SoloCEO.dk

Artikler, nyheder og inspiration til iværksættere og selvstændige. Få indsigt i business, markedsføring, økonomi og værktøjer, der styrker din virksomhed.

Sundhed & Velvære Uncategorized

AI, NIS2 og kommuner: når digitalisering kræver fælles styring

SoloCEO.dk 0

Hvis jeres kommune arbejder med AI i ét spor, NIS2 i et andet og governance i et tredje, betaler I sandsynligvis “koordinerings-skat” hver eneste uge: dobbeltarbejde, uklare ansvar, flere risici og langsommere gevinster.

I denne artikel får du en praktisk guide til, hvordan kommuner kan få mere ud af både digitalisering og cybersikkerhed ved at sammentænke AI, NIS2 og governance på tværs af organisationen. Du får konkrete greb til organisering, prioritering, dokumentation og drift — inklusive typiske faldgruber, omkostningsdrivere og bedste praksis.

Og du får et sprog og en model, der kan bruges i både direktion, fagforvaltninger, IT, indkøb og databeskyttelse, så AI-projekter ikke bliver “små forsøg”, men en kontrolleret kapacitet med målbar effekt.

Hvad betyder det at sammentænke AI, NIS2 og governance — og hvorfor betyder det noget?

En enkel definition: At sammentænke AI, NIS2 og governance betyder at styre AI-anvendelse (data, modeller, leverandører og drift) under samme ramme for risikostyring, ansvar og kontrol, som I bruger til cybersikkerhed, compliance og forretningsprioritering. Det betyder noget, fordi AI typisk øger kompleksiteten i jeres systemlandskab, mens NIS2 skærper krav til ledelsesforankring, risikostyring og leverandørstyring.

I praksis handler det om at etablere én fælles styringsmotor, hvor AI-projekter vurderes på både nytte, risiko og driftsparathed — før de rulles ud, og mens de kører. For kommuner er gevinsten ofte størst i spændingsfeltet mellem “hurtige AI-gevinster” og “robust drift” i en hverdag med mange systemer, mange fagområder og begrænsede ressourcer.

Mini-konklusion: Sammentænkning er ikke mere bureaukrati; det er færre parallelle processer og bedre beslutninger med samme (eller lavere) samlet tidsforbrug.

Hvorfor det ofte går galt i kommuner: tre parallelle spor uden fælles prioritering

Jeg ser især tre mønstre, når kommuner forsøger at “komme i gang”:

  • AI-initiativer starter i fagområder som små piloter uden fælles krav til data, sikkerhed og leverandørforhold.
  • NIS2 implementeres som et IT-/sikkerhedsprojekt, der primært fokuserer på tekniske kontroller, mens forretningen ser det som “noget IT klarer”.
  • Governance bliver et dokument-setup (politikker og retningslinjer), men uden rytme, roller og beslutningspunkter, der virker i praksis.

Konsekvensen er typisk, at de samme spørgsmål bliver stillet igen og igen: Hvem ejer risikoen? Hvem må godkende? Hvor ligger dokumentationen? Hvad gør vi ved leverandøren? Det er her, de fleste kommuner mister tempo og skaber intern friktion.

Et konkret eksempel fra hverdagen

En forvaltning vil bruge generativ AI til udkast til borgerbreve og journalnotater. Fagområdet køber en løsning via en rammeaftale, IT bliver involveret sent, og DPO får først sagen, når løsningen allerede er testet med rigtige data. Nu opstår der stopklodser: databehandleraftale, logning, adgangsstyring, træningsdata, slettepolitikker, og ikke mindst: hvordan undgår vi, at medarbejdere kopierer personoplysninger ind i et værktøj uden de rette garantier?

Hvis AI, NIS2 og governance hænger sammen, bliver de spørgsmål afklaret tidligt med standardkrav, så projektet kan bevæge sig hurtigt uden at gamble med datasikkerhed.

Den skjulte omkostning: “koordinerings-skatten”

Når sporene er adskilt, bruger I tid på at koordinere i stedet for at levere. I mange organisationer svarer det til, at hvert AI-tiltag kræver 6–10 møder på tværs, fordi der ikke findes fælles skabeloner, kravkatalog eller beslutningsforum. Det er ikke usædvanligt, at en ellers lille AI-automatisering bliver 2–3 måneder forsinket af afklaringer, der kunne være standardiserede.

Mini-konklusion: Fejlen er sjældent “AI-teknologien” — det er manglen på fælles styring, som gør, at risiko og ansvar ender med at blive en stopklods.

En fælles governance-model: sådan binder du AI, NIS2 og kommunens drift sammen

Du behøver ikke opfinde et nyt styringssystem. De fleste kommuner har allerede elementer: informationssikkerhedspolitik, risikostyring, it-arkitekturprincipper, leverandørstyring, databeskyttelse og porteføljestyring. Tricket er at gøre AI til en integreret del af de eksisterende beslutningsflows.

De fem byggeklodser (som kan etableres uden kæmpe reorganisering)

  1. Fælles AI-principper (hvad må vi, hvad må vi ikke) og et minimumskrav til dokumentation pr. use case.
  2. Risikovurdering i to spor: forretningsrisiko/nytte og informationssikkerhed/leverandørrisiko, med én samlet beslutning.
  3. Roller og ansvar (RACI) for fagområde, IT, sikkerhed, indkøb og databeskyttelse — især hvem der accepterer risiko.
  4. Standardiserede kontrolpunkter i projektmodellen: før test, før idriftsættelse, og ved ændringer i data/model/leverandør.
  5. Driftsmodel for AI-løsninger: overvågning, hændelseshåndtering, ændringsstyring og afvikling.

Det vigtigste er rytmen: Et fast forum (fx månedligt) med mandat til at godkende/afvise use cases, og en “fast track”-vej for lavrisiko-tiltag med prædefinerede rammer.

Mini-konklusion: Når governance bliver en gentagelig proces med få, klare kontrolpunkter, kan I både øge hastigheden og reducere risikoen.

NIS2 som løftestang for AI: brug kravene til at skabe klarhed om ansvar og kontrol

NIS2 bliver ofte oplevet som et compliance-krav, men for kommuner kan det også bruges som en anledning til at få styr på “det, der alligevel driller”: ledelsesforankring, risikostyring, leverandørkæder og hændelseshåndtering. AI lægger ekstra pres på alle fire.

Hvis I vil have mere ud af indsatsen, så behandl AI-løsninger som en del af jeres samlede risikobillede: Hvilke systemer er kritiske? Hvilke data flyder hvorhen? Hvilke leverandører er “single points of failure”? Og hvordan opdager I hurtigt fejl, misbrug eller datalæk?

Sådan oversætter du NIS2-principper til AI-arbejde

  • Ledelsesansvar: AI-porteføljen skal have en ejer i ledelsen, der kan prioritere og acceptere risiko.
  • Risikostyring: AI-use cases skal have en konsekvensvurdering (ikke kun “det virker” men “hvad kan gå galt”).
  • Leverandørstyring: kontrakter, underleverandører, dataflow, auditmuligheder og exit-plan.
  • Hændelseshåndtering: hvad er en AI-hændelse, og hvordan eskalerer den? (fx hallucinationer i borgersvar, datalæk via prompts, driftstop i en central AI-service).

Det er også her, det giver mening at se på praksis og fortolkninger samlet, fx via AI og NIS2 i kommuner, så jeres interne politikker og kontraktkrav ikke divergerer fra det, markedet og myndighederne forventer.

Mini-konklusion: NIS2 kan gøre AI-arbejdet mere effektivt, hvis I bruger kravene som standarder for beslutning og drift — ikke som en separat compliance-øvelse.

Fra idé til sikker drift: en praktisk proces kommuner kan genbruge

Typiske spørgsmål i kommuner er: “Hvordan kommer vi i gang?”, “Hvad skal vi dokumentere?”, og “Hvordan undgår vi at bremse innovation?”. Svaret er at arbejde med en enkel, genbrugelig proces, hvor 80% er standard og 20% tilpasses use casen.

En proces i 7 trin (kan skaleres op og ned)

  1. Use case-kort: Formål, målgruppe, forventet effekt, data der bruges, og hvilken beslutning AI påvirker.
  2. Klassificering: Lav/mellem/høj risiko ud fra data, påvirkning på borgere, og kritikalitet i driften.
  3. Leverandør- og dataafklaring: Hvor behandles data? Hvem har adgang? Hvad logges? Hvad gemmes?
  4. Kontrolpakke: Minimumskrav til sikkerhed (adgang, logning, segmentering), kvalitet (test), og compliance (aftaler).
  5. Test og pilot: Mål på kvalitet, fejltyper, og brugeradfærd (fx hvad medarbejdere faktisk indtaster).
  6. Idriftsættelse: Driftsoverdragelse, monitorering, beredskab, og træning.
  7. Løbende evaluering: Månedlig/kvartalsvis review af effekt, hændelser, og ændringer i data/leverandør.

Det lyder måske omfattende, men det kan gøres letvægts. For en lavrisiko intern assistent kan trin 1–4 være et kort skema og en standardkontrolpakke, mens en AI der påvirker sagsbehandling eller udbetalinger kræver langt mere.

Mini-konklusion: Kommuner lykkes, når AI bliver en “produktdisciplin” med drift og livscyklus — ikke et projekt, der slutter ved pilot.

Hvad koster det — og hvor kommer gevinsten typisk fra?

Spørgsmålet “hvad koster det?” bør deles op: Hvad koster selve værktøjet, og hvad koster det at gøre det forsvarligt? I praksis er licensen ofte den mindste del. De store omkostningsdrivere er tid til afklaring, integration, kontrakter, sikkerhedsopsætning og forankring i arbejdsgange.

Som tommelfingerregel ser jeg ofte, at et mindre AI-tiltag (fx intern tekstassistent) kan gennemføres på 4–8 uger, hvis governance er klar, men 12–20 uger hvis hver beslutning skal opfindes på ny. For mere kritiske use cases skal I regne med længere tid til test, dokumentation og driftsmodning.

  • Direkte omkostninger: licenser, integration, evt. konsulenttimer, uddannelse.
  • Indirekte omkostninger: mødetid, risikoarbejde, procesændringer, driftsovervågning.
  • Gevinstkilder: mindre tid pr. sag, færre fejl/omarbejde, hurtigere svartider, bedre vidensdeling.
  • Undgåede omkostninger: færre hændelser, mindre nedetid, færre kontraktmæssige overraskelser.

Den bedste business case i kommuner opstår ofte, når AI kobles til et konkret procesproblem (fx ensartning af breve, søgning i interne retningslinjer, eller triagering af henvendelser) og samtidig designes med drift og sikkerhed fra start. AI uden forankring giver sjældent varige gevinster.

Mini-konklusion: Governance reducerer ikke kun risiko; det reducerer også gennemløbstid og gør gevinsterne mere stabile.

Typiske fejl og faldgruber — og sådan undgår I dem

Mange kommuner spørger “hvilke fejl ser I oftest?” Her er de mest almindelige, og hvad der virker i praksis.

  • Pilot-forelskelse: En pilot virker i en afdeling, men falder fra hinanden ved skalering. Løsning: kræv driftsplan og dataafklaring før idriftsættelse.
  • Uklart ejerskab: Ingen vil “eje” AI-fejl. Løsning: udpeg en forretningsejer pr. use case, der kan acceptere risiko og sikre procesændringer.
  • Skygge-AI: Medarbejdere bruger gratis værktøjer med borgerdata. Løsning: tilbyd sikre alternativer og tydelige retningslinjer, plus træning i prompts og dataminimering.
  • Leverandørblindhed: Man ser kun på funktioner, ikke underleverandører, dataplacering og exit. Løsning: standardkrav til kontrakt, logning, audit og dataportabilitet.
  • Manglende hændelsesberedskab: Ingen ved, hvad man gør ved AI-fejl i produktion. Løsning: definér “AI-hændelser” og øv eskalering på samme måde som sikkerhedshændelser.
  • For meget proces: Governance bliver en flaskehals. Løsning: lav en risikobaseret model med fast track for lavrisiko.

En enkel test: Hvis en medarbejder spørger “må jeg kopiere det her ind i AI?”, skal svaret kunne findes på 30 sekunder i jeres interne retningslinjer, og det skal være understøttet af et sikkert værktøj.

Mini-konklusion: De fleste AI-problemer er forudsigelige. Når I standardiserer krav og beslutninger, bliver de også forebyggelige.

Bedste praksis: governance, der faktisk virker på tværs af forvaltninger

For at få AI, NIS2 og governance til at spille sammen på tværs, skal I designe for virkeligheden: forskellige faglogikker, forskellig modenhed, og travle nøglepersoner. Her er praksisser, der typisk skaber fremdrift uden at drukne organisationen i papir.

Skab én fælles “AI-kontrolpakke” med niveauer

Lav 2–3 niveauer (lav/mellem/høj) med klare minimumskrav. Eksempel: Lav risiko kan være interne tekster uden persondata; høj risiko kan være AI, der påvirker afgørelser eller arbejder med følsomme data. Når niveauet er valgt, følger kravene automatisk. Det skaber forudsigelighed for fagområderne.

Brug porteføljestyring: færre use cases, bedre kvalitet

En udbredt misforståelse er, at succes måles i antal AI-piloter. I kommuner giver det ofte mere værdi at vælge 5–10 use cases, der kan skaleres, end 50 små forsøg uden drift. Sammensæt en portefølje på tværs af forvaltninger, så I genbruger løsninger, kontrakter og læring.

En god tommelfingerregel er at prioritere use cases, hvor gevinsten kan måles (tid, kvalitet, svartid) og hvor risikoen kan kontrolleres med standardtiltag.

Hvad kan du gøre de næste 30 dage? En realistisk handlingsplan

Hvis du sidder med ansvaret i digitalisering, IT, sikkerhed eller en fagforvaltning, er det afgørende at komme fra intention til praksis. Her er en 30-dages plan, der kan gennemføres uden at vente på perfekte rammer.

  1. Kortlæg 10 aktuelle eller
Related Story