Skip to content

Управление на ИИ от първия ден: цената на дооборудваното съответствие за МСП

Регулациите за ИИ се сближават — Акт за ИИ на ЕС (август 2026 г.), щатски закони в САЩ, Азия. МСП, които изграждат управление от първия ден, избягват капана на разходите за дооборудване в стил GDPR.

Управление на ИИ от първия ден: цената на дооборудваното съответствие за МСП
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

През юни 2020 г. британски дистрибутор със 180 души, когото ще наречем Northbridge Trading, плати 142 000 GBP, за да дооборудва GDPR: регистър на дейностите по обработване, три оценки на въздействието върху защитата на данните, наръчник при нарушения, шест договора с доставчици и пренаписана CRM система с вграден принцип на защита още при проектирането — работа, която същите консултанти бяха оценили на 28 000 GBP, ако беше заложена две години по-рано. Оперативният директор, подписал онези фактури, днес стои пред същата пропаст — този път с ИИ.

Фактурата за дооборудване, която никой не предвиди

Northbridge Trading е събирателен образ, сглобен от четири реални проекта между 2019 и 2021 г. Сменихме имената; числата са истински. Моделът е важен, защото предстои да се повтори.

През май 2018 г. Northbridge внедри GDPR с шаблон за политика за 200 GBP и усещането, че работата е свършена. През май 2020 г. пристигна първото искане за достъп от субект на данните; последва инцидент на косъм в интеграцията на ведомостите; две седмици по-късно дойде и жалба до ICO. До Q3 2020 г. дружеството нае външен правен съветник и инженер по защита на данните, за да изградят регистър на дейностите по обработване, три оценки на въздействието върху защитата на данните, наръчник за реакция при инциденти, шест договора за обработване на данни (DPA) с доставчици и пренаписана CRM система с механизми за защита още при проектирането, вградени в потоци от данни, които вече работеха на живо. Сметката стигна около пет пъти отправната стойност за проектиране отначало, която същата консултантска фирма беше изчислила спрямо архитектурата от 2017 г. — платена под регулаторен натиск.

Шест години по-късно същият Оперативен директор управлява три инструмента с ИИ, въведени през 2025 г.: асистент за отсяване на автобиографии, инструмент за обобщаване на търговски разговори и чатбот за обслужване на клиенти. Никакъв регистър на ИИ, никаква класификация на риска по случай на употреба, никаква документация по член 26, никаква учебна програма за грамотност по член 4. Актът за ИИ на ЕС влезе в сила на 1 август 2024 г. [1]; графикът на Комисията поставя пълната приложимост, включително повечето задължения за високорискови системи, на 2 август 2026 г. [2]. Инструментът за отсяване на автобиографии е високорисков по Приложение III. Насоките на ICO за ИИ са обвързващи за британските МСП по UK GDPR от 2023 г. [7]. „Отказвам“, казва ни той, „да напиша този чек втори път.“

Сближаването: защо „да изчакаме и видим“ престана да бъде разумно през 2024 г.

„Глобалното сближаване“, което задвижва аргумента за проектиране отначало, не е маркетингов лозунг. През 2024 г. регулаторният обем стана измерим, а споделеният технически гръбнак — видим.

Числата, които регулаторите не искат да подминете

Индексът за ИИ на Stanford HAI за 2025 г. отчита 59 федерални регулации за ИИ в САЩ, издадени през 2024 г. — над два пъти повече от 2023 г. и в двойно повече агенции [3]. Щатите в САЩ приеха 131 закона за ИИ за една година, спрямо 49 натрупани до края на 2023 г. [3]. Законодателните споменавания на ИИ нараснаха с 21,3% в 75 държави през 2024 г. [3]. За един Оперативен директор, който решава дали да действа сега, или да изчака, този обем не е фонов шум. Той е сигналът.

Регламент (ЕС) 2024/1689 влезе в сила на 1 август 2024 г. [1]. Поетапният график на Комисията е най-ясната публикувана пътна карта: забранените практики действат от 2 февруари 2025 г.; задълженията за ИИ с общо предназначение (ИИОП) — от 2 август 2025 г.; пълната приложимост за високорискови системи — от 2 август 2026 г.; правилата за вградените високорискови продукти — удължени до 2 август 2027 г. [2]. Това не е една-единствена пропаст. Това е стълбище. МСП, които изчакат до най-горното стъпало, вече са пропуснали две.

Споделената опора: OECD, NIST, ISO/IEC 42001

Под обема стои споделен гръбнак, който прави управлението, заложено рано, устойчиво през различните юрисдикции. Принципите на OECD за ИИ, преразгледани през май 2024 г., са приети от 47 или повече държави [4]. Те формират изричната основа за привеждане в съответствие между ЕС, Обединеното кралство, САЩ и Г-7. Рамката на NIST за управление на риска от ИИ 1.0 организира задълженията около четири функции: Govern, Map, Measure и Manage [5]. Програмата за стандарти на Акта за ИИ на ЕС се позовава на това ядро; британският Наръчник за ИИ (февруари 2025 г.) кодифицира 10 принципа за държавния ИИ и сигнализира за еквивалентни стандарти по веригата си на доставка [6].

ISO/IEC 42001 се превърна в сертификацията от поръчков клас, която купувачите от средния пазарен сегмент вече изискват. Управление, проектирано спрямо пресечната точка на принципите на OECD, функциите на NIST и изискванията на ICO, оцелява при всяко затягане на отделен режим. Споделеният гръбнак поглъща вариацията.

График на Акта за ИИ на ЕС: влизане в сила август 2024 г.; забранени практики и задължения за грамотност по ИИ февруари 2025 г.; правила за ИИ с общо предназначение август 2025 г.; пълни задължения за високорискови системи август 2026 г.; вградени високорискови продукти август 2027 г.
Графикът на Акта за ИИ на ЕС, от влизането в сила до пълните задължения за високорискови системи през август 2026 г.

Защо „доставчикът поема съответствието“ се срива под член 26?

Най-трудното изречение за писане на която и да е маркетингова страница на доставчик е: „Не можем да поемем работата на внедрителя вместо вас.“ Според Акта за ИИ на ЕС границата доставчик–внедрител е изрична и тя не помръдва, защото сте купили корпоративен план.

Моделът на споделена отговорност на прост език

Член 16 определя какво трябва да направи доставчикът: оценяване на съответствието, техническа документация, мониторинг след пускане на пазара [1]. Член 26 определя какво трябва да направи внедрителят: да използва системата по указанията, да осигури човешки контрол, да поддържа входните данни релевантни, да регистрира високорисковите употреби поне шест месеца и да информира засегнатите служители и клиенти [1]. Член 4 добавя задължение за грамотност по ИИ върху всеки служител, който използва ИИ, съразмерно на ролята му, независимо кой модел стои отдолу [1]. Член 50 изисква потребителите да знаят кога взаимодействат с ИИ — във всички рискови нива [1].

Тези четири члена описват задължения, които стоят при МСП. Договорът за обработване на данни, който доставчикът подписва, не ги преразпределя.

Какво не прехвърлят ChatGPT Enterprise и Copilot

В мига, в който британско МСП постави автобиография в ChatGPT, за да отсява кандидати, то се превръща във високорисков внедрител по Приложение III [1]. Тази класификация на случая на употреба е решение на внедрителя. Страницата за корпоративна поверителност на OpenAI покрива гаранциите откъм модела: без обучение върху бизнес данни, криптиране, одитни записи. Тя не класифицира вашия случай на употреба, не пише вашия протокол за човешки контрол, не обучава вашия персонал и не поддържа вашите регистри на внедрителя по член 26, параграф 6. МСП с 40 души, използващо ИИ за отсяване на автобиографии, носи същите задължения по член 26 като работодател от FTSE 100. Размерът на дружеството не фигурира в правилото за класификация.

По UK GDPR отношението администратор–данни следва същата логика. Лични данни в подсказка правят МСП администратор. Правата на субекта на данните не могат да се делегират на доставчик.

ICO е категоричен от 2023 г.

Насоките на ICO за ИИ обхващат как принципите на UK GDPR се прилагат към ИИ, обработващ лични данни, включително изискванията за оценка на въздействието върху защитата на данните, смекчаването на предубежденията и автоматизираното вземане на решения [7]. Насоките се преразглеждат след Закона за данните (употреба и достъп) от 2025 г., който влезе в сила на 19 юни 2025 г. [7]. Инструментариумът на ICO за одит на ИИ предоставя конкретни контролни списъци по управление, отчетност, прозрачност и индивидуални права [8]. Тези списъци описват какво е нужно на внедрителя преди ICO да дойде, а не след това. Трите инструмента на Northbridge нямат нищо от това. Договорът на доставчика покрива доставчика. Празнотата принадлежи на внедрителя.

Емпиричните доказателства за разходите по дооборудване на GDPR: какво знаем

Емпиричният аргумент за ранно проектиране на управлението не стъпва на интуиция. Той стъпва на това, което се случи с фирмите в ЕС, третирали GDPR като нещо второстепенно през 2018 г.

MIT Sloan / Bessen et al. — единственото мащабно изследване на дооборудването, с което разполагаме

Изследването на MIT Sloan / Bessen, Janßen, Peukert и Seamans сравни фирми в ЕС и извън ЕС, след като правоприлагането започна през май 2018 г. Изводите са преки: фирмите в ЕС свиха съхраняваните данни с 26% и употребата на изчисления с 15% спрямо контролни групи извън ЕС [9]. Намалението се концентрира в кохортата, която не беше проектирала за поверителност от самото начало — кохортата на дооборудването. Това не бяха глоби или правни такси. Бяха оперативни сътресения: спрени продукти, изтрити маркетингови масиви, интеграции, пренаписани от нулата. Дружествата, заложили поверителността още от 2016 г., поеха същата регулация без тези съкращения.

Northbridge Trading тръгна по пътя на дооборудването. Внедри съответствие с GDPR през 2018 г. с шаблон за политика за 200 GBP и откри истинската цена две години по-късно. Данните на MIT Sloan описват точно това, което плати: архитектурната преработка, която идва, когато вкарвате задължения за съответствие в система, която не е била проектирана да ги носи.

Множителят за дооборудване от 2,4 пъти

Отрасловите бенчмаркове за разходите по дооборудване стигат до същия извод откъм разходите: закъснелите МСП плащаха около 2,4 пъти повече от конкурентите, проектирали отначало — по регистрите на дейностите по обработване, оценките на въздействието, регистрите на правните основания, процесите при нарушения, предоговарянето на DPA и преработката на CRM.

Всяка от тези категории на GDPR се преслушва пряко в аналог по Акта за ИИ. Регистър на ИИ заменя регистъра на дейностите по обработване. Оценка на въздействието върху основните права по член 27 заменя оценката на въздействието върху защитата на данните по GDPR. Регистрирането от внедрителя по член 26, параграф 6 заменя дневника за нарушения. Категориите са същите; преплитането е по-дълбоко. Моделите на ИИ, подсказките и работните потоци са архитектурно свързани по начин, по който потоците от данни не бяха. Изваждането на куки за регистриране или механизми за контрол от внедрен конвейер на ИИ е инженерно пренаписване, а не документ за политика. Затова множителят на Northbridge от около 5 пъти попада добре в обхвата, който отрасловите данни предвиждат под натиска на правоприлагането.

Сметката на разходите за едно МСП: проектиране отначало срещу дооборудване, ред по ред

Множителят за дооборудване и оперативните данни на MIT Sloan са полезни ориентири, но един Оперативен директор се нуждае от числа, които да сложи в материал за борда. Ето сметката за МСП със 180 души, използващо три инструмента с ИИ.

Отправна стойност за проектиране отначало за МСП със 180 души и 3 инструмента с ИИ

Проектирането на управлението на ИИ отначало, разпределено в дванадесет седмици, струва по нашия опит от проекти:

  • Регистър на ИИ и категоризиране на риска по случай на употреба: 4–6 дни вътрешно усилие плюс преглед от консултант за 2 000–4 000 GBP
  • Учебна програма за грамотност по член 4 (90-минутна база за целия персонал; цял ден за отговорниците по ИИ): 3 000–5 000 GBP
  • Протокол за човешки контрол и регистриране по член 26, параграф 6, вградени в архитектурата: 4 000–6 000 GBP инженеринг плюс 2-дневен правен преглед
  • Пакет за надлежна проверка на доставчиците с DPA, карти на моделите и одитна следа за разкриване на ИИОП: 2 000–3 000 GBP

Ориентировъчно общо за проектиране отначало: 18 000–32 000 GBP за дванадесет седмици.

Бюджет за дооборудване под натиска на правоприлагането (Q3 2026)

Дооборудването на същия набор под натиска през Q3 2026 струва значително повече:

  • Външен правен съветник, очертаващ експозицията по Приложение III след инцидент: 15 000–25 000 GBP
  • ОВОП (член 27) и обновяване на оценката на въздействието върху защитата на данните за три вече внедрени инструмента: 20 000–35 000 GBP
  • Дооборудване на регистрирането и пренаписване на работния поток за човешки контрол: 40 000–70 000 GBP
  • Консултации със служители, уведомления за прозрачност и разкривания към клиенти: 8 000–12 000 GBP

Ориентировъчно общо за дооборудване: 85 000–145 000 GBP за шест до дванадесет седмици сгъстено отстраняване. Съотношението върви от около 2,7 до 5,1 пъти — възпроизвеждайки долната граница на отрасловия бенчмарк и достигайки горната граница на Northbridge.

Защо множителят е по-лош, отколкото при GDPR

Три структурни причини избутват множителя за дооборудване на ИИ над стойността за GDPR. Първо, работните потоци на ИИ са преплетени: подсказките, версиите на моделите и последващите автоматизирани действия са свързани по замисъл, така че повърхността за рефакториране е по-голяма от пренареждането на потоци от данни. Второ, преработките по обществените поръчки текат успоредно със срока на регулатора. МСП, което губи покани за оферти, докато тече отстраняването, плаща и двете цени едновременно. Трето, таванът на санкциите е по-висок. Член 99 определя глоби до 7% от общия годишен оборот в света или 35 милиона евро за забранени практики [1]. Директивата за отговорността за ИИ добавя експозиция по граждански искове, която GDPR не пораждаше.

За британско МСП с 25 милиона GBP годишен оборот консервативна базова сметка (преди намаленията за МСП) достига 750 000 евро [1]. Разходът за проектиране отначало не е режийна тежест за съответствие. Той е застраховка срещу глоба, която е кратна на самата него.

Проектирането на управлението отначало струва илюстративно 18 000 до 32 000 паунда за 12 седмици; дооборудването му по-късно струва 85 000 до 145 000 паунда — множител от около 2,7 до 5,1 пъти.
Проектиране на управлението отначало срещу по-късно дооборудване — илюстративен множител на разходите от 2,7 до 5,1 пъти.

Кои седем артефакта изграждат управлението на ИИ от първия ден?

Управлението на ИИ от първия ден за МСП с 50–500 служители не е абстракция. То е седем артефакта, които можете да изградите за две седмици.

1–3: Опис и класификация

Артефакт 1 — регистър на ИИ. Едностранична схема: име на системата, доставчик, модел, случай на употреба, класове данни, рисково ниво, отговорник, протокол за контрол и дата на преглед. Не изисква консултант, за да се изгради; изисква дисциплина, за да се поддържа.

Артефакт 2 — дърво за решение при категоризиране на риска по случай на употреба. Обвързано с категориите по Приложение III: отсяване при наемане, кредитен скоринг, достъп до образование, биометрична идентификация и критична инфраструктура [1]. Ако инструмент докосва някой от тези работни потоци, той задейства задължения за високорискови системи.

Артефакт 3 — пакет за надлежна проверка на доставчиците. Договор за обработване на данни, карта на модела, разкриване на ИИОП, обобщение на оценяването на съответствието и списък на подизпълнителите. Статусът на подписал Кодекса за поведение за ИИОП на базовия доставчик има значение тук [13].

4–5: Експлоатация и защита

Артефакт 4 — протокол за човешки контрол. Член 26, параграф 5 изисква поименно посочен човек, който може да преразгледа и отмени всяко автоматизирано решение [1]. Протоколът уточнява кой е този човек, работния поток за отмяна, критериите за ескалация и ритъма на преглед.

Артефакт 5 — учебна програма за грамотност по член 4. 90-минутна база за целия персонал, половин ден за активните потребители и цял ден за отговорниците по ИИ, обновявана ежегодно [1]. Член 4 се прилага за всички внедрители независимо от доставчика, а съразмерността расте с ролята, не с числеността.

6–7: Документиране и реакция

Артефакт 6 — процес на регистриране и реакция при инциденти. Регистри на внедрителя по член 26, параграф 6, мониторинг на отклоненията на модела и контролите за жизнения цикъл на сигурността от Насоките на NCSC за разработка на сигурни системи с ИИ — съвместни насоки с CISA и 21 международни киберагенции [10]. Вградете дневника в архитектурата; документите за политики без инженерни куки се провалят на одит.

Артефакт 7 — пакет за прозрачност и информиране на служителите. Уведомления за потребителите по член 50 за обърнатия към клиента ИИ, информиране на служителите по член 26, параграф 7 за всеки ИИ, който наблюдава служители, и ясен път за жалби [1].

Заземено в одобрени от регулаторите рамки

Всеки артефакт се преслушва в контролните списъци за управление и отчетност на одитната рамка на ICO за ИИ [8] и в ядрото на NIST AI RMF: Govern, Map, Measure и Manage [5]. ISO/IEC 42001 се преслушва в същия набор от седем артефакта. Изградете ги веднъж и те покриват едновременно няколко режима.

Обществените поръчки са механизмът за правоприлагане, който вашите клиенти изтеглиха напред

Всеки резултат в търсачката рамкира правоприлагането на Акта за ИИ през призмата на регулаторните глоби. Никой не споменава какво британските МСП, продаващи на средния пазарен сегмент и на корпорации, вече откриват през 2026 г.: въпросникът на купувача стигна там пръв.

Какво вече изискват купувачите от средния пазарен сегмент и корпорациите

Въпросниците за доставчици в късните фази на британски покани за оферти вече се позовават на контролните семейства на ISO/IEC 42001 и на ядрото от четири функции на NIST AI RMF [5]. Те искат доказателство за регистър на ИИ и категоризиране на риска по случай на употреба, документиран протокол за човешки контрол спрямо член 26, параграф 5 [1] и разкриване на подизпълнителите с произхода на модела на ИИОП: кой базов модел, кой доставчик, кой е подписал Кодекса за поведение [13]. Екипите по обществените поръчки не чакат насоки за правоприлагане. Те защитават собствените си вериги на доставка срещу отговорността, която тече нагоре по веригата, когато инструмент с ИИ на доставчик задейства инцидент.

Седемте артефакта от предишната секция са точно това, което искат въпросниците за доставчици от Раздел 9.

Northbridge губи покана за оферта през Q2 2026

Northbridge Trading кандидатства за тригодишен договор за 420 000 GBP с регулиран клиент от средния пазарен сегмент през Q2 2026. Раздел 9 гласеше: „Поддържайте регистър на ИИ, процес на ОВОП и протокол за човешки контрол — представете доказателства.“ Northbridge не можа да отговори. Договорът отиде при конкурент с едностраничен регистър и стек от политики във формата на NIST. Преработката, водена от обществените поръчки, сега ляга върху срока на регулатора. И двата часовника текат.

Наследяване в публичния сектор

Британските МСП, продаващи на държавата, се сблъскват със същия стандарт по друг канал. Наръчникът за ИИ на правителството, публикуван през февруари 2025 г., излага 10 принципа за етична употреба, отчетност, прозрачност и управление на жизнения цикъл, а доставчиците ги наследяват като договорни условия [6]. Планът за действие за възможностите на ИИ на DSIT, приет изцяло през януари 2025 г., затвърждава отговорното внедряване на ИИ като очакване по веригата на доставка [11]. Първоначалният доклад на CMA за базовите модели на ИИ добавя призмата на защитата на потребителите и конкуренцията, която застъпва всяко внедряване на базов модел [12].

Да останете под радара на регулатора не ви спасява от въпросника на купувача. Northbridge научи това по скъпия начин.

Какво отлага — и какво НЕ отлага — Цифровият омнибус

Заглавието на Цифровия омнибус от ноември 2025 г. („ЕС отлага Акта за ИИ“) не оцелява при внимателно четене на самото предложение. Объркването е разбираемо. Заглавието не е точно.

Какво вече действа и е непроменено

Четири задължения вече са в сила и никой изход на Омнибуса не ги докосва. Забраната за забранените практики действа от 2 февруари 2025 г. [2]. Задължението за грамотност по ИИ по член 4 действа от 2 февруари 2025 г. [1]. Задълженията на доставчиците на ИИОП и режимът на Кодекса за поведение влязоха в сила на 2 август 2025 г. [2]. А UK GDPR вече е обвързващ за всяка британска организация, обработваща лични данни, включително МСП; насоките на ICO за ИИ и защита на данните са тълкуването на регулатора за това как този закон се прилага към системите с ИИ — не нормативен кодекс, а практическата отправна точка за съответствие, спрямо която ICO ще оценява [7].

Какво всъщност предлага Цифровият омнибус

Омнибусът предлага тясно отлагане на режима за оценяване на съответствието на високорисковите системи по Приложение III, заедно с изискванията за техническа документация и регистрация в базата данни на ЕС — за доставчиците на конкретни категории високорискови системи с ИИ. Той не предлага да отлага задълженията на внедрителите по член 26, изискванията за прозрачност по член 50, задълженията за грамотност по член 4, нито дисциплината по документиране на ОВОП. Тези задължения остават по публикувания график.

Тристранните преговори блокираха на 28 април 2026 г. Към момента на писане предстоеше пренасрочване. Затова публикуваният от Комисията краен срок остава правно действащата отправна точка [2]. МСП, които прочетоха „отложено до 2027 г.“ и отложиха проектирането на управлението въз основа на това четене, вече изостават от задълженията откъм внедрителя, които изобщо не помръднаха.

Стабилното ядро, което никой изход на Омнибуса не докосва

Управление, проектирано спрямо стабилното ядро (класификация на риска по случай на употреба, човешки контрол, регистриране от внедрителя, документиране на ОВОП и на оценката на въздействието върху защитата на данните, обучение за грамотност по ИИ, разкриване за прозрачност), оцелява при която и да е версия на Омнибуса, която в крайна сметка влезе в сила. Това, което се променя между версиите на Омнибуса, е в кое Приложение попада даден случай на употреба, а не дали едно МСП има нужда от регистър, протокол за контрол и процес при инциденти. „Имаме време до 2027 г.“ не е тълкуване, което текстът подкрепя.

Как може едно МСП да изгради управление на ИИ за 90 дни?

Дванадесет седмици стигат, за да се достави управление, проектирано отначало, ако работата е секвенцирана. Ето план седмица по седмица за МСП с 50–500 служители, започващо от нулата.

Седмици 1–3 — Опис и класификация

Открийте всеки инструмент с ИИ в употреба, включително скрития ИИ: Copilot, вграден в Microsoft 365, ИИ в разширения за браузъра, нишови SaaS модули с функции за ИИ, които екипът ви по обществените поръчки никога не е оценявал изрично. Изградете регистъра на ИИ и възложете отговорник за всяка система. Прокарайте дървото за категоризиране на риска по случай на употреба спрямо Приложение III и отбележете всяка експозиция при отсяване в HR, кредитен скоринг, образование, биометрична идентификация или критична инфраструктура [1]. Направете бърз преглед на правното основание по UK GDPR за всяка система, обработваща лични данни [7].

Седмици 4–7 — Експлоатация и документиране

Съставете протокола за човешки контрол за всяка високорискова система и система с ограничен риск: поименно посочен човек, работен поток за отмяна, критерии за ескалация, ритъм на преглед (Артефакт 4). Внедрете регистриране по член 26, параграф 6 навсякъде, където платформата го поддържа; иначе изградете дневника откъм внедрителя. Не оставяйте това на документите за политики [8]. Проведете учебната програма за грамотност по член 4: първо 90-минутна база за целия персонал, после задълбочени сесии за активните потребители и отговорниците по ИИ [1]. Обновете оценките на въздействието върху защитата на данните и ОВОП спрямо инструментариума на ICO за всяка високорискова система [8].

Седмици 8–12 — Готовност за поръчки и преглед

Изградете пакета за надлежна проверка на доставчиците: DPA, карти на моделите, произход на ИИОП, списъци на подизпълнителите и статус на подписал Кодекса за поведение за всеки доставчик на базов модел [13]. Публикувайте уведомления за прозрачност по член 50 на обърнатия към клиента ИИ; информирайте засегнатите служители по член 26, параграф 7 [1]. Преслушайте седемте артефакта спрямо формата на въпросника за обществени поръчки, който купувачите от средния пазарен сегмент изпращат: контролните семейства на ISO/IEC 42001 и функциите на NIST AI RMF [5]. Насрочете първия тримесечен преглед на управлението и назначете отговорно лице от висшето ръководство съгласно изискването на инструментариума на ICO [8].

Два антимодела за избягване

Първи: купуване на инструментариумен абонамент за 40 000 GBP, преди регистърът да е попълнен. Инструментариум без обхват на управлението е театър. Инструментът изважда наяве рискове, които МСП още не е определило.

Втори: третиране на грамотността по член 4 като еднократен уебинар. Задължението е непрекъснато и съразмерно на ролята [1]. 90-минутна стартова сесия покрива базата; тя не покрива годишното обновяване, нито по-задълбочените сесии за отговорниците по ИИ. Архитектурното пренаписване, което платиха закъснелите с GDPR, дойде, защото бяха написани документи за политики, а инженерството беше прескочено. Същият модел, приложен към ИИ, дава същия резултат.

Извлечена поука

Поуката, която Northbridge вече плати

През юни 2020 г. Оперативният директор на Northbridge подписа фактури за 142 000 GBP, за да дооборудва GDPR спрямо отправна стойност от 28 000 GBP за проектиране отначало. Това не беше провал на обществените поръчки. Това е, което се случва, когато компетентен ръководител третира съответствието като нещо, което се наслоява, щом продуктът заработи. Данните на MIT Sloan превръщат този опит в модел: фирмите в ЕС свиха съхраняваните данни с 26% и изчисленията с 15% след 2018 г., като ефектът е най-тежък сред фирмите, които не бяха заложили поверителността от първия ден [9]. Актът за ИИ предстои да преподаде тази поука втори път.

Дооборудването на управлението на ИИ върви по-зле, защото регистрирането, човешкият контрол и подсказките са преплетени с архитектурата на работните потоци. Обществените поръчки прилагат Акта преди регулаторите. Седемте артефакта струват 18 000–32 000 GBP за проектиране отначало; струват 85 000–145 000 GBP за дооборудване под натиска на правоприлагането и обществените поръчки заедно. Сметката не е тънка.

Обобщение

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Свързани материали

Frequently Asked Questions

Кога Актът за ИИ на ЕС влиза в сила за британските МСП и кои задължения вече действат?
Това е стълбище, а не една-единствена пропаст. Актът влезе в сила на 1 август 2024 г. Забранените практики действат от 2 февруари 2025 г.; задълженията за грамотност по ИИ по член 4 — от същата дата; задълженията на доставчиците на ИИОП — от 2 август 2025 г.; пълната приложимост за високорискови системи настъпва на 2 август 2026 г.; правилата за вградените високорискови продукти — на 2 август 2027 г. Британските МСП, обслужващи клиенти в ЕС, попадат в обхвата извънтериториално, а насоките на ICO за ИИ са обвързващи по UK GDPR от 2023 г.
Колко струва да се дооборудва управлението на ИИ спрямо това да се проектира отначало за МСП със 180 души?
Проектирането отначало за дванадесет седмици струва 18 000–32 000 GBP: регистър на ИИ, учебна програма за грамотност по член 4, протокол за човешки контрол с регистриране по член 26, параграф 6 и пакет за надлежна проверка на доставчиците. Дооборудването на същия набор под натиска на правоприлагането и обществените поръчки през Q3 2026 струва 85 000–145 000 GBP за шест до дванадесет сгъстени седмици — множител от 2,7 до 5,1 пъти. Прецедентът с GDPR на Northbridge плати около 5 пъти повече, а MIT Sloan установи, че фирмите в ЕС са свили съхраняваните данни с 26% и изчисленията с 15% след 2018 г. — концентрирано в кохортата на дооборудването.
Прехвърля ли покупката на ChatGPT Enterprise или Microsoft Copilot съответствието с Акта за ИИ на ЕС върху доставчика?
Не. Член 16 определя какво трябва да направи доставчикът: оценяване на съответствието, техническа документация, мониторинг след пускане на пазара. Член 26 определя какво трябва да направи внедрителят: да използва системата по указанията, да осигури човешки контрол, да поддържа входните данни релевантни, да регистрира високорисковите употреби поне шест месеца, да информира засегнатите служители и клиенти. В мига, в който британско МСП постави автобиография в ChatGPT, за да отсява кандидати, то се превръща във високорисков внедрител по Приложение III. Размерът на дружеството не фигурира в правилото за класификация.
Как всъщност изглежда управлението на ИИ от първия ден за едно МСП?
Седем артефакта, които можете да изградите за две седмици: регистър на ИИ с всяка система, доставчик, модел, случай на употреба, рисково ниво и отговорник; дърво за категоризиране на риска по случай на употреба, обвързано с Приложение III; пакет за надлежна проверка на доставчиците с DPA, карта на модела и произход на ИИОП; протокол за човешки контрол, посочващ отговорното лице по член 26, параграф 5; учебна програма за грамотност по член 4; процес на регистриране и реакция при инциденти по член 26, параграф 6; уведомления за прозрачност за обърнатия към клиента ИИ и информационни пакети за служителите.
Отлага ли Цифровият омнибус от ноември 2025 г. Акта за ИИ на ЕС достатъчно, че едно МСП да може да изчака?
Не. Омнибусът предлага тясно отлагане на режима за оценяване на съответствието на високорисковите системи по Приложение III — за доставчиците. Той не отлага задълженията на внедрителите по член 26, изискванията за прозрачност по член 50, задълженията за грамотност по член 4, нито дисциплината по документиране на ОВОП. Забранените практики, задълженията за ИИОП и насоките на ICO по UK GDPR вече са в сила и непроменени. Тристранните преговори блокираха на 28 април 2026 г., затова публикуваният от Комисията краен срок остава правно действащата отправна точка. „Имаме време до 2027 г.“ не е тълкуване, което текстът подкрепя.
Какво представлява оценката на въздействието върху основните права (ОВОП) по член 27 от Акта за ИИ на ЕС и кой е длъжен да я провежда?
ОВОП е задължението по член 27, изискващо определени внедрители — публични органи и частни оператори на високорискови системи с ИИ по Приложение III в регулирани функции като оценяване на кредитоспособност и ценообразуване на застраховки — да оценят въздействието върху основните права преди първа употреба и да я обновяват при съществена промяна. Обхватът включва засегнатите лица, честотата и продължителността на употребата, видовете вреди, мерките за човешки контрол и механизмите за жалби. Британските МСП, обслужващи клиенти в ЕС, са в обхвата извънтериториално. Цифровият омнибус не отлага дисциплината по ОВОП; проектирането ѝ редом с регистъра на ИИ избягва множителя за дооборудване.
Ще помогне ли сертификацията по ISO 42001 за готовност спрямо Акта за ИИ на ЕС, или това са отделни пътеки за съответствие?
ISO 42001 и Актът за ИИ на ЕС се допълват, а не се дублират. ISO 42001 описва система за управление на ИИ — роли по управлението, регистър на ИИ, идентифициране на риска, вътрешен одит — която пряко ускорява пътя на проектирането отначало: регистър на ИИ, пакет за надлежна проверка на доставчиците, учебна програма за грамотност по член 4, регистриране по член 26, параграф 6. Тя сама по себе си не покрива оценяването на съответствието от доставчика по член 16, ОВОП по член 27, нито прозрачността по член 50. Третирайте ISO 42001 като управленски гръбнак, а Акта — като правната повърхност; нужни са и двете.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.