Luk kløften i AI-styring med ISO 42001

Af Phil Muncaster • 20 januar 2026

Storbritannien har et problem med AI-styring. Dette var måske ikke et problem for et par år siden, hvor projekter var spredte i de fleste organisationer. Men nutidens virksomheder omfavner teknologien med stigende entusiasme. Ifølge BSINæsten to tredjedele (62 %) af virksomhedsledere i Storbritannien og andre steder er klar til at øge investeringerne i AI i det kommende år for at forbedre produktivitet, effektivitet og omkostningsreduktion. Mere end halvdelen (59 %) anser disse for afgørende for vækstplaner.

Alligevel er de samme organisationer ved at "gå i søvne" ind i en AI-styringskrise, advarer standardiseringsorganet. Det hævder, at kun en fjerdedel (24%) har et AI-styringsprogram på plads, herunder kun en tredjedel (34%) af store virksomheder. Det er her, ISO 42001 burde være en selvfølge.

Hvad BSI siger

BSI's undersøgelse er baseret på interviews med 850 ledende virksomhedsledere i otte lande og en AI-assisteret nøglearbejdsanalyse af over 100 virksomhedsrapporter fra multinationale virksomheder. Den viste, at kun en fjerdedel (24%) af virksomhederne overvåger medarbejdernes brug af AI-værktøjer, og kun 30% har processer til at vurdere AI-risici og afbødninger. Kun en femtedel (22%) forhindrer medarbejdere i at bruge uautoriserede AI-værktøjer.

Manglerne i styringen rækker ud over skygge-IT-risikoen. Kun 28 % af respondenterne siger, at de ved, hvilke datakilder de bruger til at træne og implementere AI. Dette tal er faktisk faldet fra 35 % i starten af året. Kun 40 % har processer til at styre brugen af følsomme/fortrolige data til AI-træning.

Organisationer er lige så dårligt forberedte på, når tingene går galt. Kun en tredjedel melder bekymringer eller unøjagtigheder, og 29 % har processer til håndtering og reaktion på AI-hændelser. Kun 30 % har en formel risikovurderingsproces for at overveje, om AI kan introducere nye sårbarheder. Dette øger risikoen for et alvorligt nedbrud eller en hændelse. Alligevel indrømmer en femtedel af respondenterne, at generativ AI (GenAI) er blevet så forretningskritisk, at de ikke tror, at organisationen kan fungere længe uden den.

Selvtilfredshed kan være en del af problemet. Over halvdelen af globale virksomhedsledere (56 %) siger, at de er sikre på, at deres nye medarbejdere har de færdigheder, der kræves til at bruge AI, og en tilsvarende andel siger det samme om hele organisationen. Over halvdelen (55 %) er sikre på, at de kan træne medarbejdere i at bruge GenAI "kritisk, strategisk og analytisk". Alligevel har kun en tredjedel et dedikeret lærings- og udviklingsprogram. Og træning kan kun bringe dig et vist stykke vej.

Betyder det noget?

Compliance ser faktisk ud til at være aftagende, når det kommer til AI. I dag inkluderer halvdelen (49%) af globale organisationer AI-relaterede risici i bredere compliance-programmer, et fald fra 60% for seks måneder siden. Men dette fald kan ikke forklares med antallet af, der implementerer dedikerede programmer til at håndtere teknologien.

Hvorfor er det vigtigt? Fordi risikoen ved AI allerede gennemsyrer forretningslandskabet. Eksempler inkluderer:

Utilsigtede lækager af følsomme oplysninger gennem kommercielle chatbots
Forudindtagede træningsdata/modeller, der fører til output, som kan påvirke brandets omdømme
Skygge-AI, der fører til dataeksponering eller oprettelse af fejlkode
Dårlig kvalitet eller forgiftede data, der fører til bagdøre og unøjagtigt output
Manglende overholdelse af lovgivning om databeskyttelse, cybersikkerhed og krænkelse af IP-rettigheder
Sårbarheder på tværs af AI-forsyningskæden, som ikke adresseres, hvilket udsætter organisationen for brud

Disse risici vil kun vokse i takt med at agentisk AI får fodfæste – hvilket potentielt vil skabe en betydelig dominoeffekt på bundlinjen og virksomhedens omdømme. Ifølge en nylig EY-undersøgelseNæsten alle (98%) britiske respondenter rapporterede tab i løbet af det seneste år på grund af AI-relateret risiko. Over halvdelen (55%) hævdede, at det kostede dem over 1 million dollars (750,000 pund), mens det gennemsnitlige tab blev anslået til 3.9 millioner dollars (2.9 millioner pund) pr. organisation. De mest almindelige risici var manglende overholdelse af lovgivningen, unøjagtige eller dårlige træningsdata og højt energiforbrug, der påvirkede bæredygtighedsmålene.

Pas på Mellemrummet

Der var nogle lyspunkter i BSI-rapporten. Søgeordsanalyse viste, at "governance" og "regulering" var mere centrale i rapporter produceret af britiske virksomheder. De optrådte 80 % oftere end i rapporter fra virksomheder med base i Indien og 73 % oftere end dem med base i Kina. Risiko- og compliance-funktioner "opererer dog stadig med en begrænset, udviklende playbook" i Storbritannien, argumenterer Chris Newton-Smith, administrerende direktør for IO (tidligere ISMS.online).

"Det største problem, vi ser, er ikke mangel på intention, men mangel på struktur. Virksomheder har simpelthen endnu ikke de rammer, politikker eller det tværfaglige ejerskab, der er nødvendige for at styre AI på samme måde, som de styrer informationssikkerhed eller privatliv," fortæller han IO.

"Jeg tror, at den største barriere lige nu er, at mange ledelsesteams stadig undervurderer risiciene, fordi AI primært ses som et innovationsværktøj snarere end en teknologi, der fundamentalt kan, og er i gang med at omforme en organisations trusselsoverflade."

Uden en formel styringsmodel på plads vil bekymringer, der rejses af sikkerhedsteams, ende med at blive fanget i siloer eller afvist som en hindring for vækst. Først når AI-risiko behandles som et problem på bestyrelsesniveau, vil kløften mellem implementering og tilsyn begynde at lukkes, tilføjer Newton-Smith.

Den gode nyhed er, at ISO 42001 blev udviklet til netop dette formål, argumenterer Mark Thirlwell, global digital direktør hos BSI.

"Det giver en praktisk ramme for etablering af et formelt AI-styringssystem, der bevæger organisationer ud over vage principper til konkret handling. Standarden kræver, at ledere formelt vurderer og behandler AI-specifikke risici, etablerer klar ansvarlighed og sikrer, at sikre processer er på plads for hele AI-livscyklussen," fortæller han IO.

"At anvende denne strukturerede tilgang handler ikke om at bremse innovation, men om at muliggøre den ansvarligt og sikkert. Det giver ledelsen værktøjerne til at gå fra en reaktiv holdning til en med strategisk kontrol, hvilket sikrer, at AI bliver en sikker og pålidelig drivkraft for langsigtet vækst."

IO's Newton-Smith er enig og forklarer, at standarden skaber klarhed omkring roller, risikovurdering, kontrol af modellernes livscyklus, leverandørtilsyn og overvågning.

"Det stemmer også naturligt overens med eksisterende rammer som ISO 27001 og ISO 27701, hvilket betyder, at virksomheder kan udvide de governance- og risikostrukturer, de sandsynligvis allerede er afhængige af for sikkerhed og privatliv," tilføjer han.

Kom godt i gang

Så hvordan skal organisationer starte deres rejse mod ISO 42001-overholdelse? Integrer AI-styring i et eksisterende ISMS i stedet for at behandle det som et selvstændigt projekt, råder Newton-Smith.

"Det betyder i bund og grund: at kortlægge AI-use cases i forhold til risici; at skabe klar ansvarlighed på tværs af ledelse, teknik, jura og compliance; at etablere gentagelige processer til modelovervågning og hændelsesstyring; og at sikre, at forsyningskæden overholdes til den samme standard," siger han.

"At starte med et centraliseret kontrolsystem på denne måde gør programmet nemmere at måle, skalere og revidere fra dag ét. ISO 42001 er ikke compliance for compliances skyld, men snarere fundamentet for pålidelig og kommercielt levedygtig AI-adoption."

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 3 februar 2026

WEF-rapport: Svindel er nu administrerende direktørers største cyberbekymring, men det er ikke den eneste

Fem år er lang tid inden for cybersikkerhed. Alligevel er det så længe, at World Economic Forum (WEF) har afstemt administrerende direktører i forbindelse med sin globale cybersikkerhedsrapport...

Phil Muncaster

Cyber sikkerhed 27 januar 2026

Privatliv er vigtigt, hvad compliance-teams kan forvente i 2026 banner

Privatlivsspørgsmål: Hvad compliance-teams kan forvente i 2026

Den 28. januar er Global Privacy Day – en anledning til at fejre retten til databeskyttelse, som mange af os tager for givet i dag. Det var...

Phil Muncaster

Cyber sikkerhed 6 januar 2026

Fem sikkerheds- og compliance-tendenser at holde øje med i 2026

Hvordan kan de kommende 12 måneder se ud for cybersikkerheds- og compliance-professionelle? Vi har gransket nyhederne og absorberet branchens forudsigelser...

Phil Muncaster