AI är en leveranskedja, inte en trollstav: vad NIS2 innebär för AI-styrning
av Ilpo Elfving / Econ VD
Loading article content...
Fler artiklar
När toptalanger blir matleverantörer: Varför Finland inte kan utnyttja den kompetens det utbildar
En utexaminerad AI-ingenjör levererar mat för Wolt under hot om utvisning medan 50-70% av internationella studenter avbryter sina studier inom specialområden. Hur Integrator-PM-modellen och intern AI kan lösa Finlands talangintegrationskris.
Finlands nya cybersäkerhetslag: Vad livsmedelsindustrins ledare behöver veta – och göra
Finlands cybersäkerhetslag (124/2025) ålägger ledningen inom livsmedelsindustrin ett personligt ansvar för cybersäkerhet. Kritiska tidsfrister, sanktionsavgifter på upp till 7 miljoner euro och konkreta åtgärder för att uppnå efterlevnad.
Jag fick nyligen en förstahandserfarenhet där ett ledande AI-företag inte kunde lösa en enkel faktureringstvist efter sju veckor (fortfarande pågående när detta skrivs) av AI-assisterad support. E-post dirigerades tyst till chattbottar, ärenden splittrades över parallella trådar med endast en del av kontexten och historiken, dubbletter skapades och stängdes utan meddelande, kontext förlorades efter eskalering till en mänsklig representant, och processen återgick flera gånger till AI-loopar efter att en människa hade fattat beslut och lovat återbetalning. Detta avslöjar något väsentligt om hur AI faktiskt fungerar i praktiken.
Det här är inte ett isolerat leverantörsproblem. Det visar vad som händer när AI-driven support behandlas som ett bekvämt automatiseringslager istället för vad det faktiskt är: en digital leveranskedja bestående av chatt, e-postsystem, dirigeringslogik, språkmodeller, tillägg och backoffice-integrationer – var och en med olika ägare, loggar och fellägen.
För ledare inom livsmedels-, handels- och hälsovårdssektorn som nu omfattas av Finlands cybersäkerhetslag (124/2025) har detta direkt betydelse. Om AI berör din produktionsplanering, leveranslöften, kylkedjeövervakning eller patientdokumentation är du juridiskt ansvarig för styrningen av hela kedjan. Inte bara "AI-delen".
Varför AI-styrning nu är en styrelsenivåskyldighet
⚠️
Ledningens ansvar enligt lag 124/2025
Paragraf 10 i Finlands cybersäkerhetslag kräver att ledningen upprätthåller
tillräcklig kompetens inom cybersäkerhetsriskhantering och personligen
godkänner säkerhetsåtgärder. Denna skyldighet omfattar AI-system som berör
väsentliga verksamheter. Att delegera AI-styrning helt till IT-avdelningen är
inte längre juridiskt försvarbart.
Cybersäkerhetslagen (124/2025) implementerar EU:s NIS2-direktiv i Finland. Dess kärnkrav är tydliga:
Identifiera om din organisation omfattas av tillämpningsområdet
Implementera dokumenterad riskhantering inom 12 definierade områden
Rapportera betydande incidenter inom 24–72 timmar
Säkerställ att ledningen har tillräcklig cybersäkerhetskompetens
Artikel 21 i NIS2 inkluderar uttryckligen leveranskedjans säkerhet som ett obligatoriskt riskhanteringsområde. AI-system – oavsett om de är inbyggda i ditt affärssystem, driver kundtjänst eller automatiserar klinisk dokumentation – är en del av den leveranskedjan.
Personligt ansvar
Ledningen måste godkänna cybersäkerhetsåtgärder
Leveranskedjans omfattning
AI-leverantörer är digitala leverantörer under NIS2
7 M€ eller 1,4 %
Maximalt vite för viktiga aktörer
24–72 timmar
Tidsfrist för incidentrapportering
AI är en leveranskedja, inte ett enskilt verktyg
Anledningen till att AI-styrning känns svårgreppbart är att "AI" aldrig är en enda sak. Varje AI-aktiverad tjänst är en stack av komponenter och leverantörer:
De dolda lagren i varje AI-system
📧
Kommunikationslager
E-postadresser, chattgränssnitt, API-ändpunkter, mobilappar – var och en med dirigeringsregler som tyst kan omdirigera meddelanden.
🔀
Orkestreringslager
Ärendehanteringssystem, arbetsflödesautomation, agentramverk – bestämmer vart förfrågningar går och vilken kontext som följer med.
🤖
Modellager
Språkmodeller som genererar svar, klassificeringsmodeller som dirigerar ärenden, prediktionsmodeller som föreslår åtgärder – var och en med olika leverantörer, versioner och beteenden.
🔌
Integrationslager
Kopplingar till affärssystem, lagerhantering, patientjournaler, CRM, fakturering, logistik – där AI-utdata blir verkliga handlingar.
💾
Datalager
Där prompter, kontext och utdata lagras – med implikationer för datalagring, lagringstider och regelefterlevnad.
När något går fel – kontext försvinner, beslut fattas på ofullständig information, eskaleringar når aldrig människor – ligger felet sällan i "AI:n". Det ligger i fogarna mellan dessa lager.
NIS2 bryr sig inte om felet orsakas av en skadlig handling eller om det börjar i en språkmodell, ett tillägg eller en e-postrouter. Direktivet tittar på påverkan på dina väsentliga tjänster och om du hanterade riskerna i hela den digitala leveranskedjan.
Hur detta ser ut inom livsmedel, handel och hälsovård
Det abstrakta blir konkret när du kartlägger AI-beröringspunkter i faktiska verksamheter.
Livsmedelstillverkning och partihandel
🌡️
Kylkedjeövervakning
AI analyserar temperatursensordata för att förutsäga försämring eller utlösa larm. Om modellen felklassificerar en kritisk avvikelse äventyras produktsäkerheten.
📦
Efterfrågeprognoser
AI förutser ordervolymer för produktionsplanering. Felaktiga prognoser sprider sig som överlager, svinn eller bristsituationer genom hela leveranskedjan.
🏷️
Produktdataberikning
AI-assisterad GDSN-inmatning och produktbeskrivningar. Fel sprids till detaljhandlare, efterlevnadssystem och konsumentmärkningar.
📋
Leverantörskommunikation
AI dirigerar och besvarar leverantörsmeddelanden. Förlorad kontext eller feldirigerade meddelanden kan störa inköpstidplaner.
Handel och logistik
🚚
Ruttoptimering
AI planerar leveransrutter baserat på realtidsdata. Modellfel eller inaktuell data kan försena tidskritiska leveranser.
📄
Tulldokumentation
AI-assisterad klassificering och deklarationsförberedelse. Felklassificering skapar efterlevnadsrisker och gränsförseningar.
💬
B2B-kundtjänst
AI-chattbottar hanterar orderstatus, leveranstider och avvikelser. Om eskaleringsvägar bryts förblir kundproblem olösta.
💰
Dynamisk prissättning
AI justerar priser baserat på efterfrågan, lager och konkurrens. Okontrollerade modeller kan urholka marginaler eller kundförtroende.
Hälso- och socialvård
📝
Klinisk dokumentation
AI transkriberar mottagningar eller sammanfattar patienthistorik. Fel i medicinsk kontext kan påverka vårdbeslut.
📅
Tidsbokning och dirigering
AI prioriterar patientförfrågningar och schemalägger besök. Feldirigerade brådskande fall skapar patientsäkerhetsrisker.
💊
Läkemedelshantering
AI-assisterad receptkontroll eller dosberäkningar. Modellfel i detta sammanhang har direkta säkerhetskonsekvenser.
📞
Patientkommunikation
AI hanterar bokningspåminnelser, uppföljningar och frågor. Förlorade meddelanden eller felaktig information urholkar förtroende och vårdkontinuitet.
Vi inför AI endast där det ger mätbart och kontrollerat värde. Inte för
bekvämlighet eller nyhetsvärde. Styrningsbristerna som uppstår även hos
ledande AI-leverantörer illustrerar exakt varför: okontrollerad AI skapar
okontrollerad risk. Om du inte kan kartlägga leveranskedjan bakom en
AI-funktion kan du inte hantera den. Och enligt NIS2 är du ansvarig för att
hantera den.
Econs perspektivMotiverad AI
Vad som faktiskt fallerar och varför det spelar roll
När AI-drivna processer havererar är grundorsakerna vanligtvis inte sofistikerade. De är vardagliga styrningsbrister:
Osynligt kanalbyte. Användarmeddelanden dirigeras tyst från e-post till chatt till AI utan meddelande. Ur ett styrningsperspektiv innebär detta förlust av transparens och spårbarhet.
Fragmenterad kontext. Modelluppdateringar, plattformsändringar eller systemintegrationer som bryter kontinuiteten. Senare mänskliga handläggare eller efterföljande AI-interaktioner saknar fullständig historik.
Ingen tydlig ägare för hela kedjan. E-post, chatt, AI och backoffice-system fungerar som separata silos. Ingen är ansvarig för helhetslösning och datakonsistens.
Klyfta mellan policy och verklighet. Faktureringssystemet accepterade en avbokning; AI:n insisterar på en annan process. Affärssystemet visar lagersaldo; AI-chattbotten påstår motsatsen.
Inget av detta kräver illvillig AI. Det är vad som händer när man behandlar AI som ett verktyg man bara kopplar in och glömmer att man har utvidgat sin digitala leveranskedja med fler integrationspunkter, fler rörliga delar och fler sätt att förlora kontext och ägarskap.
En praktisk handbok: AI-styrning under NIS2
Chefer behöver inte ytterligare ett 40-sidigt ramverk. De behöver en lista över icke-förhandlingsbara punkter som kopplar AI-styrning till befintliga NIS2-skyldigheter.
Åtta grundpelare för styrning
1️⃣
Deklarera AI inom tillämpningsområdet
Fatta ett uttryckligt styrelsebeslut: AI-system som berör väsentliga verksamheter omfattas av NIS2-riskhantering. Dokumentera beslutet.
2️⃣
Kartlägg varje AI-leveranskedja
För varje kritiskt AI-användningsfall, rita ett diagram: kommunikationskanaler, orkestrering/dirigering, modellleverantörer, tilläggskopplingar, datalager och lagringsplatser. En sida per användningsfall.
3️⃣
Utse verksamhetsägare
Utse en processägare för varje AI-aktiverat flöde, inte "AI-teamet". Ägaren ansvarar för resultat oavsett hur många verktyg som är sammankopplade.
4️⃣
Designa för kontextkontinuitet
Kräv att AI-lösningar loggar kanalbyten, bevarar ärendehistorik över uppdateringar och ger människor fullständig kontext. Förbjud "slutna AI-loopar" utan eskaleringsväg.
5️⃣
Inkludera AI i leverantörsrisker
Lägg till AI- och molnmodellleverantörer i leverantörsriskprogrammet. Täck dataanvändning, lagringsplatser, underbiträden, incidentrapportering och support-SLA:er i avtal.
6️⃣
Integrera med befintliga kontroller
Bädda in AI i ditt ledningssystem för informationssäkerhet (ISMS): åtkomstkontroll, ändringshantering, säker utveckling, verksamhetskontinuitet. Behandla kritisk AI-konfiguration som kod: granska, testa, dokumentera.
Sektorspecifika överväganden
ℹ️
Livsmedelssektorn
Om AI berör HACCP-närliggande system, kylkedjeövervakning, spårbarhet eller
GDSN-produktdata, inkludera den i din cybersäkerhetsriskhantering.
Livsmedelsverket övervakar NIS2-efterlevnad för livsmedelsaktörer. Anpassa
AI-styrningen efter deras förväntningar.
ℹ️
Hälsovårdssektorn
AI i patientflöden, klinisk dokumentation eller läkemedelshantering medför
både NIS2- och sektorspecifika regulatoriska krav. Säkerställ att
AI-styrningen integreras med befintliga ramverk för patientsäkerhet och
dataskydd.
ℹ️
Handel och logistik
AI i tullklassificering, ruttoptimering eller B2B-kommunikation påverkar
handelsefterlevnad och kundrelationer. Kartlägg AI-beroenden i EDI/Peppol-,
lagerhantering- och transporthanteringssystem som del av bedömningen av den
digitala leveranskedjan.
Checklista för ledningen: AI-styrning för NIS2-aktörer
Använd denna checklista för att bedöma din nuvarande AI-styrning och identifiera brister.
14-punkts checklista för AI-styrning
✅
1. Styrelsebeslut om AI
Besluta formellt att AI-system kopplade till väsentliga tjänster omfattas av NIS2-riskhantering. Dokumentera beslutet.
📋
2. AI-inventering
Lista alla AI/ML-verktyg i produktion eller piloter, inklusive externa SaaS-tjänster med inbyggd AI och interna experiment.
🗺️
3. Leveranskedjediagram
För varje kritiskt AI-användningsfall, rita diagram över kanaler, orkestrering, modeller, tillägg och datalagringsplatser.
👤
4. Verksamhetsägare utsedda
Varje AI-aktiverad process har en namngiven ägare ansvarig för resultat och risk – inte bara "AI-teamet".
🔀
5. Kontext- och eskaleringsregler
Definiera hur ärenden rör sig mellan AI och människor. Kräv fullständig historiköverföring. Förbjud slutna AI-loopar.
🔍
6. Leverantörsutvärdering
AI- och molnmodellleverantörer inkluderade i leverantörsriskprogrammet med dokumenterade utvärderingar.
📝
7. Avtalsvillkor
Sammanfattning
AI är redan en del av din digitala leveranskedja. Den enda frågan är om du styr den medvetet eller upptäcker bristerna under en incident.
Finlands cybersäkerhetslag är nu i kraft. Ledningen är personligt ansvarig. Leveranskedjans säkerhet – inklusive AI-leverantörer – omfattas uttryckligen.
Den goda nyheten: om du redan har implementerat NIS2-riskhantering för dina traditionella IT- och OT-system är det möjligt att utvidga ramverket till AI. Samma principer gäller: kartlägg beroenden, utse ägare, hantera leverantörer, integrera kontroller, förbered för incidenter.
Om du lyckas med detta blir AI en styrd förmåga som stödjer resiliens och efterlevnad. Om du ignorerar det riskerar du att hamna – tillsammans med dina kunder – i en okontrollerad AI-loop där ingen äger resultatet.
Och till skillnad från en faktureringstvist blir kostnaden för den loopen inom livsmedelssäkerhet, patientvård eller handelsefterlevnad inte trivial.
AI är en leveranskedja, inte en trollstav: vad NIS2 innebär för AI-styrning - Econ
7️⃣
Utvidga incidenthantering
Definiera AI-specifika incidentscenarier: dataläckage via AI, osäkra automatiserade beslut, processavbrott. Inkludera isoleringsprocedurer och bevisbevarande.
8️⃣
Utbilda ledningen
Ledningen måste förstå: språkmodeller förutsäger ord, inte sanning; kontextfönster är begränsade; dirigeringslager kan tyst tappa information. Detta uppfyller kravet på "tillräcklig förtrogenhet".
AI-avtal täcker begränsningar för dataanvändning, incidentrapportering, myndighetssamarbete och funktionskontroll.
🔒
8. ISMS-integration
AI inbäddad i befintlig åtkomstkontroll, ändringshantering, säker utveckling samt kontinuitets- och återhämtningsplaner.
📊
9. Loggning och övervakning
Kritiska AI-system loggar prompter, kontext, verktygsanrop och utdata. Avvikelseövervakning konfigurerad.
🚨
10. Incidenthantering utvidgad
Incidenthanteringsplaner inkluderar AI-specifika scenarier, isoleringsprocedurer och bevisbevarande.
🎓
11. Ledningsutbildning
Ledningen utbildad i AI-beteende, begränsningar och risker för att uppfylla kravet på "tillräcklig förtrogenhet".
🔄
12. Personalmedvetenhet
Praktisk utbildning i "säker AI-användning på jobbet" för personal som arbetar med AI-aktiverade system.
🏛️
13. Sektoranpassning
AI-styrning anpassad till sektorspecifika förväntningar (Livsmedelsverket, Valvira osv.).
📁
14. Dokumentation
AI-arkitekturer, riskbedömningar, kontroller och godkännanden dokumenterade för att påvisa efterlevnad.
Redo att påskynda er verksamhet inom livsmedels- och handelssektorn?
