Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I hele Norden stilles ledelsesteamene i banker, produktionsvirksomheder, offentlige myndigheder og softwarevirksomheder det samme spørgsmål.
Hvor hurtigt kan vi sætte AI i arbejde?
Dette rejser spørgsmålet om, hvilke handlinger der bør få lov til at foregå autonomt?
AI-agenter er ikke bare chatbots
AI-agenter bliver i stigende grad en integreret del af en organisations arbejdsgange – ikke blot bedre chat-grænseflader.
De er digitale medarbejdere med evnen til at kalde API'er, udløse arbejdsgange, påvirke produktionssystemer og handle med maskinens hastighed.
Det lover reelle gevinster. Men det fremhæver også, hvor ansvarlighed og styring af AI kan svigte, eller hvor vi ikke kan garantere menneskelig overvågning.
I EU har DORA været gældende for finansielle enheder siden 17. januar 2025.
NIS2 udvidede forpligtelserne til cyberrisikostyring til 18 kritiske sektorer og pålagde eksplicit den øverste ledelse ansvaret for cyberrisici.
Og 2. august 2026 træder AI-loven ind i sin primære implementeringsfase, herunder regler for højrisiko-AI-systemer og starten på en bredere håndhævelse.
For nordiske organisationer er styring ikke længere en fremtidig diskussion – det er et driftskrav nu.
Det aktuelle trusselsbillede bør gøre en ende på enhver resterende selvtilfredshed: World Economic Forum siger, at 94 procent af respondenterne forventer, at AI vil være den mest betydningsfulde drivkraft for forandring inden for cybersikkerhed i det kommende år, mens 87 procent identificerede AI-relaterede sårbarheder som den hurtigst voksende cyberrisiko i løbet af 2025.
WEF fandt også, at 54 procent af store organisationer ser sårbarheder hos tredjeparter og i forsyningskæden som deres største hindring for cybermodstandsdygtighed.
Det sidste punkt er især vigtigt i Europa, hvor organisationer er afhængige af lange digitale værdikæder: cloudplatforme, SaaS-værktøjer, betalingssystemer, outsourcede operationer, offentlig-private integrationer og internationale softwareforsyningskæder.
Når en AI-agent agerer på tværs af disse lag, bliver identitet både katalysator og eksplosionsradius.
Den gamle adgangsmodel er ikke nok
Alligevel forsøger de fleste organisationer stadig at styre disse nye arbejdsgange med en model, der er bygget til en ældre verden: Et menneske logger ind, et system giver adgang, en handling finder sted, og logfilerne forklarer det bagefter.
Det er ikke nok, når software kan igangsætte en betaling, godkende en leverandør, implementere kode i produktionen, få adgang til følsomme data eller udløse en sikkerhedsaktion, der påvirker tilgængeligheden.
I disse øjeblikke er det centrale spørgsmål ikke, om systemet blev godkendt på et eller andet tidspunkt.
Det er, om den handling overhovedet burde have været tilladt at ske autonomt?
Dette kan løses direkte ved at prioritere en autorisationsmodel med menneskelig indgriben, der identificerer specifikke kategorier af handlinger, hvor menneskelig godkendelse er påkrævet.
Højrisiko-handlinger kræver et menneskeligt ja
Jeg mener, at bestyrelser bør vedtage et simpelt princip nu: ikke alle AI-handlinger kræver et menneske, men alle højrisiko-AI-handlinger kræver en dokumenterbar menneskelig beslutning.
Det betyder, at der skal defineres tærskler, før agenter når produktionen: En overførsel over et bestemt beløb; en betaling til en ny modpart; adgang til følsom intellektuel ejendom eller regulerede data; en produktionsimplementering i et kritisk miljø; eller en sikkerhedsforanstaltning, der kan tage tjenester offline. Dette er ikke detaljer i arbejdsgangen – det er grænser for styringen.
Human-in-the-loop bør være en kontrol: politikdrevet, kontekstrig og forbeholdt de punkter, hvor ansvarlighed faktisk betyder noget. Håndteres det korrekt, bremser det ikke automatiseringen.
Det gør det modsatte.
Det giver organisationer mulighed for at automatisere aggressivt, hvor risikoen er lav, samtidig med at verificeret menneskelig godkendelse forbeholdes den mindre gruppe af handlinger, hvor konsekvenserne er væsentlige. Hastigheden bevares. Ansvarligheden styrkes.
Det, der betyder noget nu, er ikke så meget en enkelt produktannoncering som den bredere retning: Markedet bevæger sig mod styringsmodeller, hvor rutinehandlinger kan forblive automatiserede, mens definerede højrisikohandlinger eskaleres til en verificeret menneskelig beslutningstager.
For ledelsesteam er dagsordenen nu overraskende praktisk.
Hvilke handlinger må en AI-agent udføre på egen hånd? Hvilke handlinger kræver menneskelig godkendelse?
Og hvordan vil organisationen bevise, hvem der godkendte hvad, under hvilken politik og med hvilket sikkerhedsniveau?
Dette er de spørgsmål, ledelsesteam skal besvare nu, hvis de ønsker at styre agentbaseret AI ansvarligt.
Den næste fase af AI-implementering vil ikke blive defineret af, hvem der automatiserer mest.
Den vil blive defineret af, hvem der kan automatisere ansvarligt: Med maskinens hastighed, når risikoen er lav, og med klart menneskeligt ansvar, når risikoen er høj.
Tillid er ikke hastighedens fjende. Det er det, der gør hastighed sikker at skalere.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
