EU AI Act og MiCA: Tvær reglur sem breyta íslensku viðskiptalífi fyrir 1. júlí 2026

Þann 2. ágúst 2026 taka mestu ákvæði ESB-gerðar um gervigreind — þekkt sem EU AI Act — gildi, og þann 1. júlí 2026 lýkur umliðunartíma MiCA-reglugerðarinnar um stafræna eignir. Á næstu þremur mánuðum standa íslensk fyrirtæki, ráðgjafar og tækniþjónustufyrirtæki frammi fyrir tveimur grundvallarreglum sem munu breyta hvernig þau nota gervigreind og meðhöndla stafrænar eignir.

Hvað er EU AI Act og hvern snertir hann

EU AI Act er fyrsta almenna gerðin í heiminum um notkun gervigreindar. Hún var samþykkt af ESB 2024 og gildir um alla ESB-aðildarríki — en hvað með Ísland?

Ísland, Noregur og Liechtenstein eru aðilar að EES-samningnum (Evrópska efnahagssvæðið), sem þýðir að flest ESB-löggjöf á einnig við þar. EU AI Act er nú til umfjöllunar hjá EES EFTA-nefndinni með tilliti til innleiðingar, og íslenskar stjórnvöld hafa tekið þátt sem áheyrnarfulltrúar í fundum AI Board ESB. Flestar sérfræðiálit gera ráð fyrir innleiðingu á Íslandi innan tímasetningar sem miðast við 2026-2027.

Samkvæmt reglugerðinni eru tæknikerfi flokkuð í áhættuþrep:

• Óboðlegar notkunarsvið (til dæmis þegar gervigreind er notuð til að meta einstaklingsbundna sértækni án heimilda) — bönnuð frá ágúst 2025
• Há-áhættukerfi (til dæmis HR-kerfi, útlánakerfisbankanna, heilsufræðikerfi) — krafist gagna-, gagnsæis- og mannlegs eftirlits frá 2. ágúst 2026
• Gagnsæisskyldur — krafist merkis á gervigreindarmyndaðar myndir og texta frá 2. ágúst 2026
• Almenn tilgátu-gervigreindarlíkön (GPT-líkön o.fl.) — sérstakar kröfur eftir áhættumat

Þrír þættir sem íslensk fyrirtæki þurfa að taka á

1. Skrá gervigreindarlíkön sem eru notuð. Ef fyrirtæki nota AI-kerfi í mannauðsmálum — til dæmis til að flokka umsóknir, greina frammistöðu eða ákvarða laun — falla þau undir há-áhættuflokk. Krafist er skráningu, gagna um þjálfunargögn og möguleika á mannlegu eftirliti.

2. Kynna merkingarskyldur. Frá 2. ágúst 2026 verður þess krafist að gervigreindarmyndir, myndskeið og textar séu merktir sem slíkir. Þetta gildir bæði um markaðsefni og viðskiptasamskipti. Fyrirtæki sem nota AI til að skrifa tölvupósta, kynningartexta eða skýrslur verða að hafa tæknilegar lausnir til að merkja þetta efni.

3. Kaupa inná stafrænar eignir? Kannaðu MiCA-skráningu. MiCA-reglugerðin (Markets in Crypto-Assets) krefst þess að öll fyrirtæki sem bjóða upp á þjónustu í stafrænum eignum — kaupaðilar, vörslusöfn, stablecoin-útgefendur — hafi gilt leyfi frá þjóðlegu eftirlitsyfirvaldi. Evrópulönd sem höfðu gefið út tímabundnar heimildir (grandfathering) munu sjá þær falla niður 1. júlí 2026. Íslenskt fjármálaeftirlit mun þá fara eftir sömu kröfum og ESB-aðildarríki.

Hvaða sérfræðingaraðstoð er nauðsynleg

Vandinn sem flest íslensk fyrirtæki standa frammi fyrir er sá að þessi löggjöf er blanda af lagalegum, tæknilegum og rekstrarslegum kröfum. Það er ekki nóg að hafa eitt deildarstjóra hlusta á vefinar — hér þarf þverfaglegt samstarf.

Upplýsingatækni (IT) sérfræðingar gegna lykilhlutverki við:

• Tæknilegt mat á gervigreindarlíkönum sem eru nú þegar í notkun í fyrirtækinu — hvaða flokk falla þau í?
• Innleiðing merkingarlausna — tæknileg kröfur um að merkja AI-myndað efni eru þær sömu og á við um textann sem þú ert að lesa
• Endurskoðun á gagnageymslu og -vinnslu — há-áhættu AI-kerfi þurfa skráningu á þjálfunargögnum og gæðastjórnun
• Tenging við lögfræðiráðgjöf — IT-sérfræðingurinn getur útfært tæknilegar kröfurnar þegar lögfræðingurinn hefur greint hvað löggjöfin krefst

Íslensk fyrirtæki sem nota gervigreindartækni — hvort sem er Microsoft Copilot, ChatGPT API, eða sérsniðin lausn — ættu að hefja mat á stöðu sinni fyrir sumar 2026. Þrír mánuðir eru skammur tími þegar um kerfisskrár, samningsbreytingar og þjálfun starfsmanna er að ræða.

Hvernig á að byrja

Ráðlögð skref fyrir íslensk fyrirtæki:

1. Gera yfirlit yfir AI-notkun — hvaða gervigreindartækni notar fyrirtækið og í hvaða tilgangi?
2. Flokka áhættu — samkvæmt EU AI Act skilgreiningu; mörg algeng verkfæri falla í lágáhættu- eða miðáhættuflokk
3. Hafa samband við IT-sérfræðing með reynslu af reglugerðarfylgni til að fara yfir tæknilegar kröfur
4. Fá lögfræðiráðgjöf um hvað nákvæmlega gildir um íslænskt fyrirtæki með hliðsjón af EES-stöðu

Á Expert Zoom má nálgast IT-sérfræðinga og lögfræðinga með reynslu af reglugerðarfylgni sem geta hjálpað við þessa vinnu.

MiCA og stafrænar eignir: hvað þarf að gera fyrir 1. júlí

Yfirskrift MiCA-reglugerðarinnar er einföld: öll fyrirtæki sem bjóða kriptomyntaþjónustu í Evrópu (og í EES-löndum) þurfa að hafa löglegt leyfi. En í framkvæmd er þetta flókið.

Ísland hafði á undanförnum árum leyft ákveðnum stafrænum eignafyrirtækjum að starfa á grundvelli þjóðlegra reglna. Þegar 1. júlí 2026 líður að er þessum heimsendinganir lokið. Þetta þýðir:

• Kaupaðilar (exchanges) þurfa MiCA-leyfi eða verða að hætta starfsemi
• Vörslusöfn og stöðluð stablecoin-útgefendur falla undir strangar eiginfjárkröfur
• Þjónustuveitur sem bjóða ráðgjöf um stafrænar eignir þurfa sérstaka skráningu

Fjármálasérfræðingar og IT-sérfræðingar sem vinna með stafræna eignafyrirtæki á Íslandi þurfa nú að hafa forgöngu um að tryggja að þeir viðskiptavinir þeirra séu MiCA-samhæfðir. Þetta er ekki bara lagalegt mál — þetta er tæknilegt mál um geymslu, skráningu og öryggi kerfanna.

Tækifærið á bak við reglugerðina

Þótt þessi reglugerð feli í sér skyldur er hún líka tækifæri. Fyrirtæki sem laga sig snemma eru í betri stöðu til að:

• Geta auglýst sig sem „AI-compliant" og treyglegt gagnvart erlendum viðskiptavinum
• Koma í veg fyrir kostnaðarsamar leiðréttingar seinna
• Byggja upp þekkingu sem er æ verðmætari á hröðum tæknimörkuðum

Samkvæmt Evrópuþinginu er EU AI Act sett saman til að tryggja að gervigreind þjóni mannkyninu — en það þarf fyrirtæki til að innleiða þann vilja í raunverulegar lausnir.

Tíminn til ágúst 2026 er stuttur. En þeir sem hefjast handa nú munu vera tilbúnir.