Organisationer oroar sig för säkerhets- och integritetsrisker. Och på senare tid har de uppmärksammat AI-risker. Men hur ofta tänker de på alla tre i samma samtal?
Det blir allt tydligare att de borde. Lagar som omfattar dataskydd, cybersäkerhet och AI har fyrdubblats sedan 2016 över hela USA, EU, Storbritannien och Kina.
SEC har redan bevisat att de menar allvar med cybersäkerhet. Deras cybersäkerhetsregler, som trädde i kraft i december 2023, omformar redan hur börsnoterade företag hanterar rapportering av dataintrång. Formulär 8-K punkt 1.05 nu. Kräver företag ska rapportera väsentliga cybersäkerhetsincidenter inom fyra arbetsdagar efter att väsentligheten fastställts, inte från den tidpunkt då incidenten upptäcktes. Formulär 10-K punkt 106 föreskriver årlig redovisning av riskhanteringsprocesser och styrelsens tillsynsstrukturer.
Kommissionen är inte rädd för att straffa företag som den anser ha bagatelliserat säkerhetsincidenter. För drygt ett år sedan, i oktober 2024, avgjorde SEC verkställighetsåtgärder mot fyra börsnoterade företag (Unisys, Avaya, Check Point och Mimecast) för att ha vilselett investerare om effekterna av SolarWinds cyberattack 2020. De sammanlagda böterna uppgick till närmare 7 miljoner dollar. Unisys betalade ensamt 4 miljoner dollar för att ha beskrivit cyberrisker som "hypotetiska" i sina anmälningar, medan interna team kände till faktiska intrång.
Mellan december 2023 och januari 2025 rapporterades 55 cybersäkerhetsincidenter via Form 8-K-anmälningar. Utöver de SolarWinds-relaterade åtgärderna betalade Flagstar 3.55 miljoner dollar i december 2024 för att ha beskrivit ett intrång som drabbade 1.5 miljoner människor som ren "åtkomst" när data faktiskt hade stjälts.
Dessa påföljder visar ett behov av att koppla information om cybersäkerhet till bredare riskhantering för företag. SEC:s bildande av en ny enhet för cyber- och framväxande teknologier i februari 2025 signalerar att denna granskning kommer att fortsätta. Den ersatte enheten för kryptotillgångar och cybersäkerhet. CETU antyder också vikten av att ta hänsyn till AI i dessa risker, eftersom den specifikt inkluderar både AI och cybersäkerhetspraxis i sitt mandat.
Fragmenterad styrning skapar ökande exponering
Amerikanska företag med europeisk verksamhet står också inför ytterligare press från EU:s AI-lag, som trädde i kraft i augusti 2024. Lagen, som har efterlevnadsfrister som sträcker sig fram till 2027, gäller extraterritoriellt. Amerikanska företag som placerar AI-system på EU-marknaden eller använder AI vars resultat påverkar EU-användare måste följa lagen.
Insatserna är betydande. Straffavgifterna för förbjudna AI-metoder når 35 miljoner euro eller 7 procent av den globala årliga intäkten, beroende på vilket som är högst. Högriskkategorier, som omfattar AI som används för anställningsbeslut, kreditvärdering och hälso- och sjukvårdsdiagnostik, kräver överensstämmelsesbedömningar, teknisk dokumentation och mänskliga tillsynsmekanismer. Förbud mot AI-system med oacceptabla risker trädde i kraft i februari 2025.
AI dyker upp i offentliggörandedokument
Investerarnas förväntningar förändras i takt med att dessa risker utvecklas. Tillsynsmyndigheter och aktieägare gör det tydligt att den gamla modellen med separata team som hanterar cybersäkerhet, integritet och AI som separata domäner inte längre fungerar.
AI har med anmärkningsvärd hastighet flyttat från diskussioner om möjligheter i styrelserum till riskfaktoravsnittet i årsredovisningar. Sjuttiotvå procent av S&P 500-företagen nu redovisa väsentliga AI-risker, en ökning från bara 12 procent år 2023. De farhågor de oftast anger är ryktesskador (38 procent av de företag som lämnar uppgifter), konsekvenser för cybersäkerhet och osäkerhet i regelverket.
Styrelsens tillsyn har följt. Enligt ISS-Företag31.6 procent av S&P 500-företagen uppgav att de utövade sin styrelseövervakning av AI i sina fullmakter för 2024. Det är en ökning med 84 procent jämfört med föregående år.
De som inte inför sådan tillsyn riskerar väsentlig skada för aktieägarna, vilket kan leda till potentiella negativa röstrekommendationer. Förra året utfärdade Glass Lewis, ett fullmaktsrådgivningsföretag som ger råd till institutionella aktieägare om hur man röstar, nya riktlinjer som direkt tar upp AI-styrning.
Problemet med att hantera cybersäkerhet, integritet och AI separat är att incidenter som rör vart och ett av dessa överlappar varandra. Ett enda intrång kan samtidigt utlösa SEC:s offentliggörandeskyldigheter, GDPR-anmälningskrav, statliga integritetslagar och (om personuppgifter tränats i ett AI-system) nya AI-regleringar.
Så tiden har kommit att sammanföra hänsynen till dessa riskområden, men inget av detta är enkelt. Enligt Enligt National Association of Corporate Directors styrningsutsikter från juli 2025 är AI nu ett rutinmässigt ämne för 61 procent av styrelserna, men få har integrerat det ordentligt i styrningsstrukturerna.
Varför? Kulturella friktioner är en anledning. Säkerhets-, integritets- och AI-team har historiskt sett arbetat med olika vokabulärer, riskramverk och rapporteringsstrukturer.
Teknikintegration skapar ytterligare en svårighetsgrad; isolerade GRC-verktyg skapar fragmenterade metoder för riskbedömning, revisionsdokumentation och bevisinsamling. Budgetbegränsningar tvingar fram smärtsamma avvägningar mellan att bygga integrerad infrastruktur och att möta omedelbara efterlevnadsfrister.
Standardramverk erbjuder en väg framåt
Den goda nyheten: stora standardiseringsorgan förutsåg denna konvergens. ISO:s övergripande struktur innebär att ISO 27001 (informationssäkerhet), ISO 27701 (integritet) och den nyare ISO 42001 (AI-ledningssystem) delar kompatibla arkitekturer, vilket gör det möjligt för organisationer att bygga enhetliga ledningssystem snarare än parallella byråkratier.
Praktisk integration börjar vanligtvis med tvärfunktionella styrkommittéer som inkluderar representanter för integritet, cybersäkerhet, juridik och AI. Därifrån utvecklar organisationer gemensamma risktaxonomier och (där budgetar tillåter) enhetliga GRC-plattformar som eliminerar redundanta bedömningar. Rollgränserna suddas redan ut: enligt en undersökning från IAPP och EY har 69 procent av cheferna för integritetsskydd förvärvat ansvar för AI-styrning.
Organisationer som inte utvecklar sina metoder i linje med detta riskerar regelmässig exponering. För de som gör det väntar lägre regelfriktion, minskad revisionsbörda och starkare investerarförtroende.
