Compliance-æraen: Hvordan regulering, teknologi og risiko omskriver forretningsnormer

Af Nicholas Fearn • 8 januar 2026

Compliance er ikke det mest glamourøse i de fleste virksomhedslederes øjne. De ser det måske som en nødvendighed for at undgå regulatorisk pres, men også som noget, der kan overlades til en yngre medarbejder eller i det mindste håndteres ad hoc.

Men da teknologi nu er livsnerven i de fleste moderne virksomheder, kriminelle udnytter dette, og regulatorer og andre interessenter følgelig presser virksomheder til at tage compliance mere alvorligt, er en sådan tilgang ikke længere bæredygtig.

Compliance og governance skal nu være en løbende øvelse, understøttet af fælles rammer og ledelsens opbakning, for at imødegå den voksende mængde af informations-, cyber- og forsyningskæderisici, som virksomheder og deres interessenter står over for. Men hvordan kan dette opnås?

Cyberrisiko er forretningsrisiko

En central drivkraft i overgangen til overholdelse af regler fra at være en afkrydsningsfeltøvelse til en strategisk prioritet i virksomheders daglige drift er "den store bredde af love, regler, standarder og god praksis", som de nu forventes at overholde, ifølge Stephanie Locke, produktchef hos AI-eksperterne Nightingale HQ. Hun siger, at manglende overholdelse kan føre til betydelige omdømmemæssige og økonomiske konsekvenser.

Bemærkelsesværdige eksempler på love og regler, der har drevet denne ændring, omfatter Den Europæiske Unions direktiv om netværks- og informationssikkerhed nr. 2 (NIS2) og dens skelsættende lov om kunstig intelligens – for ikke at nævne de varierende standarder for databeskyttelse i forskellige dele af verden. I betragtning af at teknologi er dybt forankret i alle dele af en organisations drift, siger Locke, at bestyrelser er nøje opmærksomme på disse regler og nu ser IT-risiko som en virksomhedsrisiko.

Locke siger, at teknologiøkosystemet – og det regulatoriske landskab, der er designet til at holde det i skak – begge udvikler sig hurtigt, og at virksomheder nu er tvunget til at håndtere cyberrisici kontinuerligt i stedet for periodisk. Hun tilføjer: "Især kunstig intelligens skaber nye operationelle, juridiske og omdømmemæssige risici, hvor tidlige håndhævelsesmønstre sandsynligvis vil afspejle den forstyrrende indvirkning, som GDPR havde efter lanceringen."

Med lignende tanker siger Jake Moore – global cybersikkerhedsrådgiver hos antivirussoftwareproducenten ESET – at fremkomsten af juridiske rammer som NIS2 og EU's AI-lov har gjort "cyberrisiko til en forretningsrisiko". Med dette i tankerne siger han, at begge love nødvendiggør "ansvarlighed på direktørniveau" og understreger, at "compliance nu dikterer driftsmodeller snarere end omvendt".

Han fortæller IO: "Omkostningerne ved at gøre det forkert er dyre, og afkrydsningsfelter er ikke altid nok. Overholdelse af regler er måske en længere løsning, men det beviser, at organisationer kan operere sikkert og i stor skala."

Regulatorer bliver klogere

Tilsynsmyndighederne arbejder dog ikke bare hurtigt på at indføre og justere branchelove. De arbejder også meget hurtigere bag kulisserne for at opdage virksomheder, der muligvis overtræder deres regler, takket være fremskridt inden for kunstig intelligens.

Lee Bryan – grundlægger og administrerende direktør for leverandøren af compliance-løsninger, Arcus Compliance – siger, at tilsynsmyndighederne ved hjælp af AI er i stand til at "scanne produkter, emballage, data og dokumentation i stor skala" og på tværs af "hele kategorier". Teknologien giver dem også mulighed for at "opdage huller, uoverensstemmelser og falske påstande med det samme".

Han tilføjer, at en så stor ændring i, hvordan tilsynsmyndigheder arbejder, betyder, at brands ikke længere kan "gemme sig bag volumen-, geografi- eller langsomme manuelle kontroller", hvilket betyder, at de ikke har andet valg end at behandle compliance som en afgørende forretningsaktivitet eller blive ramt af tiltag.

Ikke længere en eftertanke

Tilsynsmyndigheder er ikke den eneste gruppe, der forventer, at virksomheder tager compliance alvorligt.

Andre interessenter, såsom investorer, kunder og partnere, gransker i stigende grad virksomheders sikkerheds- og privatlivspolitik, før de underskriver kontrakter – og endda bagefter.

I lyset af stigende cyberangreb i forsyningskæden, som det SolarWinds oplevede, siger Locke fra Nightingale, at virksomheder er opmærksomme på de risici, som tredjepartsleverandører af teknologi kan udgøre, hvis de ikke overholder bedste praksis og regler for cyberrisiko. Hun tilføjer: "Som et resultat er sikkerhed og privatlivspolitik blevet centrale komponenter i kommerciel og investeringsmæssig due diligence."

Specifikt når det kommer til digital due diligence, forklarer George Tziahanas – vicepræsident for compliance hos arkiveringssoftwarespecialisterne Archive360 – at potentielle kunder kan blive afskrækket fra at samarbejde med virksomheder, der ikke er i stand til at forklare, hvordan de opbevarer, administrerer og sletter data, og ser dette som en "operationel risiko".

Eksisterende interessenter forventer også en høj grad af overholdelse af lovgivningen fra de virksomheder, de arbejder med, da de forsøger at undgå at blive involveret i hændelser i forsyningskæden. Tziahanas siger, at manglende overholdelse af dette kan resultere i, at virksomheder oplever "kontraktlige sanktioner, lovgivningsmæssige tiltag og omdømmemæssige konsekvenser".

Undgå siloer

Dårlig compliance er dog ikke blot noget, virksomheder ser som en øvelse i at afkrydse regler. Tziahanas forklarer, at mangler i compliance, som f.eks. "inkonsekvente kontroller, ufuldstændige optegnelser og upålidelige data", kan resultere i problemer som "falsk rapportering, mislykkede attesteringer og overdreven opbevaring".

For at undgå dette bør virksomheder ideelt set kombinere alle de forskellige aspekter af compliance – risiko, sikkerhed, privatliv og kontinuitet – i én styringstråd. Ifølge Moore fra ESET vil dette resultere i, at deres compliance- og risikoprofil skifter fra "reaktiv brandbekæmpelse" til "proaktiv" – noget, der "sparer penge og skjulte omkostninger" på samme tid.

John Phillips, administrerende direktør for EMEA hos regnskabssoftwareudbyderen FloQast, ser også fordelene ved en samlet og proaktiv tilgang til compliance og cyberrisikostyring. Han siger, at teams, der anvender denne tilgang, kan "forudse interne og eksterne ændringer, samarbejd tidligt med ledelsen og fokusere ressourcer, hvor de vil have den største effekt".

Overholdelse af brancheregler og bedste praksis i de tidlige stadier af et nyt forretningsforetagende eller produkt kan også være gavnligt i det lange løb. Til at begynde med siger Tziahanas fra Archive360, at det vil forhindre "dyre eftermonteringer", da "klassificerings-, opbevarings- og sletningsregler" allerede vil være defineret og implementeret.

En robust compliance-holdning vil også hjælpe virksomheder med at opbygge stærke interessentrelationer bygget på tillid, tilføjer Tziahanas. Dette er nøglen til "at muliggøre hurtigere handelscyklusser og en mere gnidningsløs markedsadgang".

Praktiske trin

Når det kommer til at opbygge og implementere en stærk compliance-strategi, kan respekterede brancherammer som ISO 27001, ISO 42001, SOC 2 og ISO 27701 være et godt udgangspunkt.

Locke fra Nightingale HQ beskriver dem som en "starthåndbog til styring" og siger, at de giver virksomheder alle de "grundlæggende elementer", der er nødvendige for at opfylde deres compliance- og styringsforpligtelser. Hun tilføjer, at sådanne rammer også gør det muligt for organisationer og deres interessenter at forpligte sig til "fælles forventninger og forpligtelser" vedrørende compliance og styring.

Tydelig risikosynlighed er også vigtig. Bryan fra Arcus Compliance forklarer, at virksomhedsledere muligvis ikke er opmærksomme på de risici, de står over for, fordi "data, dokumentation og leverandører er spredt på tværs af systemer". Han mener, at dette kan løses ved at anvende "agile systemer, en risikobaseret tilgang og en ægte compliance-kultur".

For ESETs Moore er ledelsens engagement afgørende for at få compliance- og governanceplaner til at fungere. Men det kan kun opnås ved at uddanne ledere i det hurtigt voksende cybertrusselslandskab og hvordan det kan påvirke virksomheden, siger han.

Ved første øjekast virker compliance som en kedelig opgave, der kun glæder tilsynsmyndighederne. Men det kan faktisk gavne virksomheder, da det giver dem mulighed for at opdage og løse risici, før de forårsager alvorlig skade. Samtidig kan det tiltrække potentielle kunder og styrke båndene til eksisterende kunder – som alle er bekymrede over de seneste cyberangreb i forsyningskæden og ønsker at sikre, at enhver virksomhed, de arbejder med, tager disse risici alvorligt.

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.

Læs mere fra Nicholas Fearn

Cyber sikkerhed 27. November 2025

Hvordan højprofilerede cyberhændelser demonstrerer den reelle forretningsmæssige indvirkning af sårbarheder i forsyningskæden

Cyberangreb skaber kaos i virksomheder. De kan sætte virksomheders drift i stå, dræne deres kasser og undergrave kundernes tillid. Ofte...

Nicholas Fearn

Cyber sikkerhed 4 September 2025

Qantas databrud: Hvorfor leverandørtilsyn skal være en prioritet for compliance

Et nyligt databrud hos Qantas, der kompromitterede 5.7 millioner kunders personlige oplysninger, har fremhævet den igangværende cybersikkerhedsrisiko, som disse...

Nicholas Fearn

Cyber sikkerhed 16 juli 2025

Hvad øgede forsvarsudgifter betyder for cybersikkerhedssektoren

I takt med at de geopolitiske spændinger fortsætter med at stige globalt, har der i 2025 været en dramatisk stigning i forsvarsudgifterne, som ikke er set siden den kolde krig. I de seneste ...

Nicholas Fearn