Kiloven
Kontakt

Sikkerhet og evidens

Når virksomheter tar i bruk KI-systemer, øker forventningene til sikkerhetsdokumentasjon. Kunder, innkjøpsavdelinger og revisorer spør stadig oftere om konkret evidens for at systemene er trygge å bruke.

For mange handler dette om å forstå hva som etterspørres og hva som utgjør et forsvarlig minimum.

Hvem spør om sikkerhetsevidens?

Forespørsler om sikkerhetsdokumentasjon kommer typisk fra:

  • Kunder som vurderer å kjøpe tjenester med KI-komponenter
  • Innkjøpsavdelinger som skal kvalifisere leverandører
  • Revisorer som gjennomfører internkontroll eller sertifiseringsrevisjoner
  • Tilsynsmyndigheter som følger opp etterlevelse av regelverk

Hver gruppe kan ha litt ulike fokusområder, men grunnlaget er ofte det samme.

Hva etterspørres?

Typiske forespørsler om sikkerhetsevidens for KI-systemer inkluderer:

  • Informasjon om hvordan data behandles og lagres
  • Dokumentasjon av tilgangskontroll og autentisering
  • Beskrivelse av hvordan modellen er trent og validert
  • Rutiner for logging og overvåkning
  • Håndtering av sårbarheter og sikkerhetsoppdateringer
  • Sertifiseringer eller tredjepartsvurderinger

Utfordringer for KI-SaaS

For virksomheter som tilbyr KI-funksjonalitet som del av SaaS-løsninger, kan det være krevende å møte alle forventninger. Vanlige utfordringer inkluderer:

  • Uklarhet om hva som er relevant for akkurat deres løsning
  • Manglende ressurser til å produsere omfattende dokumentasjon
  • Usikkerhet om hvilke sertifiseringer som gir verdi
  • Behov for å balansere åpenhet mot beskyttelse av forretningshemmeligheter

Forsvarlig minimum

Ikke alle virksomheter trenger ISO-sertifiseringer eller omfattende tredjepartsrevisjoner. Et forsvarlig minimum for mindre KI-SaaS-leverandører kan inkludere:

  • Tydelig beskrivelse av databehandling og lagringssted
  • Dokumenterte rutiner for tilgangskontroll
  • Grunnleggende informasjon om modellens funksjon og begrensninger
  • Kontaktpunkt for sikkerhetsspørsmål

Anbud og offentlige anskaffelser

I offentlige anskaffelser stilles det ofte konkrete krav til sikkerhetsdokumentasjon. Å ha standardiserte svar klare kan spare tid og øke sjansene for å kvalifisere seg.

Videre lesning

Sist oppdatert

2026-02-02