Spring til indhold
ISMS.online

Risikostyring for AI-leverandører: Vurdering af tredjeparts AI-leverandører

Risiko ved AI-leverandører er ikke længere bare en afkrydsningsfelt i forbindelse med indkøb. Modeludbydere, AI SaaS-værktøjer, integrerede AI-funktioner og datamærkningspartnere ligger alle inden for din risikogrænse. Denne vejledning viser, hvordan du vurderer, indgår kontrakter med og overvåger tredjeparts AI-leverandører i overensstemmelse med ISO 42001, bilag A.10, og EU's AI-lovgivning.

Forfatter
Max Edwards
Opdateret 24. april 2026
4/5 stjerner

Hvad er risikoen for AI-leverandører?

AI-leverandørrisiko er den risiko, din organisation bærer, når en tredjepart leverer, hoster, træner eller integrerer AI-kapacitet i dine produkter, processer eller beslutninger. Det er bredere end klassisk IT-leverandørrisiko, fordi en AI-leverandør ikke kun behandler dine data – de kan forme de output, dine medarbejdere og kunder er afhængige af, med en adfærd, der ændrer sig over tid, efterhånden som modeller omskoles og opdateres.

Femtrins risikostyringslivscyklus for AI-leverandører fra due diligence før kontrakt, kontraktklausuler, onboarding-baseline, løbende overvågning til fornyelse eller exit med data returnering

I de fleste organisationer i dag falder AI-leverandører i fire overlappende kategorier:

  • Udbydere af fundamentsmodeller såsom OpenAI, Anthropic, Google, Mistral og Cohere, der tilgås via API og er integreret i interne værktøjer, agenter eller kundevendte funktioner.
  • AI-indbyggede SaaS-værktøjer såsom notattagere, kodeassistenter, kundesupport-copiloter, salgsfremmende værktøjer og analyseplatforme, hvor AI er produktet.
  • Indlejret AI i virksomhedssoftware såsom AI-opsummering i CRM, AI-scoring i HR-systemer, AI-gennemgang i kontraktstyring eller AI-triage i servicestyring, hvor AI'en er en ny funktion i et eksisterende leverandørforhold.
  • Leverandører af datamærkning og træningsdata der ligger opstrøms i forhold til enhver model, du bygger, med betydelig indflydelse på bias, kvalitet og det juridiske grundlag for træning.

Hver kategori indebærer forskellige risici, men de deler et fælles problem: leverandøren kontrollerer den adfærd, du er ansvarlig for. Regulatorer, kunder og forsikringsselskaber forventer i stigende grad, at du beviser, at du aktivt har vurderet og overvåget denne adfærd – ikke bare har underskrevet en kontrakt og er gået videre.

Hvorfor er risiko for AI-leverandører blevet et problem i bestyrelseslokalet?

Tre kræfter har flyttet tilsyn med AI-leverandører fra at være en indkøbsopgave til et anliggende på bestyrelsesniveau.

Koncentreret afhængighed. En håndfuld udbydere af fundamentale modeller sidder nu under tusindvis af AI-funktioner på tværs af næsten alle virksomhedsstak. Modelafbrydelser, politikændringer, prisændringer og geografiske begrænsninger spreder sig øjeblikkeligt til dine produkter og kunderejser. Det er en koncentrationsrisiko, som bestyrelsen er nødt til at tage stilling til.

Ikke-deterministisk adfærd. I modsætning til en traditionel SaaS-leverandør, hvis software gør det samme i dag som i går, kan en AI-leverandør ændre modelvægte, systemprompter, sikkerhedsfiltre og træningsdata uden varsel. Det output, du validerede i test, er muligvis ikke det output, din kunde ser i produktion seks måneder senere.

Reguleringsansvarlighed. ISO 42001, den EU's AI-lov, sektorregulatorer (FCA, PRA, NHS Digital, Ofcom) og databeskyttelsesmyndigheder pålægger nu alle eksplicitte forpligtelser til distributøren af ​​et AI-system, ikke kun til byggeren. At pege på din leverandør er ikke længere et forsvar. Du skal vise, at du valgte en passende leverandør og holdt øje med dem.

Den praktiske konsekvens: Risikoen ved AI-leverandører hører hjemme i virksomhedsrisikoregisteret, i revisionsudvalgets pakke og i AI politik, ikke begravet i indkøb.

Hvad siger ISO 42001 om AI-leverandørtilsyn?

ISO 42001 behandler AI-relationer med tredjeparter direkte i bilag A.10, et af ni kontrolområder i bilag A. Kontrolområdet dækker leverandører, ansvarsfordeling mellem organisationer og kunder, fordi du i en AI-forsyningskæde kan være alle tre på én gang - leverandør til én part, distributør af en anden og kunde hos en tredjepart.

Bilag A.10 kræver, at du:

  • Etabler en proces til at identificere AI-leverandører og de AI-systemer, de leverer til dig
  • Fordel ansvaret klart og skriftligt mellem dig og dine leverandører, så der ikke er huller i ansvarligheden for AI-risiko, -påvirkning og -ydeevne.
  • Tag højde for AI-specifikke overvejelser i forbindelse med leverandørudvælgelse, kontrakter og løbende styring, ikke kun generiske informationssikkerhedsbetingelser
  • Sørg for, at kunderne af dine AI-systemer har de oplysninger, de har brug for, for at bruge dem ansvarligt

Bilag B (som er normativt, ikke informativt) indeholder implementeringsvejledning for hver kontrol i bilag A, herunder A.10. Udover bilag A.10 berører tilsynet med AI-leverandører også A.2 (politikker relateret til AI), A.3 (intern organisation og ansvar), A.5 (vurdering af virkningerne af AI-systemer), A.7 (data for AI-systemer) og A.8 (information til interesserede parter). For det fulde sæt, se vores Bilag A kontrollerer reference og den dedikerede Bilag A.10 Tredjeparts- og kundeforhold .

Din Anvendelseserklæring bør dokumentere, hvordan du anvender hver af disse kontroller på din AI-leverandørgruppe, herunder eventuelle undtagelser og begrundelsen for dem.



Alt du behøver til ISO 42001, på ISMS.online

Alt hvad du behøver til ISO 42001

Struktureret indhold, kortlagte risici og indbyggede arbejdsgange, der hjælper dig med at styre AI ansvarligt og med selvtillid.

Kom i gang


Hvordan vurderer du en AI-leverandør?

Due diligence hos AI-leverandører skal gå ud over et sikkerhedsspørgeskema. Du vurderer ikke kun, hvordan leverandøren beskytter dine data, men også hvordan de bygger, driver, ændrer og udfaser det AI-system, du er afhængig af. Rammerne nedenfor dækker de ni områder, som enhver AI-leverandørvurdering bør berøre, med et eksempel på spørgsmål, du kan stille, og de røde flag, der bør stoppe en kontrakt.

Miljø Spørgsmål at stille rødt flag
Datatræning Hvilke data blev modellen trænet på? Blev nogen af ​​vores data brugt til træning som standard? Kan vi framelde os skriftligt? Hvad er det juridiske grundlag for træningsdata (samtykke, legitim interesse, licens)? Leverandøren kan ikke oplyse dig om kilderne til træningsdataene, bruger kundedata til træning som standard uden fravalg eller er afhængig af scrapede data uden et retligt forsvarsgrundlag.
Modelgennemsigtighed Kan I fremvise et modelkort eller systemkort? Hvad er de kendte begrænsninger og fejltilstande? Hvordan er modellen versionsbaseret? Vil vi blive underrettet om modelbytter eller større omskoling? Ingen modeldokumentation, tavse modelbytninger, ingen versionsstyring eller afvisning af at beskrive modellen overhovedet (sort boks uden garanti)
Sikkerhedsstilling Er leverandøren certificeret i henhold til ISO 27001 og SOC 2? Hvordan adskilles kundedata? Hvad er krypteringen, nøglehåndteringen og adgangskontrollerne omkring inferenstrafik og logfiler? Ingen anerkendt certificering, delt lejemål uden adskillelse, prompter og output logget i klartekst på ubestemt tid, eller ingen SSO og MFA
Privatliv og GDPR Hvor behandles og opbevares data? Er der en databehandleraftale på plads? Er der tilstrækkelige overførselsmekanismer for internationale strømme? Hvordan håndteres de registreredes rettigheder i forbindelse med input og output? Ingen databeskyttelsesaftale, overførsler uden for Storbritannien og EØS uden sikkerhedsforanstaltninger, ingen mekanisme til at understøtte anmodninger om adgang eller sletning af data fra registrerede eller uklar opbevaring af anmodninger
Specifikationer Er I certificeret i henhold til ISO 42001? Har I ISO 27001 og SOC 2 Type II? Hvornår var de sidste overvågningsrevisioner? Kan vi se certifikaterne og omfangserklæringerne? Ingen ISO 42001 (eller ingen troværdig køreplan for den), udløbne certifikater, omfangserklæringer, der udelukker den service, du køber, eller kun egenattestering
Hændelsesreaktion Hvordan definerer I en AI-hændelse? Hvad er jeres SLA for notifikationer til kunder? Hvordan håndterer I modelhallucinationer, skadelige output, bias-hændelser og sikkerhedsbrud? Kan vi se en redigeret rapport efter hændelsen? Ingen AI-specifik hændelsesdefinition, notifikationsvinduer længere end 72 timer, ingen rapportering efter hændelsen eller manglende evne til at vise tidligere hændelser, der er håndteret fra start til slut
Forandringsledelse Hvordan håndterer I ændringer af modelvægte, systemprompter, sikkerhedsfiltre og beskyttelsesrækværk? Får vi besked? Kan vi forblive på en fastlåst version? Hvordan testes ændringer før udrulning? Rullende opdateringer uden varsel, ingen mulighed for versionsfastgørelse, ingen test af virksomhedstrafik før udgivelse eller ingen tilbagerulningsmekanisme
Underbehandlere Hvem er jeres underdatabehandlere, herunder hosting, modelhosting, evaluering og datamærkning? Hvordan bliver de godkendt og revideret? Får vi besked om ændringer? Ufuldstændig liste over underdatabehandlere, uigennemsigtig brug af underdatabehandlere, ingen ret til at gøre indsigelse mod nye underdatabehandlere eller brug af underdatabehandlere i ugunstigt stillede jurisdiktioner
Udgangsplan Hvordan får vi vores data tilbage? Hvor længe opbevares de efter ophør? Slettes prompts, output og finjusteringsdata fuldstændigt? Findes der et portabilitetsformat til brugerdefinerede konfigurations- eller evalueringsdata? Ingen defineret exit, fastholdelse målt i år i stedet for dage, intet eksportformat eller fastlåsning via proprietære evalueringsdata

Score hvert område, vægt i henhold til risikoen i AI-brugsscenariet, og link resultatet til leverandørposten i dit leverandørregister. Målet er en forsvarlig beslutning, ikke en perfekt score.

Hvilke kontraktvilkår bør du kræve af AI-leverandører?

AI-leverandørkontrakter skal gå ud over standard SaaS-vilkår. Sikkerhedsplaner og databehandlingsaftaler håndterer datalaget, men AI-adfærd, ændringer og ansvarlighed kræver deres egne klausuler. Tjeklisten nedenfor er det minimum, vi ville forvente i enhver væsentlig AI-leverandørkontrakt:

  • Ret til revision. En kontraktlig ret til at revidere leverandøren eller stole på uafhængige revisionsrapporter (ISO 42001-certifikat, SOC 2 Type II, penetrationstestresuméer) på en defineret kadence, der dækker det specifikke AI-system, du køber.
  • Meddelelse om modelændring. Skriftlig meddelelse om væsentlige ændringer af modelvægte, systemprompter, sikkerhedsfiltre eller beskyttelsesrækværk med en defineret varselsperiode (typisk 30 til 90 dage for virksomhedsbrug) og en versionsfastgørelsesmulighed for regulerede arbejdsbelastninger.
  • Begrænsninger for dataforbrug. Eksplicit forbud mod at bruge kundeinput, output, finjusteringsdata eller metadata til at træne leverandørens generelle modeller uden skriftligt samtykke, med forpligtelser til dataadskillelse.
  • Forpligtelser til nøjagtighed af output. Redegørelser for tilsigtet anvendelse, kendte begrænsninger og eventuelle nøjagtigheds- eller sikkerhedsbenchmarks, som leverandøren offentliggør, med afhjælpende foranstaltninger, hvis leverandøren fjerner dokumenterede funktioner.
  • Hændelsesmeddelelse. En defineret SLA for notifikation om AI-hændelser (målrettet 24 til 72 timer afhængigt af alvorligheden), der dækker sikkerhedsbrud, bias-hændelser, skadelige outputhændelser og langvarig serviceforringelse.
  • Intellektuel ejendomsret. Tydelig allokering af IP i input, output og eventuelle afledte værker, med skadesløsholdelse mod tredjeparts IP-krav, der måtte opstå som følge af modeloutput.
  • Erstatning og ansvar. Skræddersyede erstatninger for brud på databeskyttelse, krænkelse af IP-rettigheder i modeloutput og bøder i henhold til lovgivningen, hvor leverandørens adfærd er den umiddelbare årsag, med ansvarslofter, der står i forhold til risikoen ved AI-anvendelsesscenariet.
  • Udgang og datareturnering. Defineret exit-proces med garanterede eksportformater, sletningscertifikater og en maksimal opbevaringsperiode for resterende data efter ophør (typisk 30 til 90 dage).
  • Meddelelse til underdatabehandlere. En liste over nuværende underdatabehandlere i kontrakten, forudgående skriftlig meddelelse om ændringer og en ret til at gøre indsigelse af dokumenterede risikogrunde.
  • Vedligeholdelse af certificering. En forpligtelse til at opretholde de angivne certificeringer (ISO 42001, ISO 27001, SOC 2) i kontraktens løbetid, med varsel, hvis en certificering udløber eller omfanget ændres.

Disse klausuler bør være risikoinddelte. En udbyder af fundamentale modeller i en kundeorienteret beslutningstagningspipeline garanterer hver klausul; et internt produktivitetsværktøj med lav risiko kan køre på et lettere sæt med overvågede fornyelser.

Hvordan overvåger du AI-leverandører efter kontraktindgåelse?

Due diligence ved onboarding er nødvendig, men ikke tilstrækkelig. AI-leverandører ændrer sig, og det samme gør din brug af dem. Løbende overvågning skal kombinere planlagte revurderinger med hændelsesdrevne udløsere.

Planlagte aktiviteter, der bør være i din AI-leverandørs tilsynskalender:

  • Årlig due diligence for leverandører med høj risiko, toårig for leverandører med mellem risiko, dækker de samme ni områder som onboarding med en delta-gennemgang
  • Kvartalsvis gennemgang af leverandørmodel-, underdatabehandler- og politikændringslogfiler i forhold til din fastgjorte baseline.
  • Årlig gennemgang af leverandørens ISO 42001-, ISO 27001- og SOC 2-certifikater og -omfangserklæringer
  • Gennemgang af leverandørers offentliggjorte hændelses- og gennemsigtighedsrapporter (hvor tilgængelige) ved hver ledelsesgennemgangscyklus
  • Genoversigt over leverandørsektionen i din Anvendelseserklæring når leverandørens omfang ændres væsentligt

Hændelsesdrevne udløsere, der bør fremtvinge en øjeblikkelig revurdering:

  • En leverandør underretter dig om en væsentlig ændring af modellen, en ændring af underdatabehandler eller en ændring af politik
  • Leverandøren oplever en offentligt afsløret sikkerheds-, trygheds- eller bias-hændelse
  • Leverandøren mister, ændrer omfanget af eller undlader at forny en pålidelig certificering
  • Du ændrer AI-anvendelsesscenariet (for eksempel ved at flytte et internt værktøj til en kundeorienteret arbejdsgang eller en højrisikokontekst i henhold til EU's AI-lovgivning)
  • En ny regulering, sektorvejledning eller håndhævelsesforanstaltning ændrer dine forpligtelser som udbreder væsentligt

Hver overvågningsaktivitet bør frembringe dokumentation knyttet til leverandørregistret, de relevante bilag A-kontroller og de AI-risikoregisterposter, som leverandøren bidrager til. Sådan forvandler du leverandørtilsyn fra et indkøbsritual til reviderbar styring.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvordan ændrer EU's AI-lovgivning forpligtelserne for AI-leverandører?

EU's AI-lov skaber et struktureret sæt af forpligtelser, der løber ned gennem AI-forsyningskæden. Hvis du er distributør af et AI-system med høj risiko eller en leverandør, der integrerer en tredjepartsmodel, bliver dine leverandørvalg til compliance-valg.

Vigtige downstream-implikationer for tilsyn med AI-leverandører:

  • Udbyderforpligtelser gælder for dine leverandører. Udbydere af generelle AI-modeller (GPAI) har deres egne forpligtelser vedrørende teknisk dokumentation, opsummeringer af træningsdata, ophavsretspolitik og (for systemiske risikomodeller) kontradiktorisk testning, hændelsesrapportering og cybersikkerhed. Du bør bede udbydere af grundlæggende modeller om at dokumentere, hvordan de opfylder dem.
  • Udbrederens forpligtelser når dig. Hvis du bruger et AI-system med høj risiko, har du forpligtelser til menneskeligt tilsyn, logopbevaring, overvågning, rapportering af hændelser og (i mange tilfælde) en konsekvensanalyse af grundlæggende rettigheder. Opfyldelse af disse forpligtelser kræver oplysninger fra leverandøren, som der skal indgås kontrakt om.
  • Informationsflow nedad i kæden. Udbydere skal give distributørerne den tekniske dokumentation og brugsanvisning, der er nødvendig for at opfylde deres forpligtelser. Din due diligence-proces bør verificere, at dette materiale rent faktisk findes for enhver AI-komponent med høj risiko, du anskaffer.
  • Betydelig risiko for ændring. Hvis du finjusterer, omformer eller omformer en generel model til det punkt, hvor der skal foretages væsentlige ændringer, kan du blive en selvstændig leverandør – med den dertilhørende byrde for overensstemmelsesvurdering. Leverandørkontrakter skal tydeliggøre, hvilke ændringer der er og ikke er tilladte, og hvilke garantier der følger med dem.
  • Forbudte fremgangsmåder. Visse anvendelser af AI (social scoring, umålrettet ansigtsskrabning, følelsesmæssig inferens på arbejdspladsen og i uddannelsessystemet og andet) er forbudt. Din AI-politik og leverandørvurdering skal screene brugssager i forhold til disse forbud, før du indgår en kontrakt, ikke bagefter.

ISO 42001 og EU's AI-lovgivning supplerer hinanden. Standarden giver dig det ledelsessystem, der skal bruges til stilladser; loven definerer de juridiske forpligtelser, som stilladser skal opfylde. En velfungerende leverandørtilsynsproces tjener begge.

Sådan kører ISMS.online risikostyring for AI-leverandører

ISMS.online giver AI-leverandørtilsyn et struktureret hjem i dit bredere AI-styringssystem. I stedet for at sprede leverandørdata på tværs af indkøbsark, sikkerhedsspørgeskemaer, juridiske mapper og compliance-trackere, konsoliderer platformen livscyklussen i ét forbundet arbejdsområde:

  • Leverandørregister med AI-specifikke felter. Hver AI-leverandør har en post med leverandørtype (grundmodel, AI SaaS, indlejret AI, datamærkning), use cases, risikoniveau, certificeringer, underdatabehandlere og relevante kontrollinks i bilag A.
  • AI due diligence spørgeskemaer. Forudbyggede skabeloner, der dækker de ni vurderingsområder, med scoring, godkendelse og gemt dokumentation knyttet til leverandørregistreringen.
  • Kontrakt- og klausulopfølgning. Vigtige AI-klausuler (revisionsrettigheder, meddelelse om modelændring, databrug, hændelses-SLA, exit) spores som felter på leverandørposten, så du kan rapportere om din AI-ejendom med et hurtigt overblik.
  • Løbende overvågning af arbejdsgange. Planlagte revurderinger, advarsler om certifikatudløb, gennemgang af ændringslogfiler og triggerbaserede revurderinger, alt sammen knyttet til leverandørregistret og AI-risikoregisteret.
  • Tilknyttede risiko- og konsekvensanalyser af AI. Leverandørposter er direkte forbundet med AI-risikoregisterposter (punkt 6.1.2) og AI-systemkonsekvensvurderinger (punkt 6.1.4), så leverandørrisiko behandles som en del af det samlede AI-risikobillede og ikke et parallelt univers.
  • Revisionsbeviser på kontrolniveau. Enhver vurdering, gennemgang og revurdering producerer beviser knyttet til den specifikke bilag A-kontrol, den understøtter, klar til overvågningsrevisioner.

Det praktiske resultat: Når en revisor spørger, hvordan I opfylder bilag A.10 for jeres AI-forsyningskæde, er svaret en enkelt detaljeret analyse – leverandør, vurdering, kontrakt, overvågningshistorik, dokumentation – ikke en uge med skærmbilleder og regneark.

Hvorfor vælge ISMS.online til risiko for AI-leverandører?

ISMS.online er bygget til AI-styring fra start til slut, så leverandørovervågning er en førsteklasses del af platformen snarere end en bolt-on. Her er hvad du får:

  • AI-specifikt leverandørregister. Specialbyggede felter til AI-leverandørtype, use cases, risikoniveau, certificeringer, underprocessorer og modelversioner, ikke en generisk leverandørliste genbrugt fra et IT-værktøj.
  • Færdigbyggede skabeloner til due diligence til AI. Spørgeskemaer er i overensstemmelse med ISO 42001 bilag A.10, bilag B-vejledning og downstream-forpligtelser i henhold til EU's AI-lov, så teams starter fra et standardtilpasset udgangspunkt i stedet for at skrive spørgsmål fra bunden.
  • Integreret med AI-risikoregisteret. Leverandørrisiko er direkte knyttet til AI-risici (punkt 6.1.2) og vurderinger af AI-systemers konsekvens (punkt 6.1.4) med scorings-, behandlings- og gennemgangscyklusser samlet ét sted.
  • Levende Anvendelseserklæring. Leverandørsektionen i din SoA forbliver opdateret, når leverandører, kontroller og begrundelser ændres, og den er ikke fastfrosset i et Word-dokument.
  • Løbende overvågning indbygget. Planlagte revurderinger, advarsler om certifikatudløb og hændelsesudløste gennemgange holder leverandørtilsynet aktivt i hele kontraktens livscyklus.
  • Genbrug af flere standarder. Leverandørregistreringer delt på tværs af ISO 42001 og leverandørkontrollerne i dine eksisterende ISO-styringssystemer, så du kører ét leverandørprogram, ikke flere. Se overlapningen ISO 42001 vs ISO 27001.
  • Metode med sikre resultater. Dokumenteret implementeringsmetode, implementeringssupport og livehjælp, så tilsyn med AI-leverandører er oppe at køre på få uger, ikke kvartaler.

Uanset om du starter fra nul eller bringer et eksisterende tredjepartsrisikoprogram op til AI-specifikke standarder, ISMS.online giver dig værktøjerne til at udføre risikostyring for AI-leverandører i overensstemmelse med ISO 42001 og EU's AI-lov. For den fulde implementeringskontekst, se vores implementeringsvejledning, eller hovedet tilbage til ISO 42001-hubben.

Klar til at se platformen i aktion? Book en demo.

Ofte Stillede Spørgsmål

Hvad er risikostyring for AI-leverandører?

Risikostyring for AI-leverandører er processen med at identificere, vurdere, indgå kontrakter med og overvåge tredjeparter, der leverer AI-kapacitet til din organisation. Det dækker leverandører af grundlæggende modeller, AI-native SaaS-værktøjer, integrerede AI-funktioner i virksomhedssoftware og leverandører af datamærkning eller træningsdata. Det udvider klassisk tredjepartsrisiko med AI-specifikke overvejelser såsom træningsdata, modeltransparens, ikke-deterministisk adfærd og ændringsstyring af modelvægte og systemprompter.

Kræver ISO 42001 vurderinger af AI-leverandører?

Ja. Bilag A.10 i ISO 42001 omhandler direkte relationer med tredjeparter og kunder og kræver, at organisationer identificerer AI-leverandører, allokerer ansvar og håndterer AI-specifikke overvejelser på tværs af leverandørens livscyklus. Bilag B (normativt) indeholder implementeringsvejledning. Din ISMS.online Anvendelseserklæringen skal dokumentere, hvordan du anvender disse kontroller på din AI-leverandørgruppe, med eventuelle undtagelser begrundet.

Hvad er de største røde flag i en vurdering af AI-leverandører?

De mest almindelige udfordringer er: standarduddannelse i kundedata uden fravalg, ingen modeldokumentation eller versionskontrol, ingen anerkendte eller udløbne certificeringer (ISO 42001, ISO 27001, SOC 2), ingen AI-specifik hændelsesrespons eller notifikations-SLA, tavse modelændringer uden varsel, uigennemsigtige underdatabehandlerordninger og ingen defineret exitproces. Enhver af disse bør udløse en risikobeslutning på seniorniveau før kontraktunderskrivelse.

Hvor ofte skal vi revurdere AI-leverandører?

Årlig revurdering er en rimelig baseline for AI-leverandører med høj risiko, med toårig gennemgang for leverandører med mellem risiko og lettere overvågning for leverandører med lav risiko. Ud over tidsplanen bør hændelsesdrevne udløsere - væsentlig ændring af model eller underprocessor, offentliggjort hændelse, tab af certificering, ændring af use case, ny regulering - fremtvinge en øjeblikkelig revurdering uanset kalenderen.

Påvirker EU's AI-lovgivning vores kontrakter med AI-leverandører?

Ja. EU's AI-lovgivning pålægger udbydere, udrullere og importører af AI-systemer forpligtelser, og information skal flyde ned i kæden for at disse forpligtelser kan opfyldes. Kontrakter med leverandører af grundlæggende modeller og downstream-leverandører af AI bør kræve den tekniske dokumentation, brugsanvisninger, gennemsigtighedsoplysninger og hændelsesmeddelelser, der er nødvendige for, at du kan opfylde dine forpligtelser som udruller eller udbyder. Finjustering eller væsentlig ændring af en generel model kan også gøre en udruller til en udbyder, hvilket skal håndteres kontraktligt.

Er en ISO 27001-certificeret leverandør tilstrækkelig til AI-anvendelsesscenarier?

Nej. ISO 27001 dækker informationssikkerhedsstyring og er et stærkt udgangspunkt, men den adresserer ikke AI-specifikke risici såsom træningsdatas oprindelse, modeltransparens, indvirkning på berørte individer, bias eller modelændringsstyring. For væsentlige AI-anvendelsessager bør du også kigge efter ISO 42001 (eller en troværdig køreplan for den), SOC 2 Type II, der dækker den pågældende AI-tjeneste, og eksplicitte AI-klausuler i kontrakten, der går ud over informationssikkerhedsvilkår.

Kan ISMS.online håndtere AI-leverandørrisici sammen med generel leverandørrisiko?

Ja. ISMS.online er en platform med flere standarder, så AI-leverandører sidder i samme leverandørregister som dine bredere tredjeparter, med AI-specifikke felter, due diligence-skabeloner og overvågningsworkflows ovenpå. Det betyder ét leverandørprogram, ét sæt beviser og ét revisionsspor — der dækker ISO 42001 Annex A.10 og leverandørkontrollerne i dine eksisterende ledelsessystemer i én visning.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.