Ljus
Mörk
Författare
Simon Florin
Technical Security Advisor
Read time
4 min
17 februari 2026
I den första delen beskrev vi hur Shadow AI växer fram i organisationer, hur medarbetare använder generativa AI-tjänster och molnbaserade verktyg utanför IT-avdelningens kontroll. Resultatet blev nya attackytor, ökad risk för dataläckage och brist på styrning.
I denna andra del undersöker vi de juridiska och regulatoriska utmaningarna. Vi analyserar NIS2-direktivet, GDPR och cybersäkerhetslagen utifrån ledningens ansvar för Shadow AI, samt granskar internationella ramverk från ENISA och NIST för AI-riskhantering.
NIS2 förändrar allt. "Det var för tekniskt" funkar inte längre som ursäkt. "Vi visste inte bättre" skyddar ingen. Ledningen bär personligt ansvar och det går inte att förhandla om.
Shadow AI utmanar detta på flera sätt:
Data som försvinner spårlöst. En medarbetare använder en AI-tjänst för att analysera kunddata. Effektivt? Absolut. Men i samma ögonblick lämnar känslig information organisationens kontrollerade miljö. NIS2:s krav på riskhantering och kontroll? De kräver att man faktiskt vet vart data tar vägen.
Incidentrapportering i blindo. NIS2 vill ha snabba rapporter när något händer. Men tänk dig att försöka rapportera incidenter från AI tjänster som varken upptäcks eller organisationen är medveten om? Vilka incidenter? I vilka system? Utan insyn i Shadow AI användningen saknas hela fundamentet för incidenthantering.
NIS2 kräver att organisationer implementerar lämpliga tekniska och organisatoriska åtgärder. Shadow AI innebär att dessa åtgärder måste omfatta även icke-sanktionerad AI-användning. Det räcker inte att säkra den godkända infrastrukturen.
Vad händer egentligen när en medarbetare kopierar kunddata in i ChatGPT för att snabbt sammanfatta ett mejl?
Eller när personalinformation matas in i en AI-tjänst för att skapa en rapport? Från ett GDPR-perspektiv uppstår då en personuppgiftsbehandling och det är här problemen börjar.
Tre artiklar du behöver känna till
När vi talar om Shadow AI och GDPR är det tre artiklar som blir särskilt kritiska: artikel 28, 33 och 34. Låt oss bryta ner vad de innebär i praktiken.
Enligt artikel 28 måste organisationen ha ett personuppgiftsbiträdesavtal med varje extern leverantör som behandlar personuppgifter å deras vägnar.
Men när en medarbetare använder en icke-godkänd AI-tjänst? Då saknas detta avtal helt.
Detta är inte bara en teknisk brist, det är en juridisk överträdelse.
Artikel 33 är tydlig: personuppgiftsincidenter ska anmälas till tillsynsmyndigheten inom 72 timmar.
Men tänk dig detta scenario: En AI-tjänst drabbas av ett dataintrång. Känslig information läcker ut. Problemet? Organisationen vet inte ens att tjänsten används.
Hur ska man då kunna rapportera inom 72 timmar? Shadow AI skapar en blind fläck som gör regelefterlevnad nästan omöjlig.
Artikel 34 kräver att berörda individer informeras om incidenten när risken är hög.
Utan spårbarhet och dokumentation blir det svårt att avgöra vilka som påverkas. Detta kan leda till sekundära sanktioner och ytterligare ansvarsfrågor.
Det är inte bara GDPR som slår larm. Flera internationella organisationer har redan börjat adressera AI-säkerhetsrisker.
ENISA betonar behovet av styrning, transparens och kontroll över dataflöden i AI-system. De lyfter särskilt fram risker med externa leverantörer och bristande insyn i tränings- och inferensmiljöer.
Shadow AI står i direkt konflikt med ENISAs princip om kontrollerad och dokumenterad AI-användning. Varje icke-godkänd tjänst är en avvikelse från dessa grundprinciper.
NIST:s ramverk fokuserar på fyra kärnfunktioner: Govern, Map, Measure och Manage.
Shadow AI innebär att organisationen misslyckas redan i den första fasen, Govern. Utan policy, ansvarsfördelning och riskklassificering för AI saknas grunden för hela ramverket.
Enligt Netskope Cloud and Threat Report 2026 ökar användningen av generativa AI-tjänster kraftigt i företag. Rapporten visar att en stor andel av dessa tjänster används utan säkerhetsgranskning.
Detta innebär att känslig data ofta exponeras mot externa molntjänster utan att organisationen har insyn i lagring, vidareanvändning eller modellträning.
Shadow AI är alltså inte ett teoretiskt hot!
Det är en pågående realitet.
Den svenska implementeringen av NIS2 genom cybersäkerhetslagen innebär att ledningen måste:
Ledningen måste aktivt säkerställa att AI-användning omfattas av riskanalys, leverantörsbedömning och kontinuerlig övervakning.
Passivitet är inte längre acceptabel.
Shadow AI kräver både tekniska och organisatoriska åtgärder. Även med de bästa säkerhetslösningarna på plats behöver organisationer tydliga styrdokument och en omfattande AI-policy som reglerar användning, ansvar och processer.
Här är grunderna för en effektiv AI-policy bör definiera:
Policyn måste vara tydlig, förankrad i ledningen och kommunicerad till alla medarbetare.
Utbildning är avgörande. Många använder AI av effektivitetsskäl, inte av illvilja. Genom att erbjuda säkra och godkända alternativ minskar incitamentet för Shadow AI.
Shadow AI är inte bara en IT-fråga. Det är en fråga om juridik, styrning och ledningsansvar. NIS2 skärper kraven på riskhantering och incidentrapportering.
GDPR ställer tydliga krav på avtal, transparens och snabb anmälan. Internationella riktlinjer från ENISA och NIST visar att AI-risk måste hanteras strukturerat och dokumenterat.
Organisationer som ignorerar Shadow AI riskerar inte bara dataläckage, de riskerar sanktionsavgifter, personligt ledningsansvar och förlorat förtroende.
I en värld där AI-verktyg är ett klick, måste styrningen vara lika snabb som tekniken.
Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom cybersäkerhetssfären.
