Kunne ISO 42001 blive Storbritanniens De Facto AI-regulator?

Af Rebecca Harper • 21 oktober 2025

Da Den Europæiske Union stemte igennem AI-loven i slutningen af 2024, skrev den historie som verdens første forsøg på omfattende at lovgive om, hvordan kunstig intelligens udvikles, implementeres og styres. Konsekvenserne af denne lovgivning er omfattende. Fra generative modeller til biometrisk identifikation har EU fastsat bindende forpligtelser, der vil gælde på tværs af sektorer, og som er bakket op af truslen om store bøder for manglende overholdelse.

I modsætning hertil har Storbritannien valgt en helt anden vej. Ministrene har modsat sig opfordringer til ny, AI-specifik regulering, og i stedet har regeringen valgt en "pro-innovation"-strategi, der overlader tilsynet til eksisterende regulatorer, herunder Information Commissioner, Competition and Markets Authority og Financial Conduct Authority, blandt andre, samtidig med at de signalerer, at de muligvis vil lovgive om AI med højere risiko på et senere tidspunkt. Logikken er klar nok; de ønsker at undgå at kvæle innovation og derved opretholde fleksibilitet med det endelige mål at give Storbritannien mulighed for at tiltrække AI-investeringer uden bureaukratiet i Bruxelles.

Fremvisning af momentum

Den tilgang blev vist frem på verdensscenen under præsident Trumps statsbesøg i september 2025, da premierminister Keir Starmer annoncerede en teknologisk velstandsaftale mellem USA og Storbritannien. Pakken omfattede betydelige AI-relaterede investeringer, især NVIDIAs plan om at implementere omkring 120,000 GPU'er i Storbritannien. Budskabet var klart: Storbritannien ønsker at blive set som et globalt knudepunkt for AI-vækst og innovation.

Men det valg efterlader et tomrum. Uden bindende regler er virksomhederne overladt til at navigere i det, man kunne kalde en gråzone: Hvad betyder "ansvarlig AI" egentlig i Storbritannien? Hvad kan tilsynsmyndighederne forvente, når noget går galt? Og hvordan kan organisationer demonstrere over for kunder, investorer og handelspartnere, at deres AI-systemer er troværdige?

ISO 42001's nye rolle

ISO 42001 træder ind i denne usikkerhed. Den blev først udgivet i december 2023 og skitserer en standard for ledelsessystemer til kunstig intelligens, som er designet til at hjælpe organisationer med at etablere strukturer for styring, risikostyring og ansvarlighed. Ligesom ISO 27001 hurtigt etablerede sig som den globale benchmark for informationssikkerhed og gav den praktiske 'hvordan' at implementere den brede 'hvad' Som krævet af tidlige databeskyttelseslove, længe før tilsynsmyndighederne formaliserede sådanne tilgange, står det nu tilsyneladende, at ISO 42001 kan blive de facto-regelbogen for AI i Storbritannien.

ISO 42001's anvendelsesområde er bredtStandarden kræver, at organisationer vurderer og styrer AI-risici, dokumenterer beslutningsprocesser, sikrer menneskeligt tilsyn og integrerer gennemsigtighed i AI-operationer. Og i sin kerne anerkender den, at AI-styring ikke kan løses med en enkelt teknisk løsning og skal integreres i en organisations kultur, strategi og lederskab for at være virkelig effektiv.

Grundlæggende set leverer ISO 42001 noget, som Storbritannien i øjeblikket mangler: klare, auditerbare krav, hvilket betyder, at certificering i henhold til standarden ikke blot vil demonstrere overholdelse af en anerkendt ramme, men også give interessenterne sikkerhed for, at AI-systemer implementeres med omhu.

En de facto regulator?

Standarder træder ofte til for at udfylde huller i lovgivningen. ISO 27001, der først blev udgivet i 2005, blev hurtigt den anerkendte standard for at demonstrere ansvarlig informationssikkerhed. Mens tidlige love kun talte om at træffe "passende foranstaltninger", gav certificering forsikringsselskaber, revisorer og tilsynsmyndigheder en klar indikator for, hvordan god praksis så ud. I dag... ISO 27001 forbliver en hjørnestensramme, der hjælper organisationer med at dokumentere overholdelse af moderne krav såsom GDPR og NIS-forordningerne.

Derfor er det sandsynligt, at den samme dynamik kan opstå omkring AI. Da regeringen foretrækker ikke at lovgive eksplicit på nuværende tidspunkt, er markedet nødt til at søge sikkerhed andre steder. Forsikringsselskaber, der dækker AI-relateret risiko, indkøbsteams, der forhandler kontrakter, investorer, der allokerer kapital; det, de alle har til fælles, er, at de har brug for måder at skelne mellem troværdige og potentielt hensynsløse AI-praksisser. ISO 42001 kan give denne benchmark.

Og selvom certificering er frivillig, som med alle rammer af denne type, kan presset for at implementere den blive svært at modstå, hvis store købere, såsom finansielle institutioner eller forsikringsselskaber, begynder at kræve det.

Forberedelse til EU's AI-lov

Der er også en anden dimension her. Selv hvis Westminster fravælger bindende lovgivning, er britiske virksomheder ikke isoleret fra Bruxelles. Enhver organisation, der sælger til EU eller opererer inden for EU, vil sandsynligvis falde ind under AI-lovens anvendelsesområde, uanset hvor de har hovedkvarter.

Her bliver værdien af ISO 42001 endnu tydeligere. Mange af dens krav afspejler kravene i EU-lovgivningen, herunder ting som risikoklassificering, gennemsigtighedsforanstaltninger, ansvarlighedsstrukturer og tilsynsmekanismer, men det garanterer ikke i sig selv overholdelse af produktspecifikke forpligtelser. For britiske virksomheder handler det at indføre standarden nu ikke kun om at håndtere indenlandsk usikkerhed; det handler om fremtidssikring mod uundgåelige europæiske overholdelseskrav.

Ud over compliance, opbygning af tillid

Det er en sætning, vi ofte hører, at standarder er en "øvelse i at afkrydse bokse", men det går glip af den større pointe. AI's udvikling afhænger lige så meget af offentlighedens tillid som af teknisk innovation. Ifølge Edelman Trust Barometer 2025, kun 42 % af de globale respondenter føler sig i øjeblikket trygge ved virksomheders brug af AI. Drevet af voksende bekymringer omkring cybersikkerhed, etik og misinformation, og ikke hjulpet af nyhedshistorier, der diskuterer forudindtagede algoritmer, uigennemsigtig beslutningstagning og udnyttende datapraksis, hvilket kun forværrer denne dybe skepsis.

For virksomheder er den kommercielle risiko åbenlys. Kunder kan afvise AI-baserede tjenester, de ikke forstår eller har tillid til. Investorer kan se ureguleret AI-adoption som en belastning. Politikere kan gribe ind mere aggressivt, hvis branchen ikke formår at selvregulere effektivt.

ISO 42001 tilbyder en måde at vende dette på. Ved at integrere styring, gennemsigtighed og ansvarlighed kan virksomheder demonstrere, at AI udvikles med ansvarlighed snarere end hensynsløshed. Og som Edelmen selv kommenterer, vil organisationer, der "prioriterer gennemsigtighed, retfærdighed og klare use cases, være bedst positioneret til at opbygge langsigtet tillid, fremme meningsfuld implementering og opnå konkurrencefordele." Dette gør ISO 42001 til meget mere end en compliance-øvelse, men en omdømmestrategi, et signal til markedet om, at AI håndteres med seriøsitet og integritet.

De tavse regulatorer

Som vi har fastslået, handler regulering ikke altid om love. Nogle gange handler det om de rammer og normer, som markeder, forsikringsselskaber og god forretningspraksis håndhæver. I Storbritanniens nuværende letforståelige reguleringslandskab er ISO 42001 godt positioneret til at blive en sådan "stille regulator".

Vi ser allerede tidlige tegn på den dynamik på markedet. I vores Rapport om informationssikkerhedsstatus 2025, steg andelen af organisationer, der kræver ISO 42001-certificering fra leverandører, fra blot 1 % sidste år til 28 % i dag. Det er et slående signal om, hvor hurtigt en frivillig standard kan blive et de facto krav.

Spørgsmålet er, om britiske virksomheder vil gribe muligheden. De, der handler tidligt, vil helt sikkert forme forventningerne, opbygge modstandsdygtighed og samtidig bane vejen ind på de europæiske markeder, hvis de ønsker det. De, der venter, risikerer at blive sat på efterskuddet, tvunget til at overholde reglerne senere, under pres fra kunder, partnere eller tilsynsmyndigheder, med begrænset tid til at forberede sig og potentielt dyre tekniske produktrollbacks som følge heraf.

AI udvikler sig måske hurtigere end lovgivningen, men det bør ikke betyde, at organisationer venter og ser frem i et rum, der i stigende grad dominerer forretningsvækst. ISO 42001 er her nu, og i mangel af en AI-lov kan den blive den regelbog, som britiske virksomheder bedømmes ud fra.

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.

Læs mere fra Rebecca Harper

Cyber sikkerhed 4. November 2025

Hvordan integreret compliance transformerer risikostyring og effektivitet

På tværs af brancher ændrer samtalen om compliance sig. De regulatoriske krav stiger, cybertruslerne eskalerer, og interessenternes forventninger...

Rebecca Harper

Cyber sikkerhed 14 oktober 2025

Mere end afkrydsningsfelter – Hvorfor standarder nu er en nødvendighed for virksomheder

Hver oktober afholdes Verdensstandarddagen med lidt fanfare. Måske er det fordi, den for mange fremkalder billeder af bureaukratisk papirarbejde, tørt...

Rebecca Harper

Cyber sikkerhed 22 September 2025

Alt hvad du behøver at vide om banneret for dataforbrug og adgangsregning

Alt du behøver at vide om lovforslaget om dataanvendelse og -adgang

Storbritanniens nye lov om databrug og -adgang (DUAA) modtog kongelig godkendelse den 19. juni 2025, hvilket markerer en opfriskning af landets databeskyttelsesregler ...

Rebecca Harper