Hvordan styret bør møte AI i 2026

Skrevet av Martin Nipedal

I 2026 er kunstig intelligens ikke lenger et teknologi-tema som IT-sjefen tar seg av. Det er et styrings- og strategispørsmål på linje med kapitalstruktur, bærekraft og cybersikkerhet.

EU sitt nye AI-regelverk trer gradvis i kraft frem mot 2026 og 2027, med en generell dato for anvendelse fra 2. august 2026. Samtidig rapporterer globale undersøkelser at AI governance nå er blant de viktigste temaene på styreagendaen.

Spørsmålet er ikke lenger om virksomheten skal bruke AI, men hvordan styret tar styring på en måte som gir forretningseffekt, håndterer risiko og sikrer etterlevelse.

Dette innlegget går grundig gjennom hvordan styret bør ta stilling til AI i 2026, hvilke spørsmål som bør stilles, og hvilke konkrete beslutninger som bør fattes.

1. Hvorfor 2026 blir et vendepunkt for styreansvar og AI

Det er tre grunner til at 2026 blir et helt spesielt år for styrearbeid knyttet til AI.

1.1 EU AI Act gjør AI til et styrespørsmål

EU sin AI Act er verdens første helhetlige regulering av kunstig intelligens. Forordningen er vedtatt og trer gradvis i kraft fra 2025, med hovedtyngden av krav som gjelder fra 2. august 2026.For norske virksomheter vil dette komme gjennom EØS, og praktisk sett må styrer forholde seg til kravene på linje med GDPR.

Lovgivningen rulles ut stegvis mellom 2025 og 2027, der EU har som mål full utrulling innen 2. august 2027. Parallelt bygges det opp et styringsapparat med European AI Board og nasjonale tilsynsmyndigheter, som skal overvåke etterlevelse og hendelser knyttet til AI.

For styret betyr det at AI ikke bare er en mulighet, men også en regulert risiko og et etterlevelsesområde.

1.2 Regulering kombinert med høyt tempo i markedet

Mens reguleringen strammes til, øker investeringsnivået og konkurransen i AI globalt. EU har lansert en frivillig kode for generelle AI modeller for å hjelpe bedrifter å forberede seg på regelverket, samtidig som bøter på opptil 35 millioner euro eller 7 prosent av global omsetning ligger i bunn for alvorlige brudd.

Samtidig er det betydelig bekymring i europeisk næringsliv for at Europa kan bli overregulert på AI, noe som er påpekt både av store industrikonsern og toppledere.

Styret må derfor balansere to hensyn:

  • Hvordan utnytte AI som konkurransefortrinn

  • Hvordan sikre at virksomheten ikke bremses unødig av frykt for regelverk

1.3 Forventninger til styrets kompetanse og styring

Store styre- og konsulenthus peker på at AI nå er et styreansvar på linje med finansiell rapportering, IT-sikkerhet og personvern. Styret forventes å forstå overordnede implikasjoner av AI for forretningsmodellen, risikoeksponering og samfunnsansvar, selv om detaljene håndteres av administrasjonen.

Med andre ord: I 2026 kan ikke styret lenger si at AI er for teknisk til å diskuteres i styrerommet.

2. Hva betyr AI for styreansvaret i 2026?

Når vi spør hvordan styret bør ta stilling til AI, handler det egentlig om tre ting:

  1. Strategisk retning

  2. Risikostyring og etterlevelse

  3. Kompetanse og organisering

2.1 Strategisk retning: AI som del av verdiskapingen

Styret har ansvar for å påse at virksomheten har en robust strategi. I 2026 innebærer det å ta stilling til minst tre spørsmål:

  • Hvilke deler av forretningsmodellen kan styrkes av AI i dag og de neste 3 til 5 årene

  • Hvilke konkurrenter eller nye aktører kan true oss ved å bruke AI smartere

  • Hvor stor del av vekst- og effektivitetsambisjonene våre bygger på AI

Styret bør forvente at administrasjonen kan svare konkret på hvor AI allerede skaper verdi, og hvor potensialet ligger. Uten dette blir diskusjonen om AI enten teoretisk eller reaktiv.

2.2 Risikostyring: Fra teknologi til virksomhetskritisk risiko

AI påvirker flere risikoområder som allerede ligger på styrets bord:

  • Operasjonell risiko

  • Omdømmerisiko

  • Personvern og informasjonssikkerhet

  • Juridisk og regulatorisk risiko

  • Modell- og beslutningsrisiko

EU AI Act forsterker dette ved å stille krav til blant annet risikostyring, datakvalitet, transparens, dokumentasjon, menneskelig kontroll og overvåking av AI systemer, spesielt for løsninger som klassifiseres som høyrisiko.

Styret trenger ikke å kjenne paragrafene i detalj, men må sikre at:

  • Selskapet har en tydelig AI policy og et governance rammeverk

  • Vesentlige AI løsninger blir risikovurdert og klassifisert

  • Ansvar og prosesser ved hendelser er definert på forhånd

2.3 Kompetanse: Har styret selv tilstrekkelig AI forståelse?

Styret trenger ikke dataforskere, men det trengs nok kompetanse til å:

  • Forstå forskjellen på generativ AI, maskinlæring og tradisjonelle algoritmer

  • Se når AI prosjektforslag er strategisk begrunnede, og når de er ren hype

  • Stille gode kontrollspørsmål om data, risiko og etterlevelse

Det kan løses på flere måter:

  • En eller to styremedlemmer med tydelig erfaring innen teknologi og digitalisering

  • Fast kvartals faglig oppdatering om AI og regulering

  • Tilgang til eksterne fagressurser som kan brukes ved større beslutninger

Styret bør eksplisitt diskutere om dagens sammensetning og arbeidsform gir tilstrekkelig AI kompetanse frem mot 2026.

3. Fra eksperimenter til forretningskritisk infrastruktur

I mange virksomheter har AI begynt som små eksperimenter og pilotprosjekter. I 2026 vil typiske AI bruksområder være:

  • Automatisering av kundedialog og saksbehandling

  • Analyse og beslutningsstøtte i kreditt, prising og planlegging

  • Prediktivt vedlikehold, logistikkoptimalisering og ressursplanlegging

  • Tekst- og dokumentautomatisering i juridiske, økonomiske og administrative prosesser

Når slike løsninger kobles inn i kjerneprosesser, blir de en del av forretningskritisk infrastruktur. Da kan ikke styret lenger betrakte AI som et oppstartsprosjekt.

Styret bør derfor etterspørre en oversikt over:

  • Hvilke AI løsninger brukes i virksomheten i dag

  • Hvilke prosesser, beslutninger og kunder blir påvirket

  • Hvilke tredjeparter og leverandører virksomheten er avhengig av

  • Hvilke planer som finnes for beredskap og fallback dersom AI systemer svikter

4. Seks spørsmål ethvert styre bør kunne svare på om AI i 2026

For å gjøre AI konkret i styrearbeidet, kan styret bruke følgende seks nøkkelspørsmål som rammeverk:

  1. Hvor skaper AI verdi i selskapet vårt i dag, og hva er de tre viktigste prioriterte mulighetene fremover?

  2. Hvilke AI relaterte risikoer er mest relevante for oss, og hvordan håndteres de i dag?

  3. Hvordan sikre vi etterlevelse av EU AI Act, GDPR og annen relevant regulering når vi tar i bruk AI?

  4. Hvem har helhetlig ansvar for AI governance og rapportering til styret?

  5. Hvilken AI kompetanse har styret og toppledelsen, og hvordan skal vi styrke den?

  6. Hvilke nøkkeltall og rapporter ønsker styret å se jevnlig om AI initiativene?

Hvis styret ikke kan svare tydelig på disse seks spørsmålene, er det et signal om at arbeidet med AI må struktureres bedre.

5. Hvordan bør styret strukturere arbeidet med AI?

Det finnes ikke én riktig modell, men det er noen prinsipper som går igjen i virksomheter som lykkes.

5.1 Klart mandat og tydelig eierskap

Styret bør:

  • Avklare om AI skal behandles som en del av den ordinære strategiprosessen, eller ha en egen del i styrets årsplan

  • Definere hva styret forventer at administrasjonen leverer på AI område innen hvert årsmøte

  • Peke ut hvem i ledelsen som har hovedansvar for AI (for eksempel COO, CDO eller CIO)

For større virksomheter kan det også være aktuelt med et eget teknologi- eller risiko- og bærekraftsutvalg som har AI som fast tema.

5.2 Prinsipper og retningslinjer for ansvarlig bruk av AI

Styret bør ta stilling til et sett overordnede prinsipper, for eksempel:

  • Vi skal bruke AI på en måte som styrker kundeverdi og tillit

  • Vi skal være åpne og transparente der AI har betydning for kunders rettigheter og beslutninger

  • Vi skal unngå diskriminering og urimelig forskjellsbehandling som følge av AI modeller

  • Vi skal ha mennesker i loopen i kritiske beslutninger

Disse prinsippene bør oversettes til praktiske retningslinjer og kontrollpunkter for administrasjonen.

5.3 Beslutningskriterier for AI prosjekter

Styret kan be om at alle større AI initiativ vurderes etter noen standardiserte kriterier:

  • Strategisk relevans: På hvilken måte støtter dette selskapets strategi

  • Forretningscase: Hvilke effekter forventes, og hvordan måles de

  • Datagrunnlag: Hvilke data brukes, og har vi rett til å bruke dem på denne måten

  • Risiko og etterlevelse: Hvordan påvirker løsningen risiko og regulatoriske krav

  • Endringsledelse: Hvilke prosesser og roller endres, og hvordan håndteres det

Når slike kriterier er etablert, blir styrets diskusjoner mer sammenlignbare fra prosjekt til prosjekt.

6. Konkrete beslutninger styret bør ta i 2026

For at AI ikke skal forbli et diffust tema, bør styret i løpet av 2026 ta stilling til noen konkrete vedtak.

Eksempler:

  1. Vedta overordnede prinsipper for bruk av AI i virksomheten
    Et kort sett prinsipper som danner grunnlag for policy, styringssystemer og kommunikasjon.

  2. Behandle og forankre en AI strategi eller AI handlingsplan
    Enten som egen plan eller som del av den digitale strategien, med klare prioriteringer og ambisjoner.

  3. Fastsette rammer for investeringer i AI
    For eksempel hvor stor andel av IT eller innovasjonsbudsjettet som kan brukes på AI, og hvilke krav som stilles til lønnsomhet og skalering.

  4. Beslutte et program for kompetanseheving i styret og toppledelsen
    Et minimumsnivå for forståelse av AI, regelverk og forretningsmuligheter.

  5. Definere krav til rapportering om AI til styret
    For eksempel kvartalsvis oppdatering om status på nøkkelprosjekter, risiko, hendelser og regulatoriske endringer.

  6. Fastsette policy for bruk av generativ AI internt
    Hvem kan bruke hva, til hvilke formål, med hvilke begrensninger og hvilke krav til kvalitetssikring.

  7. Avklare ansvar og prosess ved AI relaterte hendelser
    Hvem håndterer hendelser, hvordan informeres styret, og hvem har ansvar for dialog med tilsyn.

7. En praktisk 90 dagers plan for styret

For mange styrer er utfordringen å komme i gang på en strukturert måte. En enkel 90 dagers plan kan se slik ut:

Første 30 dager: Innsikt og status

  • Sett av tid i et styremøte til en strategisk orientering om AI

  • Be administrasjonen lage en oversikt over dagens AI bruk og planlagte initiativ

  • Få en kort vurdering av hvordan EU AI Act sannsynligvis vil påvirke virksomheten

Dag 30 til 60: Rammer og prioriteringer

  • Diskuter og beslut et utkast til prinsipper for ansvarlig AI bruk

  • Identifiser 3 til 5 viktigste AI muligheter for selskapet

  • Avklar hvem i ledelsen som har hovedansvar for AI governance

Dag 60 til 90: Vedtak og implementering

  • Vedta prinsipper og hovedrammer for AI strategi

  • Vedta hvordan styret ønsker å få rapportert på AI fremover

  • Planlegg nødvendige kompetansetiltak for styret og nøkkelpersoner i ledelsen

Poenget er ikke at planen må følges slavisk, men at styret tar aktive steg fra innsikt til struktur og beslutninger.

8. Vanlige innvendinger fra styrer og hvordan møte dem

I styrediskusjoner om AI dukker de samme innvendingene ofte opp. Det lønner seg å ha et bevisst forhold til dem.

«Vi er for små til at dette gjelder oss»

Mindre virksomheter har ofte ikke egne AI team, men de bruker likevel AI gjennom skyplattformer, standardprogramvare og eksterne leverandører. Selv om egne systemer ikke er høyrisiko etter AI Act, kan man være en del av en verdikjede der kravene treffer.

Styret i mindre virksomheter bør derfor stille de samme overordnede spørsmålene, men med enklere og mer pragmatiske tiltak.

«Leverandørene våre tar seg av dette»

Leverandører kan håndtere teknologien, men styret kan ikke outsource ansvaret for risiko, regulering og etikk. EU AI Act legger betydelig ansvar på de som utvikler og bruker AI systemer, og forventer dokumentasjon, kontraktsklausuler og aktiv oppfølging mellom aktørene.

Styret bør derfor etterspørre:

  • Hvordan vurderes og følges AI leverandører opp

  • Hvilke kontraktskrav stilles til transparens, datasikkerhet og ansvar

  • Hvordan virksomheten selv verifiserer at leverandørene lever opp til kravene

«Vi venter til regelverket er ferdig»

Regelverket er i hovedsak ferdig vedtatt. Diskusjonen fremover dreier seg mest om praktisering, veiledning og prioriteringer. Å vente på «perfekt klarhet» er en høy risiko strategi, særlig når det tar tid å bygge kompetanse, datafundament og gode prosesser.

Styret bør i stedet be administrasjonen lage en plan for gradvis tilpasning til EU AI Act og ansvarlig AI bruk, og heller justere underveis når veiledning og praksis blir tydeligere.

«Vi vil ikke overinvestere i noe som kan bli begrenset»

Det er rimelig å være varsom. Samtidig er det verdt å merke seg at mye regulering handler om å sikre kvalitet, dokumentasjon og kontroll, ikke å forby produktiv AI bruk. Reguleringen er ment å balansere innovasjon og sikkerhet, ikke stoppe verdiskaping.

Styrets oppgave er derfor å sørge for at investeringer i AI gjøres:

  • Der virksomheten har tydelig strategisk gevinst

  • Med bevisst forhold til data og eierskap

  • Med innebygd governance og etterlevelse fra starten av

9. Rollen til styreleder og daglig leder

AI er et område der grensen mellom styrets og administrasjonens ansvar lett kan bli uklar. Det gjør rolleforståelse ekstra viktig.

Styreleder

Styreleder bør:

  • Sørge for at AI og teknologi inngår som naturlig del av styrets årsplan

  • Legge til rette for gode strategiske diskusjoner, ikke bare enkeltvedtak

  • Sikre at styret har tilgang til nødvendig kompetanse internt eller eksternt

  • Følge opp at styringssignaler om AI faktisk følges opp over tid

Daglig leder

Daglig leder bør:

  • Eie AI strategien og forankre den i styret

  • Organisere ansvar for AI i ledergruppen og mot fagmiljøene

  • Sikre at AI arbeid er koblet til konkrete mål, budsjetter og oppfølging

  • Sørge for at styret får relevant og forståelig rapportering om status, risiko og hendelser knyttet til AI

Når rollene er tydelige, blir AI et tema der styre og administrasjon spiller hverandre gode, ikke et område der alle tror noen andre har kontrollen.

10. Slik bør styret ta stilling til AI i 2026

Oppsummert bør styret i 2026:

  • Erkjenne at AI er et styreansvar på linje med andre strategiske og regulerte områder

  • Forstå at EU AI Act og andre reguleringer gjør ansvarlig AI bruk til et styringskrav, ikke et valgfritt tema

  • Be om en tydelig oversikt over dagens og planlagt AI bruk, med tilhørende risiko og muligheter

  • Vedta prinsipper, rammer og rapportering som gjør AI håndterbart i ordinært styrearbeid

  • Sikre nødvendig kompetanse i styret og toppledelsen til å føre reelle diskusjoner om AI

Styrets mål bør ikke være å bli eksperter på algoritmer. Målet bør være å sørge for at virksomheten bruker AI strategisk, ansvarlig og lønnsomt, med tydelige beslutninger, strukturer og ansvar.

Da blir 2026 ikke bare året der nytt regelverk trer i kraft, men året der styret tar reell styring på kunstig intelligens.

Martin Nipedal
Neste

AIO, GEO og LLMO er ikke nytt bare nye ord for jobben du burde gjort