OpenAI får FedRAMP Moderate for ChatGPT Enterprise og API

OpenAI har fått FedRAMP 20x Moderate-autorisasjon for ChatGPT Enterprise og OpenAI API Platform.

Fakta: OpenAI publiserte 27. april 2026 at ChatGPT Enterprise og API-plattformen nå er tilgjengelig under FedRAMP Moderate for amerikanske føderale etater. Autorisasjonen dekker bruk av OpenAIs administrerte produkter i miljøer der sikkerhet, personvern og styring må dokumenteres før innkjøp og drift. OpenAI skriver også at etater kan få tilgang til GPT-5.5 i FedRAMP-miljøet, og at Codex Cloud etter hvert skal kunne brukes via FedRAMP ChatGPT Enterprise-arbeidsområder.

Dette er ikke en norsk sertifisering, og det gjør ikke OpenAI automatisk klar for alle offentlige eller regulerte norske use cases. Men signalet er viktig: de store AI-leverandørene flytter seg fra generell produktivitet til reviserbare, innkjøpsklare plattformer for virksomheter med strenge kontrollkrav.

For norske CIO-er betyr det at vurderingen av generativ AI bør bli mer konkret. Spørsmålet er ikke lenger bare om modellen er god nok, men om leverandøren kan dokumentere kontrollmiljø, logging, databehandling, rollefordeling og endringshåndtering på en måte som tåler internrevisjon, tilsyn og anskaffelser. FedRAMP 20x legger vekt på cloud-native sikkerhetsbevis, Key Security Indicators, automatisert validering og løpende innsyn. Det er samme type dokumentasjon norske virksomheter vil etterspørre når AI flyttes fra pilot til produksjon.

Lederkonsekvensen er todelt. Først: OpenAI blir lettere å vurdere for regulerte miljøer, spesielt der ChatGPT Enterprise eller API-er skal brukes som kontrollert intern plattform i stedet for som uformell skygge-AI. Deretter: konkurrenter som Microsoft, Google, Anthropic og Mistral vil presses til å vise tilsvarende modenhet i sertifiseringer, datasoner og tillitsportaler.

Anbefalingen er å oppdatere AI-leverandørkravene nå. Be om dokumentasjon for datalagring, tilgangsstyring, modell- og funksjonsendringer, hendelseshåndtering, underleverandører og eksport av logger. Skill tydelig mellom uformell bruk av chatbot, kontrollerte enterprise-arbeidsområder og API-integrasjoner i saksbehandling eller kundedialog. Det er der risikoen, kostnaden og gevinsten faktisk ligger.

Vurdering: FedRAMP Moderate er mest direkte relevant for USA, men for norske ledere er nyheten et modningssignal. AI-plattformer som ikke kan dokumentere sikkerhet og governance på innkjøpsspråk, kommer til å få vanskeligere vei inn i kjerneprosesser.