EU:s AI Act trädde i kraft 2024 och inför krav på företag som använder eller utvecklar AI-system. Även som SME kan ni beröras – exempelvis om ni använder en chatbot på er webbplats för kundkontakt, ett AI-baserat rekryteringsverktyg som betygsätter kandidater, eller automatiserade beslutsstödsystem. AI Act delar in AI-system i riskkategorier där högrisksystem – som rekryteringsverktyg – omfattas av strikta krav på transparens, dokumentation och mänsklig kontroll. Vi hjälper er kartlägga vilka AI-system ni använder, bedöma riskklass och säkerställa att ni uppfyller gällande krav.

ESG är ett ramverk för att mäta och kommunicera ett företags hållbarhetsarbete inom miljö, socialt ansvar och bolagsstyrning. Det används av investerare, banker och affärspartners för att bedöma er verksamhet. CSRD är EU-direktivet som reglerar den lagstadgade hållbarhetsrapporteringen för större bolag. Som SME behöver ni inte upprätta en CSRD-rapport, men era affärspartners som gör det kommer att efterfråga ESG-data från er leverantörskedja. Att ha en tydlig ESG-struktur är därför affärsmässigt klokt även utan direkt rapporteringsskyldighet. Vi hjälper er bygga en struktur som är ändamålsenlig för just er verksamhet.

Det geopolitiska läget – inte minst konflikterna i Ukraina och Mellanöstern – har tydliggjort hur sårbar en leverantörskedja kan vara. Juridiskt är det viktigt att era avtal innehåller välformulerade force majeure-klausuler som tydliggör vad som gäller vid krig, sanktioner eller leveransavbrott. Lika viktigt är att ni har koll på om era leverantörer i sin tur är exponerade mot riskområden. Vi hjälper er granska befintliga avtal, stärka force majeure-klausuler och identifiera juridiska risker i leverantörskedjan innan de blir ett akut problem.

CSRD gäller direkt för stora börsnoterade bolag och större företag, men som SME påverkas ni indirekt på flera sätt. Ingår ni i leverantörskedjan till ett rapporteringsskyldigt bolag kommer de med stor sannolikhet att ställa krav på hållbarhetsdata från er – oavsett er egen storlek. Banker och investerare tillämpar också allt oftare hållbarhetskriterier vid kreditbedömning och investeringsbeslut. Att förstå och förbereda sig för dessa krav i god tid ger er ett konkurrensförsprång och minskar risken för att tappa viktiga affärsrelationer. Vi hjälper er kartlägga vilka krav som faktiskt berör er verksamhet och hur ni bygger en hållbar struktur som möter morgondagens förväntningar.

En grundläggande GDPR-efterlevnad innebär uppdaterad integritetspolicy, tecknade personuppgiftsbiträdesavtal med leverantörer som hanterar era kunders data, dokumenterade rutiner för hur personuppgifter hanteras och raderas samt processer för att hantera registrerades rättigheter. För juridisk vägledning kring GDPR-kraven hjälper vi er att göra en genomlysning av er nuvarande hantering och ta fram en konkret åtgärdsplan. För teknisk implementering rekommenderar vi att ni även involverar er IT-leverantör.

Vid GDPR-överträdelser kan Integritetsskyddsmyndigheten (IMY) utfärda böter på upp till 20 miljoner euro eller 4% av global årsomsättning – dock är bötesnivåerna för mindre företag normalt sett lägre och proportionerliga mot verksamhetens storlek och överträdelsens allvar. Minst lika allvarligt är att bristande efterlevnad skadar förtroendet hos kunder, partners och investerare. För hållbarhetsregler gäller att ett SME som inte kan redovisa sitt hållbarhetsarbete riskerar att exkluderas från upphandlingar och leverantörskedjor hos större bolag med rapporteringsskyldighet.