USA vil samle AI-reglene på føderalt nivå

To medlemmer av Representantenes hus har lagt frem et diskusjonsutkast til Great American Artificial Intelligence Act of 2026. Forslaget er ikke en vedtatt lov og ikke engang formelt introdusert som ordinært lovforslag ennå. Likevel er det viktig, fordi det viser hvor USA kan være på vei: én føderal ramme for de mest avanserte AI-modellene, kombinert med en midlertidig brems på delstatsregler som retter seg mot modellutvikling.

Utkastet er lagt frem av Lori Trahan, demokrat fra Massachusetts, og Jay Obernolte, republikaner fra California. Begge sitter i House Energy and Commerce Committee. De ber om innspill fra eksperter, næringsliv og offentligheten før teksten eventuelt går videre.

For norske ledere er dette mer enn amerikansk politisk prosess. De største AI-leverandørene, skyleverandørene og sikkerhetsplattformene som brukes i Norge er tett koblet til amerikansk regulering. Hvis USA samler kravene til frontier-modeller nasjonalt, vil det raskt påvirke kontrakter, revisjonskrav, modellkort, sikkerhetsdokumentasjon og leverandørstyring også utenfor USA.

En føderal AI-ramme

Kjernen i forslaget er en ny føderal ramme for frontier-AI. Utkastet beskriver krav til transparens, uavhengig verifikasjon, varslingsvern, cybersikkerhet, arbeidsmarkedstiltak, forskning og internasjonalt samarbeid. Det er bredt, men de viktigste delene for CIO, CISO og styre ligger i Title I.

Der foreslås det at store frontier-utviklere innen ett år etter en eventuell lov må skrive, implementere, følge og publisere et frontier AI framework på en offentlig nettside. Rammeverket skal gjelde hver frontier-modell utvikleren har. Det skal blant annet beskrive hvordan selskapet identifiserer terskler for katastrofal risiko, vurderer om modellen kan ha slike egenskaper, avgjør om modellen skal tas i bruk eller deployes, og bruker tredjeparter til å vurdere risiko og effekt av tiltak.

Det er også konkrete krav om cybersikkerhet for ikke-offentlige modellvekter. Utkastet nevner sikring mot uautorisert endring eller overføring av modellvekter, håndtering av kritiske sikkerhetshendelser og intern styring for å sikre at rammeverket faktisk etterleves.

Dette peker mot et modent compliance-løp for AI-leverandører. Ikke bare policy-dokumenter. Ikke bare frivillige prinsipper. Kravene går i retning av dokumenterte terskler, vurderinger, tredjepartsverifikasjon og kontroll med modellvekter.

Delstatene får en grense

Den mest politiske delen av utkastet er Section 121. Den sier at ingen delstat eller lokal myndighet kan etablere, videreføre eller håndheve lover eller regler som spesifikt regulerer utviklingen av en AI-modell. Begrunnelsen er at modellutvikling er av nasjonal økonomisk betydning og gjelder internasjonal konkurransekraft, og derfor krever enhetlig føderalt tilsyn.

Forslaget stanser ikke all delstatsregulering av AI. Teksten sier uttrykkelig at delstater fortsatt kan regulere aktiviteter etter deployment, inkludert implementering, distribusjon, tilbud eller bruk av AI-systemer, produkter og tjenester som bygger på en modell. Den åpner også for generelle delstatslover og eksisterende rettsmidler.

Forslaget er dessuten midlertidig. Preemption-delen skal etter teksten opphøre tre år etter ikrafttredelse, med mindre Kongressen fornyer den.

Det gjør forslaget mer presist enn en generell «federal AI takeover». Det handler om å gi modellutviklerne én nasjonal bane for selve utviklingsfasen, mens bruken av AI fortsatt kan reguleres nærmere sektor, forbrukerbeskyttelse, arbeidsliv og offentlig sikkerhet.

For virksomheter betyr det at compliance-kartet kan bli todelt. Modellutvikling og leverandørens frontier-kontroller kan havne under føderal amerikansk standard. Bruken av AI i bank, helse, HR, kundeservice eller offentlig sektor kan fortsatt bli styrt av lokale og sektorvise regler. I Europa kommer AI Act i tillegg.

Uavhengige kontrollører

Utkastet foreslår også lisensiering og tilsyn med independent verification organizations, eller IVO-er. Disse skal kunne vurdere frontier-utvikleres rammeverk, governance, risikohåndtering og etterlevelse. Teksten legger opp til krav om uavhengighet, innsyn i finansiering, metodikk, benchmarker og evne til å holde tritt med teknologiske og organisatoriske endringer.

Dette er et punkt norske virksomheter bør merke seg. Mange kjøper i dag AI fra leverandører som viser til egne evalueringsrapporter. Et regime med uavhengige kontrollører kan endre hva som regnes som god dokumentasjon. I innkjøp kan spørsmålet gå fra «har dere en policy?» til «hvilken uavhengig vurdering finnes, hva dekker den, og hvilke modeller gjelder den for?».

Utkastet inneholder også vern for AI-varslere. Arbeidsgivere skal ikke kunne gjengjelde mot personer som gir informasjon om AI-brudd til regulatorer, rettshåndhevelse, Kongressen eller internt til ansvarlige personer. Det er et tegn på at amerikanske lovgivere ser frontier-AI som et felt der intern kunnskap kan bli avgjørende for offentlig risikokontroll.

Hva norske selskaper bør gjøre nå

Ingen bør behandle dette som gjeldende rett. Men det bør inn i leverandørrisikoen allerede nå. Spørsmålene er konkrete: Hvilke frontier-modeller bruker virksomheten direkte eller indirekte? Hvilke leverandører kan bli omfattet av amerikanske krav? Finnes det dokumentasjon for modellvektsikkerhet, hendelseshåndtering, tredjepartsevaluering og terskler for katastrofal risiko?

For styret er hovedpoenget at AI-regulering blir mer operasjonell. Den flytter seg fra prinsipper til kontroller. Leverandører som ikke kan dokumentere modellstyring, sikkerhet og ekstern vurdering kan bli mer krevende å bruke i regulerte miljøer. Leverandører som ligger foran, kan få et konkurransefortrinn.

For CIO og CISO bør dette kobles til kontrakter og arkitektur. Hvis en amerikansk modellleverandør endrer vilkår, API-tilgang, logging, evalueringsrapporter eller sikkerhetsdokumentasjon som følge av føderal regulering, må virksomheten vite hvor modellen brukes. Det gjelder også der AI er pakket inn i en skytjeneste, et CRM-system, et utviklerverktøy eller en sikkerhetsplattform.

Utkastet er et politisk startpunkt, ikke slutten på prosessen. Men retningen er tydelig: USA prøver å unngå et lappeteppe av delstatskrav for modellutvikling, samtidig som Kongressen vil ha mer synlig kontroll med de største modellene. Det er en styringssak, ikke bare en jussak.

Kilder og medier

Primærkilde: U.S. Representative Lori Trahan, «Trahan, Obernolte Unveil Federal AI Framework Discussion Draft», https://trahan.house.gov/news/documentsingle.aspx?DocumentID=3783

Tilleggsdokument: Discussion draft, «Great American Artificial Intelligence Act of 2026», https://trahan.house.gov/uploadedfiles/the_great_american_ai_act_discussion_draft.pdf

Kildekreditering: U.S. Representative Lori Trahan.

Thumbnail: OpenAI Image 2 / hogby.ai