot måling, evaluering, innovasjon og praktisk innføring av AI.

Det høres teknisk ut. Det er også poenget. Den neste fasen av AI-styring handler mindre om prinsipperklæringer og mer om målemetoder, dokumentasjon og testregimer som kan brukes i faktiske anskaffelser og produksjonsmiljøer. NIST sier konsortiet skal bygge et økosystem for AI-evaluering, investere i AI-støttet vitenskap og fremme bruk av amerikanskutviklede AI-systemer. Organisasjoner med relevant teknisk kapasitet inviteres nå til å søke om deltakelse.

For norske ledere er dette relevant selv om NIST er amerikansk. NIST-rammeverk har ofte fått praktisk betydning langt utenfor USA, særlig innen cybersikkerhet, risikostyring og leverandørkrav. Når AI går fra pilot til kritiske arbeidsprosesser, vil slike måle- og dokumentasjonskrav raskt dukke opp i revisjoner, innkjøp, kontrakter og styrepapirer.

Seks arbeidsgrupper viser retningen

NIST peker på seks arbeidsgrupper i det reorganiserte konsortiet. Den første skal jobbe med AI Testing, Evaluation, Verification and Validation, ofte forkortet AI TEVV. Målet er å utvikle verktøy for å vurdere om et AI-system møter designkravene og er godt nok for tiltenkt bruk. NIST omtaler dette som nullutkast: foreløpige, interessentdrevne utkast som kan mates inn i den private standardiseringsprosessen.

En annen gruppe skal arbeide med annotering av AI-risiko og validitet, knyttet til NISTs ARIA-program. En tredje skal kartlegge hull og åpne spørsmål i evalueringsvitenskapen. BENGAL-gruppen, sammen med IARPA, skal se på skalerbare løsninger mot feilinformasjon, lekkasje av sensitiv informasjon, svakt resonnement og angrepsflater i store språkmodeller. I tillegg kommer en gruppe for AI Documentation Cards, altså standardiserte maler for dokumentasjon av datasett, modeller, AI-systemer og testopplegg. NIST starter også opp igjen en gruppe for kjemisk og biologisk sikkerhet.

Dette er ikke en ny chatbot eller en ny modell. Det er mer grunnleggende. NIST forsøker å gjøre AI-systemer målbare nok til at de kan styres. Det treffer kjernen i det mange virksomheter mangler nå: et språk for å forklare hva modellen er testet for, hva den ikke er testet for, hvilke begrensninger den har, og hvilke kontroller som faktisk reduserer risiko.

Fra leverandørløfter til etterprøvbarhet

Mange AI-prosjekter går fortsatt inn i virksomheter gjennom produktivitetsargumentet. De lover raskere saksbehandling, bedre kundedialog, billigere analyse eller mer effektive utviklere. Det er nyttig, men utilstrekkelig. Når systemene får tilgang til interne dokumenter, kodebaser, kundedata eller operative beslutninger, må virksomheten kunne vise hvordan kvalitet og risiko er vurdert.

Her er NIST-sporet viktig. Hvis dokumentasjonskort, TEVV-metoder og risikomerking modnes til faktiske standarder, får innkjøpere og sikkerhetsmiljøer bedre verktøy til å stille presise krav. Ikke bare «er modellen trygg?», men: hvilken test er kjørt, på hvilket datagrunnlag, mot hvilke kjente feilmodi, med hvilke terskler, og hvordan overvåkes avvik etter produksjonssetting?

For CIO og CISO blir dette en praktisk innkjøpssak. Leverandører av AI-verktøy bør ikke bare levere SOC 2, DPIA-tekst og en pent formulert sikkerhetsside. De bør kunne forklare modellgrenser, evalueringsmetodikk, dokumentasjon, logging, endringshåndtering og håndtering av sårbarheter i agent- og modellkjeden. Når AI-agentene får mer autonomi, blir denne typen dokumentasjon like viktig som tilgangsstyring og backup-regime.

Europa bør følge med

EU AI Act vil kreve klassifisering, dokumentasjon og styring av AI-systemer. NISTs arbeid er ikke EU-rett, men det kan bli en praktisk byggestein for hvordan leverandører dokumenterer at systemer er testet og kontrollert. Norske selskaper som kjøper amerikanske AI-tjenester, kan derfor møte begge regimer samtidig: europeiske krav til ansvar og transparens, og amerikanske måle- og standardmetoder fra NIST-miljøet.

Det gir en enkel anbefaling: bygg AI-governance slik at den tåler revisjon, ikke bare demo. Et minimum bør være oversikt over hvilke AI-systemer som brukes, hvilke data de behandler, hvilke leverandører som står bak, hvilke evalueringskrav som gjelder, og hvem som kan godkjenne endringer. For høyrisiko bruk må testresultater, modellkort, datakort og hendelseslogger inn i samme styringsløp som sikkerhet og compliance.

NISTs nye konsortium er også en påminnelse om at AI-markedet er i ferd med å bli mer institusjonalisert. De neste 12 til 18 månedene vil ikke bare handle om hvem som har best modell. Det vil handle om hvem som kan dokumentere at modellen er egnet, målbar og kontrollerbar i den sammenhengen den faktisk brukes.

Kilder og medier

Primærkilde: NIST, "NIST Expands AI Consortium’s Scope, Calls for New Members", publisert 29. mai 2026: https://www.nist.gov/news-events/news/2026/05/nist-expands-ai-consortiums-scope-calls-new-members

Kildekreditering: National Institute of Standards and Technology (NIST).

Thumbnail: OpenAI Image 2 / hogby.ai.