Hvorfor regulatorer og investorer forventer, at virksomheder håndterer en tredobbelt risiko

Af Danny Bradbury • 5 februar 2026

Organisationer bekymrer sig om sikkerheds- og privatlivsrisici. Og for nylig har de været opmærksomme på AI-risici. Men hvor ofte tænker de på alle tre i den samme samtale?

Det bliver i stigende grad tydeligt, at de burde. Lovgivning om databeskyttelse, cybersikkerhed og kunstig intelligens har firedoblet siden 2016 på tværs af USA, EU, Storbritannien og Kina.

SEC har allerede bevist, at de tager cybersikkerhed alvorligt. Deres cybersikkerhedsregler, der trådte i kraft i december 2023, omformer allerede, hvordan børsnoterede virksomheder håndterer offentliggørelse af brud. Formular 8-K punkt 1.05 nu Kræver virksomheder skal offentliggøre væsentlige cybersikkerhedshændelser inden for fire hverdage efter at have fastslået væsentligheden, ikke fra det tidspunkt, hvor hændelsen blev opdaget. Formular 10-K, punkt 106, kræver årlig offentliggørelse af risikostyringsprocesser og bestyrelsestilsynsstrukturer.

Kommissionen er ikke bange for at straffe virksomheder, som den mener har nedtonet sikkerhedshændelser. For lidt over et år siden, i oktober 2024, indgik SEC et forlig i håndhævelsessager mod fire børsnoterede virksomheder (Unisys, Avaya, Check Point og Mimecast) for at have vildledt investorer om virkningen af SolarWinds-cyberangrebet i 2020. De samlede bøder nærmede sig 7 millioner dollars. Unisys alene betalte 4 millioner dollars for at beskrive cyberrisici som "hypotetiske" i sine indberetninger, mens interne teams kendte til faktiske indtrængen.

Mellem december 2023 og januar 2025 blev der rapporteret 55 cybersikkerhedshændelser via Form 8-K-indberetninger. Ud over de SolarWinds-relaterede handlinger betalte Flagstar 3.55 millioner dollars i december 2024 for at beskrive et brud, der påvirkede 1.5 millioner mennesker, som blot "adgang", når data faktisk var blevet stjålet.

Disse sanktioner viser et behov for at forbinde cybersikkerhedsafsløring med bredere virksomhedsrisikostyring. SEC's oprettelse af en ny enhed for cyber- og nye teknologier i februar 2025 signalerer, at denne kontrol vil fortsætte. Den erstattede enheden for kryptoaktiver og cyber. CETU antyder også vigtigheden af at indregne AI i disse risici, da den specifikt inkluderer både AI og cybersikkerhedspraksis i sit mandat.

Fragmenteret styring skaber øget eksponering

Amerikanske virksomheder med europæiske aktiviteter står også over for yderligere pres fra EU's AI-lov, som trådte i kraft i august 2024. Loven, som har overholdelsesfrister forskudt til 2027, gælder ekstraterritorialt. Amerikanske virksomheder, der markedsfører AI-systemer på EU-markedet eller implementerer AI, hvis output påvirker EU-brugere, skal overholde den.

Der er betydelige udfordringer. Bøder for forbudte AI-praksisser når op på 35 millioner euro eller 7 procent af den globale årlige omsætning, alt efter hvad der er højest. Højrisikokategorier, der omfatter AI, der bruges til ansættelsesbeslutninger, kreditvurdering og sundhedsdiagnostik, kræver overensstemmelsesvurderinger, teknisk dokumentation og menneskelige tilsynsmekanismer. Forbud mod AI-systemer med uacceptabel risiko trådte i kraft i februar 2025.

AI dukker op i offentliggørelsesdokumenter

Investorernes forventninger ændrer sig i takt med at disse risici udvikler sig. Regulatorer og aktionærer gør det klart, at den gamle model med separate teams, der administrerer cybersikkerhed, privatliv og kunstig intelligens som adskilte domæner, ikke længere fungerer.

AI er med bemærkelsesværdig hastighed flyttet fra diskussioner om muligheder i bestyrelser til risikofaktorafsnittet i årsrapporter. 72 procent af S&P 500-virksomhederne nu offentliggøre væsentlige AI-risici, en stigning fra blot 12 procent i 2023. De bekymringer, de hyppigst nævner, er omdømmeskade (38 procent af de virksomheder, der oplyser), implikationer for cybersikkerhed og regulatorisk usikkerhed.

Bestyrelsesovervågning er fulgt. Ifølge ISS-Virksomhed31.6 procent af S&P 500-virksomhederne oplyste om bestyrelsens tilsyn med AI i deres fuldmagtserklæringer for 2024. Det er en stigning på 84 procent i forhold til året før.

De, der ikke pålægger et sådant tilsyn, risikerer væsentlig skade for aktionærerne, hvilket kan føre til potentielle negative afstemningsanbefalinger. Sidste år udstedte Glass Lewis, et fuldmagtsrådgivningsfirma, der rådgiver institutionelle aktionærer om, hvordan man stemmer, nye benchmarkretningslinjer, der direkte omhandler AI-styring.

Problemet med at håndtere cybersikkerhed, privatliv og AI separat er, at hændelser, der relaterer sig til hver af disse, blander sig med de andre. Et enkelt brud kan samtidig udløse SEC's oplysningsforpligtelser, GDPR-notifikationskrav, statslige privatlivslove og (hvis persondata er blevet trænet af et AI-system) nye AI-regler.

Så tiden er inde til at samle hensynet til disse risikoområder, men intet af dette er let. Ifølge Ifølge National Association of Corporate Directors' selskabsstyringsudsigter fra juli 2025 er kunstig intelligens nu et rutinemæssigt emne for 61 procent af bestyrelserne, men få har integreret det ordentligt i ledelsesstrukturerne.

Hvorfor? Kulturelle friktioner er én af grundene. Sikkerheds-, privatlivs- og AI-teams har historisk set opereret med forskellige ordforråd, risikorammer og rapporteringsstrukturer.

Teknologiintegration tilføjer endnu et problem; isolerede GRC-værktøjer skaber fragmenterede tilgange til risikovurdering, revisionsdokumentation og indsamling af bevismateriale. Budgetbegrænsninger tvinger frem til smertefulde afvejninger mellem at opbygge integreret infrastruktur og overholde umiddelbare overholdelsesfrister.

Standardrammer tilbyder en vej fremad

Den gode nyhed: Store standardiseringsorganer forudså denne konvergens. ISO's overordnede struktur betyder, at ISO 27001 (informationssikkerhed), ISO 27701 (privatliv) og den nyere ISO 42001 (AI-styringssystemer) deler kompatible arkitekturer, hvilket gør det muligt for organisationer at opbygge ensartede styringssystemer i stedet for parallelle bureaukratier.

Praktisk integration starter typisk med tværfunktionelle styringsudvalg, der inkluderer repræsentanter for privatliv, cybersikkerhed, jura og AI. Derfra udvikler organisationer fælles risikotaksonomier og (hvor budgetterne tillader det) ensartede GRC-platforme, der eliminerer overflødige vurderinger. Rollegrænser udviskes allerede: ifølge en IAPP- og EY-undersøgelse har 69 procent af Chief Privacy Officers overtaget ansvar for AI-styring.

Organisationer, der ikke udvikler deres praksis i overensstemmelse hermed, risikerer regulatorisk eksponering. For dem, der gør det, venter der mindre regulatorisk friktion, reduceret revisionsbyrde og stærkere investortillid.

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Læs mere fra Danny Bradbury

Cyber sikkerhed 15 januar 2026

Fra perimetersikkerhed til identitet som sikkerhed

Man kan ikke kigge nogen steder hen på en sikkerhedshændelse i disse dage uden at se udtrykket "nul tillid". Det er et modeord, ikke sandt...

Danny Bradbury

Cyber sikkerhed 18 December 2025

Sådan navigerer du i den amerikanske AI-overholdelseslabyrintbanner

Sådan navigerer du i den amerikanske AI-compliance-labyrint

Når det kommer til regulering, er udtrykket 'USA' en selvmodsigelse. Statslovgivningen er alt andet end ensartet, hvor hver jurisdiktion tradi...

Danny Bradbury

Cyber sikkerhed 20. November 2025

Hvad Salesforce-brud lærer os om delt ansvarlighed banner

Hvad Salesforce-brudene lærer os om delt ansvarlighed

2025 har ikke været et godt år for Salesforce-kunder. En lyssky kriminel gruppe iværksatte en række angreb på sine kunder, hvilket i sidste ende påvirkede...

Danny Bradbury