Tjänster · Strategi & AI · A4
Governance — AI, informationssäkerhet och cybersäkerhet — AI, infosäk och cyber — under samma tak
A4 omfattar styrning av AI, informationssäkerhet och cybersäkerhet på lednings- och policynivå. Tjänsten hjälper organisationer att etablera, driva och vidareutveckla ledningssystem som möter regulatoriska krav och håller riskerna under kontroll.
Vi arbetar konkret med ISO/IEC 42001 (AI-ledningssystem), ISO/IEC 27001 (ledningssystem för informationssäkerhet), EU AI Act, NIS2, CRA och GDPR. Vi är själva certifierade enligt ISO/IEC 42001 och 27001 — processen är granskad, inte påstådd.
Vad ingår
- Gap-analys mot ISO/IEC 42001, 27001, EU AI Act, NIS2 eller CRA
- Policy, processer och dokumentation för formell certifiering eller intern styrning
- Roll- och ansvarsfördelning kring AI-användning, informationssäkerhet och cybersäkerhet
- Agent-governance — policy för autonoma AI-beslut, audit trails, human-in-the-loop-krav enligt EU AI Act, escalation-processer
- Risk- och konsekvensbedömningar (DPIA, AI-impact assessment)
- Löpande rådgivning till säkerhetsråd, AI-ansvarig, CISO eller styrelse
Tre leveransformer
| Form | Tidsåtgång | Utfall |
|---|---|---|
| Readiness-bedömning | 3–6 veckor | Gap-analys, prioriterad åtgärdslista, beslutsunderlag |
| Etablering av ledningssystem | 3–9 månader | Färdigt ledningssystem klart för certifieringsrevision |
| Löpande governance-stöd | Kontinuerligt | Rådgivning vid policyutveckling, incidenter, regulatoriska förändringar |
Vad det inte är
- Operativ cybersäkerhet (penetrationstest, sårbarhetsskanning, SIEM) — se C8
- Säker utvecklingsprocess i leveransprojekt (hotmodellering, SBOM, secure coding) — se C7
- AI-system och agentutveckling — se C6
- AI-mognadsmätning — se A3
- Strategisk rådgivning på övergripande nivå — se A1
För vem
CISO, AI-ansvariga, säkerhetschefer och kvalitetschefer i organisationer som ska efterleva EU AI Act, NIS2 eller CRA — eller som vill certifiera sig enligt ISO/IEC 42001 eller 27001. Också styrelser och ledningsgrupper som behöver beslutsstöd för komplexa governance-frågor.
Bevis
Digitalist är bland de första svenska företagen certifierade enligt ISO/IEC 42001. Vi har samma certifieringserfarenhet som vi levererar till kunder — det är vår egen process som granskats av tredjepart. [FAKTAGRANSKA: certifieringsdatum för 42001]
De vanligaste frågorna
Vad är skillnaden mellan ISO 27001 och 42001? ISO 27001 är ledningssystem för informationssäkerhet generellt — gäller all data och alla system. ISO 42001 är specifikt för AI-system och inkluderar krav på risk- och konsekvensbedömning, bias-hantering, dokumentation och transparens i AI-livscykeln. Båda kompletterar varandra — 27001 är basen, 42001 lägger AI-specifika kontroller ovanpå. Läs /kunskap/iso-42001-i-praktiken.
Hur lång tid tar en ISO 42001-certifiering? För en organisation med befintligt ISO 27001-ledningssystem brukar etableringen ta 6–9 månader inklusive intern revision. För organisationer utan tidigare ISO-arbete tar det 9–12 månader. Tidsåtgång påverkas främst av hur stor del av verksamheten som är AI-relaterad och hur moget governance-arbetet redan är.
Vad är agent-governance? Den policymässiga ramen för autonoma AI-beslut. När och var en agent får agera självständigt, hur audit trails ska föras, vilka beslut som kräver human-in-the-loop enligt EU AI Act, och hur agenters behörigheter ska styras. Få konsulter har djup erfarenhet — vi kombinerar ISO/IEC 42001-certifiering med praktisk leveranserfarenhet från C6.
När börjar EU AI Act gälla? Förordningen trädde i kraft 1 augusti 2024. Förbjudna AI-praktiker och AI literacy-krav gäller sedan 2 februari 2025. GPAI-regler och governance gäller sedan 2 augusti 2025. Krav på högrisk-system gäller från 2 augusti 2026 (med förlängning till 2 augusti 2028 för högrisk-system inbäddade i reglerade produkter). Läs /kunskap/eu-ai-act-vad-foretag-bor-veta.
Relaterat
- Erbjudande: AI-resan
- Erbjudande: Verksamhetskritiska system
- Tjänst: C7 Informationssäkerhet och säker utveckling
- Kunskap: ISO 42001 i praktiken, EU AI Act, NIS2 för svenska verksamheter