Inwentaryzacja systemów AI
Identyfikujemy systemy AI, komponenty AI i zastosowania modeli w organizacji - zarówno rozwiązania tworzone wewnętrznie, kupowane od dostawców, jak i funkcje AI wbudowane w istniejące aplikacje enterprise.
AI Act wymaga od organizacji uporządkowania sposobu, w jaki wykorzystują systemy AI: od inwentaryzacji i klasyfikacji ryzyka, przez dokumentację i rejestr AI, po nadzór ludzki, kontrolę dostępu i audit trail.
Organizacja otrzymuje mapę systemów AI, klasyfikację ryzyka i plan domknięcia luk. Zgodność można wtedy wykazać dokumentacją, rejestrem i kontrolami, a nie wyłącznie deklaracją.
Każdy system AI ma przypisaną kategorię ryzyka, właściciela biznesowego, status zgodności i wymagane działania. Zarząd widzi, które rozwiązania wymagają pilnej reakcji, a które można zaplanować w roadmapie.
AI Act przewiduje sankcje za najpoważniejsze naruszenia. Wczesna klasyfikacja systemów i usunięcie luk pomagają ograniczyć ryzyko regulacyjne, operacyjne i reputacyjne związane z niekontrolowanym wykorzystaniem AI.
Wymagania dotyczące danych, kontroli dostępu, bezpieczeństwa, dokumentacji i nadzoru często łączą się z innymi programami zgodności. Dlatego traktujemy AI Act jako część szerszego systemu governance, a nie osobny projekt oderwany od RODO, NIS2 czy DORA.
Identyfikujemy systemy AI, komponenty AI i zastosowania modeli w organizacji - zarówno rozwiązania tworzone wewnętrznie, kupowane od dostawców, jak i funkcje AI wbudowane w istniejące aplikacje enterprise.
Przypisujemy systemy AI do właściwych kategorii ryzyka: minimalnego, ograniczonego, wysokiego albo niedozwolonego. Analizujemy przeznaczenie systemu, użytkowników, dane, wpływ na osoby fizyczne oraz rolę organizacji w łańcuchu odpowiedzialności.
Porównujemy obecny stan z wymaganiami dla danej kategorii ryzyka. Sprawdzamy dokumentację, nadzór ludzki, jakość danych, przejrzystość, cyberbezpieczeństwo, logowanie użycia, monitoring i zasady kontroli dostępu.
Tworzymy rejestr systemów AI oraz karty systemów opisujące przeznaczenie, właściciela, dostawcę, dane, model, kategorię ryzyka, użytkowników, kontrole, status zgodności i wymagane działania.
Przygotowujemy uporządkowany pakiet dokumentacji: klasyfikację systemów, opis ryzyk, decyzje właścicielskie, przypisane kontrole, ścieżkę audytu, plan remediacji i status realizacji działań. Dokumentacja pomaga organizacji wykazać, co zostało ocenione, na jakiej podstawie i jakie decyzje podjęto.
Definiujemy polityki użycia AI, role i odpowiedzialności, zasady akceptacji nowych systemów, mechanizmy nadzoru człowieka oraz ścieżki eskalacji dla decyzji lub rekomendacji wspieranych przez AI.
Zaczynamy od warsztatu i inwentaryzacji. Ustalamy, jakie systemy AI działają w organizacji, kto ich używa, kto je dostarcza, na jakich danych pracują i jakie decyzje lub procesy wspierają.
Następnie klasyfikujemy systemy według kategorii ryzyka i przeprowadzamy gap analysis względem obowiązków wynikających z AI Act. Wynikiem jest rejestr AI, lista luk, priorytety działań oraz plan remediacji.
Podstawowy framework zgodności wdrażamy zwykle w horyzoncie 4 tygodni. Dalsze domykanie luk planujemy etapami - w zależności od liczby systemów, kategorii ryzyka, dostępności dokumentacji i wymagań bezpieczeństwa. Interpretacje o charakterze wiążącym prawnie potwierdzamy z doradcą prawnym klienta.
Stack technologiczny
Doświadczenie zespołu w obszarze AI, cyberbezpieczeństwa i zgodności regulacyjnej potwierdza gotowość SNOK do wspierania organizacji w przygotowaniu do wymagań AI Act.
Spółka z sektora finansowego
Inwentaryzacja i klasyfikacja systemów AI, przygotowanie rejestru AI oraz dokumentacji zgodności pod wymagania AI Act i DORA.
Operator usług kluczowych
Gap analysis AI Act zintegrowany z programem NIS2. Projekt pozwolił prowadzić jeden program zgodności zamiast osobnych, niespójnych inicjatyw.
Grupa kapitałowa
Przygotowanie polityk użycia AI, ról właścicielskich i zasad nadzoru człowieka dla asystentów AI wykorzystywanych w spółkach zależnych.
AI Act wszedł w życie w 2024 roku, ale jego przepisy stosuje się etapami. Część obowiązków zaczęła już obowiązywać, a kolejne wymagania są uruchamiane w następnych terminach. W praktyce pierwszym krokiem nie jest przygotowanie pełnej dokumentacji dla wszystkich systemów, tylko inwentaryzacja, klasyfikacja ryzyka i plan działań według priorytetów.
Jeżeli organizacja dostarcza, wdraża lub wykorzystuje systemy AI, najczęściej tak. Zakres obowiązków zależy od roli organizacji, kategorii ryzyka systemu, przeznaczenia rozwiązania i danych, na których system pracuje. Większość zastosowań biznesowych będzie wymagała przynajmniej klasyfikacji i podstawowej dokumentacji.
AI Act przewiduje wysokie kary za najpoważniejsze naruszenia, w tym za stosowanie praktyk zakazanych. Ostateczna wysokość zależy od rodzaju naruszenia, jego skali, wagi sprawy, wielkości organizacji oraz roli, jaką organizacja pełni wobec danego systemu AI.
Nie. SNOK dostarcza klasyfikację, ocenę ryzyka, rejestr AI oraz dokumentację techniczno-organizacyjną. Interpretacje o charakterze wiążącym prawnie wymagają potwierdzenia przez doradcę prawnego. Współpracujemy w tym zakresie z zespołem prawnym klienta.