Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko

Av Danny Bradbury • 5 februar 2026

Organisasjoner bekymrer seg for sikkerhets- og personvernrisiko. Og i den senere tid har de også viet oppmerksomhet til risiko knyttet til kunstig intelligens. Men hvor ofte tenker de på alle tre i samme samtale?

Det blir stadig tydeligere at de burde. Lover som dekker databeskyttelse, nettsikkerhet og kunstig intelligens har firedoblet siden 2016 på tvers av USA, EU, Storbritannia og Kina.

SEC har allerede bevist at de tar cybersikkerhet på alvor. Deres cybersikkerhetsregler, som trådte i kraft i desember 2023, omformer allerede hvordan børsnoterte selskaper håndterer rapportering av sikkerhetsbrudd. Skjema 8-K punkt 1.05 nå Krever Selskaper skal rapportere vesentlige cybersikkerhetshendelser innen fire virkedager etter at vesentligheten er fastslått, ikke fra da hendelsen ble oppdaget. Skjema 10-K punkt 106 pålegger årlig rapportering av risikostyringsprosesser og styrets tilsynsstrukturer.

Kommisjonen er ikke redd for å straffe selskaper som den mener har bagatellisert sikkerhetshendelser. For litt over et år siden, i oktober 2024, inngikk SEC et forlik i håndhevingstiltak mot fire børsnoterte selskaper (Unisys, Avaya, Check Point og Mimecast) for å ha villedet investorer om virkningen av SolarWinds-cyberangrepet i 2020. De samlede bøtene nærmet seg 7 millioner dollar. Unisys alene betalte 4 millioner dollar for å ha beskrevet cyberrisikoer som «hypotetiske» i sine innleveringer, mens interne team visste om faktiske inntrenginger.

Mellom desember 2023 og januar 2025 ble det rapportert 55 cybersikkerhetshendelser via skjema 8-K. Utover de SolarWinds-relaterte handlingene betalte Flagstar 3.55 millioner dollar i desember 2024 for å ha beskrevet et sikkerhetsbrudd som rammet 1.5 millioner mennesker som ren «tilgang» når data faktisk hadde blitt stjålet.

Disse straffene viser et behov for å koble offentliggjøring av cybersikkerhet med bredere risikostyring for bedrifter. SECs opprettelse av en ny enhet for cyber og nye teknologier i februar 2025 signaliserer at denne granskingen vil fortsette. Den erstattet enheten for kryptoaktiva og cyber. CETU hinter også til viktigheten av å ta hensyn til AI i disse risikoene, ettersom den spesifikt inkluderer både AI og cybersikkerhetspraksis i sitt mandat.

Fragmentert styring skaper økende eksponering

Amerikanske selskaper med europeisk virksomhet står også overfor ytterligere press fra EUs AI-lov, som trådte i kraft i august 2024. Loven, som har etterlevelsesfrister forskjøvet frem til 2027, gjelder ekstraterritorialt. Amerikanske bedrifter som plasserer AI-systemer i EU-markedet eller distribuerer AI hvis resultater påvirker EU-brukere, må overholde den.

Innsatsen er betydelig. Straffer for forbudt KI-praksis når 35 millioner euro eller 7 prosent av den globale årlige inntekten, avhengig av hva som er høyest. Høyrisikokategorier, som omfatter KI brukt til ansettelsesbeslutninger, kredittscoring og helsediagnostikk, krever samsvarsvurderinger, teknisk dokumentasjon og menneskelige tilsynsmekanismer. Forbud mot KI-systemer med uakseptabel risiko trådte i kraft i februar 2025.

AI dukker opp i offentliggjøringsdokumenter

Investorforventningene endrer seg etter hvert som disse risikoene utvikler seg. Regulatorer og aksjonærer gjør det klart at den gamle modellen med separate team som håndterer cybersikkerhet, personvern og AI som separate domener ikke lenger fungerer.

AI har med bemerkelsesverdig hastighet migrert fra diskusjoner om muligheter i styrerom til risikofaktordelen av årsrapporter. Syttito prosent av S&P 500-selskapene nå avsløre vesentlige AI-risikoer, opp fra bare 12 prosent i 2023. Bekymringene de nevner oftest er omdømmeskade (38 prosent av selskapene som oppgir data), implikasjoner for cybersikkerhet og regulatorisk usikkerhet.

Styretilsyn har fulgt. I følge ISS-Bedrift31.6 prosent av S&P 500-selskapene opplyste om styrets tilsyn med AI i sine fullmaktserklæringer for 2024. Det er en økning på 84 prosent fra år til år.

De som ikke innfører slikt tilsyn, risikerer vesentlig skade for aksjonærene, noe som kan føre til potensielle negative stemmeanbefalinger. I fjor utstedte Glass Lewis, et fullmaktsrådgivningsfirma som gir råd til institusjonelle aksjonærer om hvordan de skal stemme, nye referanseretningslinjer som direkte omhandler styring av kunstig intelligens.

Problemet med å håndtere nettsikkerhet, personvern og AI separat er at hendelser knyttet til hver av disse blander seg inn i de andre. Et enkelt brudd kan samtidig utløse SECs forpliktelser til offentliggjøring, GDPR-varslingskrav, statlige personvernlover og (hvis personopplysninger er trent i et AI-system) nye AI-forskrifter.

Så tiden er inne for å slå sammen vurderingen av disse risikoområdene, men ingenting av dette er lett. Ifølge I følge National Association of Corporate Directors' styringsutsikter fra juli 2025 er AI nå et rutinetema for 61 prosent av styrene, men få har integrert det ordentlig i styringsstrukturer.

Hvorfor? Kulturelle friksjoner er én grunn. Sikkerhets-, personvern- og AI-team har historisk sett operert med ulike vokabularer, risikorammeverk og rapporteringsstrukturer.

Teknologiintegrasjon gir et nytt lag med vanskeligheter; isolerte GRC-verktøy skaper fragmenterte tilnærminger til risikovurdering, revisjonsdokumentasjon og bevisinnsamling. Budsjettbegrensninger tvinger frem smertefulle avveininger mellom å bygge integrert infrastruktur og å overholde umiddelbare samsvarsfrister.

Standardrammeverk tilbyr en vei videre

Den gode nyheten: store standardiseringsorganer forutså denne konvergensen. ISOs overordnede struktur betyr at ISO 27001 (informasjonssikkerhet), ISO 27701 (personvern) og den nyere ISO 42001 (KI-styringssystemer) deler kompatible arkitekturer, noe som gjør det mulig for organisasjoner å bygge enhetlige styringssystemer i stedet for parallelle byråkratier.

Praktisk integrering starter vanligvis med tverrfaglige styringskomiteer som inkluderer representanter fra personvern, cybersikkerhet, juridiske tjenester og AI. Derfra utvikler organisasjoner felles risikotaksonomier og (der budsjettet tillater det) enhetlige GRC-plattformer som eliminerer overflødige vurderinger. Rollegrenser viskes allerede ut: ifølge en IAPP- og EY-undersøkelse har 69 prosent av personvernsjefene tilegnet seg ansvar for AI-styring.

Organisasjoner som ikke utvikler praksisen sin i tråd med dette, risikerer regulatorisk eksponering. For de som gjør det, venter mindre regulatorisk friksjon, redusert revisjonsbyrde og sterkere investortillit.

Danny Bradbury

Danny Bradbury har vært trykt journalist med spesialisering i teknologi siden 1989 og frilansskribent siden 1994. Han har skrevet for nasjonale publikasjoner på begge sider av Atlanterhavet og har vunnet priser for sitt undersøkende arbeid med cybersikkerhetsjournalistikk.

Les mer fra Danny Bradbury

Cyber sikkerhet 15 januar 2026

Fra perimetersikkerhet til identitet som sikkerhet

Du kan ikke kikke på en sikkerhetshendelse i disse dager uten å se uttrykket «null tillit». Det er et moteord, ja...

Danny Bradbury

Cyber sikkerhet 18 desember 2025

hvordan navigere i den amerikanske AI-samsvarslabyrinten

Slik navigerer du i den amerikanske AI-samsvarslabyrinten

Når det gjelder regulering, er begrepet «USA» en selvmotsigelse. Statslover er alt annet enn enhetlige, og hver jurisdiksjon er tradisjonelt...

Danny Bradbury

Cyber sikkerhet 20 november 2025

hva salgsstyrkebruddene lærer oss om delt ansvarlighet banner

Hva Salesforce-bruddene lærer oss om delt ansvarlighet

2025 har ikke vært et godt år for Salesforce-kunder. En lyssky kriminell gruppe satte i gang en rekke angrep på kundene sine, noe som til slutt påvirket...

Danny Bradbury