Przejdź do treści

Zgodność z AI Act - klasyfikacja, rejestr AI i dokumentacja

AI Act wymaga od organizacji uporządkowania sposobu, w jaki wykorzystują systemy AI: od inwentaryzacji i klasyfikacji ryzyka, przez dokumentację i rejestr AI, po nadzór ludzki, kontrolę dostępu i audit trail.

Co zyskuje Państwa organizacja?

Gotowość audytowa oparta na faktach

Organizacja otrzymuje mapę systemów AI, klasyfikację ryzyka i plan domknięcia luk. Zgodność można wtedy wykazać dokumentacją, rejestrem i kontrolami, a nie wyłącznie deklaracją.

Świadome decyzje zarządu

Każdy system AI ma przypisaną kategorię ryzyka, właściciela biznesowego, status zgodności i wymagane działania. Zarząd widzi, które rozwiązania wymagają pilnej reakcji, a które można zaplanować w roadmapie.

Ograniczenie ryzyka regulacyjnego

AI Act przewiduje sankcje za najpoważniejsze naruszenia. Wczesna klasyfikacja systemów i usunięcie luk pomagają ograniczyć ryzyko regulacyjne, operacyjne i reputacyjne związane z niekontrolowanym wykorzystaniem AI.

Spójność z RODO, NIS2 i DORA

Wymagania dotyczące danych, kontroli dostępu, bezpieczeństwa, dokumentacji i nadzoru często łączą się z innymi programami zgodności. Dlatego traktujemy AI Act jako część szerszego systemu governance, a nie osobny projekt oderwany od RODO, NIS2 czy DORA.

Co dokładnie realizujemy w tym projekcie

Inwentaryzacja systemów AI

Identyfikujemy systemy AI, komponenty AI i zastosowania modeli w organizacji - zarówno rozwiązania tworzone wewnętrznie, kupowane od dostawców, jak i funkcje AI wbudowane w istniejące aplikacje enterprise.

Klasyfikacja ryzyka według AI Act

Przypisujemy systemy AI do właściwych kategorii ryzyka: minimalnego, ograniczonego, wysokiego albo niedozwolonego. Analizujemy przeznaczenie systemu, użytkowników, dane, wpływ na osoby fizyczne oraz rolę organizacji w łańcuchu odpowiedzialności.

Gap analysis względem obowiązków

Porównujemy obecny stan z wymaganiami dla danej kategorii ryzyka. Sprawdzamy dokumentację, nadzór ludzki, jakość danych, przejrzystość, cyberbezpieczeństwo, logowanie użycia, monitoring i zasady kontroli dostępu.

Rejestr AI i karty systemów

Tworzymy rejestr systemów AI oraz karty systemów opisujące przeznaczenie, właściciela, dostawcę, dane, model, kategorię ryzyka, użytkowników, kontrole, status zgodności i wymagane działania.

Dokumentacja do audytu i kontroli

Przygotowujemy uporządkowany pakiet dokumentacji: klasyfikację systemów, opis ryzyk, decyzje właścicielskie, przypisane kontrole, ścieżkę audytu, plan remediacji i status realizacji działań. Dokumentacja pomaga organizacji wykazać, co zostało ocenione, na jakiej podstawie i jakie decyzje podjęto.

Polityki, role i nadzór ludzki

Definiujemy polityki użycia AI, role i odpowiedzialności, zasady akceptacji nowych systemów, mechanizmy nadzoru człowieka oraz ścieżki eskalacji dla decyzji lub rekomendacji wspieranych przez AI.

Jak realizujemy projekty w tym obszarze

Zaczynamy od warsztatu i inwentaryzacji. Ustalamy, jakie systemy AI działają w organizacji, kto ich używa, kto je dostarcza, na jakich danych pracują i jakie decyzje lub procesy wspierają.

Następnie klasyfikujemy systemy według kategorii ryzyka i przeprowadzamy gap analysis względem obowiązków wynikających z AI Act. Wynikiem jest rejestr AI, lista luk, priorytety działań oraz plan remediacji.

Podstawowy framework zgodności wdrażamy zwykle w horyzoncie 4 tygodni. Dalsze domykanie luk planujemy etapami - w zależności od liczby systemów, kategorii ryzyka, dostępności dokumentacji i wymagań bezpieczeństwa. Interpretacje o charakterze wiążącym prawnie potwierdzamy z doradcą prawnym klienta.

Stack technologiczny

AI Act - Regulation (EU) 2024/1689NIST AI RMFISO/IEC 42001OWASP LLM Top 10UiPath AI Trust LayerRODONIS2DORAISO 27001

Doświadczenie zespołu w obszarze AI, cyberbezpieczeństwa i zgodności regulacyjnej potwierdza gotowość SNOK do wspierania organizacji w przygotowaniu do wymagań AI Act.

Gdzie wdrażaliśmy podobne rozwiązania

Spółka z sektora finansowego

Inwentaryzacja i klasyfikacja systemów AI, przygotowanie rejestru AI oraz dokumentacji zgodności pod wymagania AI Act i DORA.

Operator usług kluczowych

Gap analysis AI Act zintegrowany z programem NIS2. Projekt pozwolił prowadzić jeden program zgodności zamiast osobnych, niespójnych inicjatyw.

Grupa kapitałowa

Przygotowanie polityk użycia AI, ról właścicielskich i zasad nadzoru człowieka dla asystentów AI wykorzystywanych w spółkach zależnych.

FAQ - Zgodność z AI Act

Od kiedy AI Act obowiązuje? +

AI Act wszedł w życie w 2024 roku, ale jego przepisy stosuje się etapami. Część obowiązków zaczęła już obowiązywać, a kolejne wymagania są uruchamiane w następnych terminach. W praktyce pierwszym krokiem nie jest przygotowanie pełnej dokumentacji dla wszystkich systemów, tylko inwentaryzacja, klasyfikacja ryzyka i plan działań według priorytetów.

Czy AI Act dotyczy mojej organizacji? +

Jeżeli organizacja dostarcza, wdraża lub wykorzystuje systemy AI, najczęściej tak. Zakres obowiązków zależy od roli organizacji, kategorii ryzyka systemu, przeznaczenia rozwiązania i danych, na których system pracuje. Większość zastosowań biznesowych będzie wymagała przynajmniej klasyfikacji i podstawowej dokumentacji.

Jakie kary grożą za niezgodność? +

AI Act przewiduje wysokie kary za najpoważniejsze naruszenia, w tym za stosowanie praktyk zakazanych. Ostateczna wysokość zależy od rodzaju naruszenia, jego skali, wagi sprawy, wielkości organizacji oraz roli, jaką organizacja pełni wobec danego systemu AI.

Czy SNOK zapewnia wiążącą interpretację prawną? +

Nie. SNOK dostarcza klasyfikację, ocenę ryzyka, rejestr AI oraz dokumentację techniczno-organizacyjną. Interpretacje o charakterze wiążącym prawnie wymagają potwierdzenia przez doradcę prawnego. Współpracujemy w tym zakresie z zespołem prawnym klienta.

Skontaktuj się z nami