Skip to content

Как да изградите регистър на ИИ за 90 минути (Акт за ИИ на ЕС)

Изграждане в пет стъпки за 90 минути на регистъра на ИИ, който европейските МСП дължат по член 26 от Акта за ИИ на ЕС и насоките на ICO. Стартови колони, капани, правила за отговорника.

Как да изградите регистър на ИИ за 90 минути (Акт за ИИ на ЕС)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Повечето европейски МСП гледат на регистъра на ИИ като на тежък документ, който ще изготвят, щом прилагането на Акта за ИИ на ЕС започне да хапе. Това е грешка в категорията. Работеща версия 1 отнема деветдесет минути, ако я мислите като опис откъм внедрителя, а не като документ за съответствие. По-долу е изграждането в пет стъпки, което провеждаме с операционните ръководители в нашите одитни ангажименти — същото, което слага картина на риска по Приложение III на една страница до петък следобед и печели простор по-бавната работа да се свърши както трябва после.

Бърз отговор. Регистърът на ИИ е описът откъм внедрителя на всяка система с ИИ в организацията Ви — предполаган от задълженията на внедрителя по член 26 от Акта за ИИ на ЕС [1] и съгласуван с насоките на ICO по UK GDPR [2]. Работеща версия 1 отнема деветдесет минути за МСП под 200 служители: 15 минути за описа, 20 за степенуване на риска спрямо Приложение III, 25 за попълване на основните колони и 30 за разпределяне на отговорници и проверка на контрола.

Какво е регистър на ИИ?

Регистърът на ИИ е за задълженията на внедрителя по член 26 това, което регистърът на дейностите по обработване е за член 30 от UK GDPR: жив опис, който назовава всяка система, класифицира рисковия ѝ тиер и посочва отговорно лице. Това е документът, който разследващ от ICO, отдел за доставки или екипът по сигурност на доставчиците при корпоративен клиент ще поиска първо.

Актът за ИИ на ЕС не предписва формата на регистъра в текста на регламента. Член 26(5) изисква внедрителите на високорискови системи да осигурят човешки контрол от поименно, компетентно лице; член 26(6) изисква водене на записи за високорисковите употреби за поне шест месеца [1]. Регистърът е оперативната основа, която прави и двете видими. ICO е недвусмислен от 2023 г., че ИИ, който обработва лични данни по UK GDPR, задейства дисциплината на оценката на въздействието върху защитата на данните и задълженията за отчетност [2], а инструментариумът на ICO за одит на ИИ изброява видовете структурирани записи, които едно МСП ще му трябват [3]. Нито един регулатор не налага конкретен инструмент. Електронна таблица, която назовава правилните колони и посочва правилните отговорници, издържа проверката.

Защо деветдесет минути работят (и какво не Ви купуват)

Регистърът не е дестинацията. Той е картата. Деветдесет минути стигат, за да изведете наяве какъв ИИ се използва, да класифицирате рисковия му тиер и да разпределите отговорността — тройката факти, които всеки внедрител трябва да докаже, преди регулатор, клиент или борд да попитат. Какво деветдесетте минути не Ви купуват: оценка на въздействието върху основните права по член 27 за всяка система по Приложение III, учебна програма за грамотност по ИИ по член 4, съразмерна на ролята, пакет за надлежна проверка на доставчиците, покриващ споразуменията за обработване и картите на моделите, или напълно разписан протокол за човешки контрол [1]. Те са следващи работни направления, очертани спрямо това, което регистърът извежда наяве.

Дисциплината на работата в зададена времева рамка тежи повече от полировката. В нашите одитни ангажименти МСП, които третират регистъра като многоседмичен проект, обикновено не го изготвят; МСП, които вместят версия 1 в деветдесет минути, изготвят регистър в първия ден и оттам нататък го дообработват. Задълженията по член 26 са непрекъснати, а не еднократни, така че версия 1, която можете да обновявате, струва строго повече от версия 3, която не сте започнали.

Как протича работният процес за регистър на ИИ за 90 минути?

Стъпка 1 — Опишете всяка използвана система с ИИ (15 минути)

Три източника покриват по-голямата част от това, което ще откриете. Извлечете платените SaaS абонаменти от финансовия регистър или разходната карта — всеки доставчик с „AI", „ML", „Copilot", „Assistant" или „Insight" в името на продукта влиза в списъка. Извлечете вградения ИИ от съществуващите платформи — Microsoft 365 Copilot, функциите на Gemini в Google Workspace, Salesforce Einstein, HubSpot Breeze, автоматичните отговори на Outlook, обобщенията на срещи в Teams са все в обхвата, платени или не. Извлечете сенчестия ИИ с едно съобщение до целия екип от един абзац с въпрос кои инструменти с ИИ ползват служителите всеки ден, включително безплатните потребителски акаунти.

Третирайте сенчестия ИИ като в обхвата. Служител, който поставя автобиография в безплатен акаунт на ChatGPT, прави МСП високорисков внедрител по Приложение III съгласно разпоредбите за заетостта на Акта за ИИ на ЕС [1], а данните напускат средата Ви по UK GDPR [2]. Задачата на регистъра е да го изведе наяве, не да го санкционира. Санкционирането идва в стъпка 4, щом знаете какво има.

Стъпка 2 — Степенувайте риска на всяка система спрямо Приложение III (20 минути)

Приложение III от Акта за ИИ на ЕС изброява осем високорискови области [1]: биометрична идентификация, критична инфраструктура, образование и професионално обучение, заетост и управление на работниците, достъп до основни услуги, правоприлагане, миграция и граничен контрол, и правораздаване. За МСП живите тригери обикновено са заетостта (подбор на автобиографии, класиране по представяне, автоматизирано планиране), достъпът до услуги (кредитни решения, ценообразуване на застраховки) и образованието (оценяване на обучения, сертифициране).

За всяка система от списъка я маркирайте като една от: високорискова (съвпадение по Приложение III), с ограничен риск (задължения за прозрачност по член 50), с минимален риск (без специфични задължения отвъд грамотността по член 4) или внедрител на ИИ с общо предназначение (използвате модел ИИОП като гръбнак на чатбот или асистент) [1]. Повечето технологични набори на МСП попадат в два-три тиера. Класификацията е решение на внедрителя; тя не е делегируема на доставчика и не зависи от размера на компанията.

Стъпка 3 — Попълнете десетте основни колони (25 минути)

Колоните, които заслужават мястото си в регистъра на внедрителя:

  1. Име на системата — както служителите Ви я наричат всекидневно.
  2. Доставчик — юридическото лице зад продукта.
  3. Модел или версия — където е известна (напр. GPT-4o, Claude 3.5, Gemini 1.5, собствена).
  4. Предназначение — едно изречение, описващо какво системата решава или генерира.
  5. Рисков тиер — висок / ограничен / минимален / внедрител на ИИОП.
  6. Участват лични данни — Да/Не, плюс категориите по UK GDPR.
  7. Законово основание — основанието по член 6 от UK GDPR (легитимни интереси, договор, съгласие и т.н.).
  8. Отговорно лице — поименно физическо лице, не екип или роля.
  9. Водене на записи по член 26(6) — Да/Не/Неприложимо за високорисковите внедрявания.
  10. Дата на въвеждане — поне месец и година.

Електронна таблица с тези десет колони отговаря на първия въпрос, който всеки регулатор, клиент или член на борда ще зададе. Каквото и да е отвъд тях е итеративна работа, а не работа за версия 1. Устоявайте на порива да добавяте колони, докато не сте попълнили и десетте на всеки ред.

Стъпка 4 — Посочете поименно отговорно лице за всяка система (15 минути)

Член 26(5) изисква внедрителите на високорискови системи да осигурят човешки контрол от компетентно, отговорно лице с правомощието да спре или отмени системата [1]. Пренесете това в регистъра, като посочите действително физическо лице срещу всеки ред по Приложение III — не роля като „ръководител ИТ" или „ръководител Операции". Отговорното лице се нуждае от три свойства: да може да разчита резултатите на системата, да има правомощието да я изключи и да е достъпно по име във Вашия регистър.

За системите извън Приложение III посочете отговорник така или иначе. Формалното задължение е по-леко; дисциплината е същата. Операционните ръководители и старшите мениджъри са естествените отговорници в повечето МСП; технически или дигитален директор не е нужен.

Стъпка 5 — Проверете на място човешкия контрол на една високорискова система (15 минути)

За най-високорисковия Ви ред по Приложение III преминете през три въпроса: разглежда ли човек резултата от ИИ, преди той да засегне лице (проверката „човек в цикъла"); може ли този човек на практика да отмени решението на ИИ (проверката за правомощие); получил ли е човекът обучение, подходящо за ролята му, по член 4 (проверката за грамотност) [1]? Отговорите отиват в колона със свободен текст „бележки за човешкия контрол" до десетте основни колони.

Няма да завършите протокола за човешки контрол за петнадесет минути. Целта е да изведете наяве къде е пропускът, не да го затворите. Ред, който гласи „няма човешки преглед при подбора на автобиографии; пропуск за затваряне в рамките на 30 дни", е точно правилният резултат. Задачата на регистъра е да направи пропуска видим; затварянето му е отделно работно направление и отделен бюджет.

Изграждането на регистър на ИИ за 90 минути като поток с времеви рамки: опис на системите за 15 минути, степенуване на риска спрямо Приложение III за 20, попълване на десет основни колони за 25, посочване на отговорник за 15 и проверка на контрола за 15.
Изграждането на регистър на ИИ за 90 минути като работен процес с времеви рамки.

Кои пет капана убиват версия 1 на регистъра на ИИ?

  • Третиране на регистъра като еднократен документ. Задълженията по член 26 са непрекъснати; регистърът е жив документ, преглеждан поне веднъж на тримесечие и опресняван винаги, когато се внедри нова система с ИИ или доставчик пусне голяма промяна на модел.
  • Пропускане на сенчестия ИИ. Безплатните потребителски акаунти и личните сесии в Copilot са категорията с най-много инциденти и най-малко видимост. Ако регистърът не ги извежда наяве, той лъже.
  • Купуване на „инструмент за съответствие" преди описа. Софтуерът за съответствие на доставчик няма да класифицира предназначенията Ви — само екипът Ви може. Първо електронната таблица, инструментът после (или никога; за МСП под 200 служители поддържана електронна таблица е достатъчна).
  • Посочване на роля вместо лице. „Екипът ИТ" не може да бъде извикан. Поименно физическо лице с телефонен номер може. Член 26(5) предполага второто [1].
  • Пълно пропускане на грамотността по член 4. Член 4 се прилага от 2 февруари 2025 г. за всеки служител, който използва ИИ, съразмерно на ролята му [1]. Това не е тиер — всяка система поражда задължение по член 4. Отбележете го в регистъра дори когато самата учебна програма е работа надолу по веригата.

Какво да правите след деветдесетте минути

Регистърът е слоят на откриването. От него обикновено се отделят три последващи работни направления:

  1. Очертаване на оценката на въздействието върху основните права за всеки ред по Приложение III, по член 27 от Акта за ИИ на ЕС [1] — отделен, по-задълбочен документ, който колоната за рисков тиер на регистъра поставя в ход, а не замества.
  2. Учебна програма за грамотност по член 4 — съразмерна на ролята, очертана спрямо колоната с отговорни лица на регистъра, а не спрямо щатната численост.
  3. Пакет за надлежна проверка на доставчиците — споразумения за обработване, карти на модели, произход на ИИОП, очертан спрямо колоната за доставчик на регистъра и опресняван при подновяване на доставките.

Това са работните направления, които заложен от самото начало подход покрива за около дванадесет седмици срещу 18 000–32 000 британски лири според опита ни от ангажименти, и същите работни направления, които догонващ подход покрива за шест уплътнени седмици срещу 85 000–145 000 британски лири — множител, съгласуван с данните на MIT Sloan след GDPR за европейски фирми, които съкращават съхраняваните данни с 26% и изчисленията с 15% под натиска на прилагането [4]. Регистърът е възможно най-евтиният пръв ход срещу тази аритметика.

Обобщение

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Свързани материали

  • AI Governance From Day One: SMB Cost of Retrofitting Compliance — крайъгълният материал, който това ръководство поддържа. Прочетете го за аритметиката на разходите, казуса Northbridge и седемте документа на управлението от първия ден.
  • Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — материалът нагоре по веригата за това защо одобреният списък с ИИ има по-голямо значение от който и да е отделен абонамент, и последователността одит-и-консолидация, която го произвежда.

Последна актуализация: май 2026 г. Версия 1.0.

Frequently Asked Questions

Заменя ли регистърът на ИИ регистъра на дейностите по обработване по GDPR?
Не — това са допълващи се описи с различни правни основания. Регистърът на дейностите по обработване е задължителен по член 30 от UK GDPR и каталогизира потоците от лични данни. Регистърът на ИИ е неговият аналог откъм внедрителя по член 26 от Акта за ИИ на ЕС и насоките на ICO; той каталогизира всяка система с ИИ, независимо дали обработва лични данни. Много системи фигурират и в двата, но препратката е „един към много" в двете посоки.
Служителите ни ползват безплатен ChatGPT и потребителски Copilot. Влизат ли в регистъра?
Да. Задълженията на внедрителя по член 26 важат за МСП, независимо дали абонаментът за ИИ е корпоративен, или потребителски, платен, или безплатен. В мига, в който служител използва инструмент с ИИ в хода на работата, МСП е внедрителят и системата принадлежи на регистъра. Безплатните потребителски акаунти обикновено нямат и споразумението за обработване на данни, което корпоративният тиер осигурява — това по-скоро увеличава експозицията по UK GDPR, отколкото да я намалява.
Нашето МСП е установено извън ЕС. Важи ли Актът за ИИ на ЕС за регистъра ни?
За МСП извън ЕС прякото приложение на Акта за ИИ е по-тясно, но рядко нулево. Актът действа екстериториално, когато резултатът на системата се използва в ЕС — нещо рутинно при SaaS продуктите и B2B услугите. Дори без експозиция към ЕС националните регулатори следват логиката му за внедрителя — ICO съгласува насоките си за ИИ с него още от 2023 г., а подобни европейски юрисдикции извън ЕС вървят в същата посока. Регистър, проектиран спрямо член 26, отговаря и на тези национални тенденции.
Кой следва да отговаря за регистъра на ИИ в МСП без технически директор?
Операционният директор, ръководителят по съответствие или старши служител, който се отчита пред управителя. Регистърът е редакторска, а не техническа работа: поддръжка на редовете, опресняване на рисковите тиери при промяна на системите и преследване на отговорните лица всяко тримесечие. Често срещан модел в МСП е един поименен отговорник, който води регистъра около три часа на тримесечие, плюс поименно отговорно лице на ред, носещо собствените си задължения по системата.
Колко често следва да опресняваме регистъра?
Реалистичният минимум за МСП е тримесечно, плюс опресняване при събитие — щом се закупи нова система с ИИ или излезе голяма промяна на модел (например доставчик, който преминава от едно поколение модел към следващото). За високорисковите редове по Приложение III записите се опресняват непрекъснато по член 26(6). Статичен регистър отпреди година не издържа проверката за доказуемост пред регулатор или корпоративен отдел за доставки.
Достатъчна ли е електронна таблица, или ни трябва специален GRC инструмент?
За МСП под около 200 служители електронната таблица е достатъчна. Тежестта при одита носят колоните, поименните отговорници и дисциплината на тримесечното опресняване — не платформата. Excel или Google Sheets с ограничен достъп и история на версиите покрива изискването за доказуемост. Специалните GRC инструменти стават полезни над около 500 служители или петнадесет и повече системи с ИИ; под този праг режийните разходи по инструмента надхвърлят спестеното време.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.