Как да изградите регистър на ИИ за 90 минути (Акт за ИИ на ЕС)
Изграждане в пет стъпки за 90 минути на регистъра на ИИ, който европейските МСП дължат по член 26 от Акта за ИИ на ЕС и насоките на ICO. Стартови колони, капани, правила за отговорника.

Повечето европейски МСП гледат на регистъра на ИИ като на тежък документ, който ще изготвят, щом прилагането на Акта за ИИ на ЕС започне да хапе. Това е грешка в категорията. Работеща версия 1 отнема деветдесет минути, ако я мислите като опис откъм внедрителя, а не като документ за съответствие. По-долу е изграждането в пет стъпки, което провеждаме с операционните ръководители в нашите одитни ангажименти — същото, което слага картина на риска по Приложение III на една страница до петък следобед и печели простор по-бавната работа да се свърши както трябва после.
Бърз отговор. Регистърът на ИИ е описът откъм внедрителя на всяка система с ИИ в организацията Ви — предполаган от задълженията на внедрителя по член 26 от Акта за ИИ на ЕС [1] и съгласуван с насоките на ICO по UK GDPR [2]. Работеща версия 1 отнема деветдесет минути за МСП под 200 служители: 15 минути за описа, 20 за степенуване на риска спрямо Приложение III, 25 за попълване на основните колони и 30 за разпределяне на отговорници и проверка на контрола.
Какво е регистър на ИИ?
Регистърът на ИИ е за задълженията на внедрителя по член 26 това, което регистърът на дейностите по обработване е за член 30 от UK GDPR: жив опис, който назовава всяка система, класифицира рисковия ѝ тиер и посочва отговорно лице. Това е документът, който разследващ от ICO, отдел за доставки или екипът по сигурност на доставчиците при корпоративен клиент ще поиска първо.
Актът за ИИ на ЕС не предписва формата на регистъра в текста на регламента. Член 26(5) изисква внедрителите на високорискови системи да осигурят човешки контрол от поименно, компетентно лице; член 26(6) изисква водене на записи за високорисковите употреби за поне шест месеца [1]. Регистърът е оперативната основа, която прави и двете видими. ICO е недвусмислен от 2023 г., че ИИ, който обработва лични данни по UK GDPR, задейства дисциплината на оценката на въздействието върху защитата на данните и задълженията за отчетност [2], а инструментариумът на ICO за одит на ИИ изброява видовете структурирани записи, които едно МСП ще му трябват [3]. Нито един регулатор не налага конкретен инструмент. Електронна таблица, която назовава правилните колони и посочва правилните отговорници, издържа проверката.
Защо деветдесет минути работят (и какво не Ви купуват)
Регистърът не е дестинацията. Той е картата. Деветдесет минути стигат, за да изведете наяве какъв ИИ се използва, да класифицирате рисковия му тиер и да разпределите отговорността — тройката факти, които всеки внедрител трябва да докаже, преди регулатор, клиент или борд да попитат. Какво деветдесетте минути не Ви купуват: оценка на въздействието върху основните права по член 27 за всяка система по Приложение III, учебна програма за грамотност по ИИ по член 4, съразмерна на ролята, пакет за надлежна проверка на доставчиците, покриващ споразуменията за обработване и картите на моделите, или напълно разписан протокол за човешки контрол [1]. Те са следващи работни направления, очертани спрямо това, което регистърът извежда наяве.
Дисциплината на работата в зададена времева рамка тежи повече от полировката. В нашите одитни ангажименти МСП, които третират регистъра като многоседмичен проект, обикновено не го изготвят; МСП, които вместят версия 1 в деветдесет минути, изготвят регистър в първия ден и оттам нататък го дообработват. Задълженията по член 26 са непрекъснати, а не еднократни, така че версия 1, която можете да обновявате, струва строго повече от версия 3, която не сте започнали.
Как протича работният процес за регистър на ИИ за 90 минути?
Стъпка 1 — Опишете всяка използвана система с ИИ (15 минути)
Три източника покриват по-голямата част от това, което ще откриете. Извлечете платените SaaS абонаменти от финансовия регистър или разходната карта — всеки доставчик с „AI", „ML", „Copilot", „Assistant" или „Insight" в името на продукта влиза в списъка. Извлечете вградения ИИ от съществуващите платформи — Microsoft 365 Copilot, функциите на Gemini в Google Workspace, Salesforce Einstein, HubSpot Breeze, автоматичните отговори на Outlook, обобщенията на срещи в Teams са все в обхвата, платени или не. Извлечете сенчестия ИИ с едно съобщение до целия екип от един абзац с въпрос кои инструменти с ИИ ползват служителите всеки ден, включително безплатните потребителски акаунти.
Третирайте сенчестия ИИ като в обхвата. Служител, който поставя автобиография в безплатен акаунт на ChatGPT, прави МСП високорисков внедрител по Приложение III съгласно разпоредбите за заетостта на Акта за ИИ на ЕС [1], а данните напускат средата Ви по UK GDPR [2]. Задачата на регистъра е да го изведе наяве, не да го санкционира. Санкционирането идва в стъпка 4, щом знаете какво има.
Стъпка 2 — Степенувайте риска на всяка система спрямо Приложение III (20 минути)
Приложение III от Акта за ИИ на ЕС изброява осем високорискови области [1]: биометрична идентификация, критична инфраструктура, образование и професионално обучение, заетост и управление на работниците, достъп до основни услуги, правоприлагане, миграция и граничен контрол, и правораздаване. За МСП живите тригери обикновено са заетостта (подбор на автобиографии, класиране по представяне, автоматизирано планиране), достъпът до услуги (кредитни решения, ценообразуване на застраховки) и образованието (оценяване на обучения, сертифициране).
За всяка система от списъка я маркирайте като една от: високорискова (съвпадение по Приложение III), с ограничен риск (задължения за прозрачност по член 50), с минимален риск (без специфични задължения отвъд грамотността по член 4) или внедрител на ИИ с общо предназначение (използвате модел ИИОП като гръбнак на чатбот или асистент) [1]. Повечето технологични набори на МСП попадат в два-три тиера. Класификацията е решение на внедрителя; тя не е делегируема на доставчика и не зависи от размера на компанията.
Стъпка 3 — Попълнете десетте основни колони (25 минути)
Колоните, които заслужават мястото си в регистъра на внедрителя:
- Име на системата — както служителите Ви я наричат всекидневно.
- Доставчик — юридическото лице зад продукта.
- Модел или версия — където е известна (напр. GPT-4o, Claude 3.5, Gemini 1.5, собствена).
- Предназначение — едно изречение, описващо какво системата решава или генерира.
- Рисков тиер — висок / ограничен / минимален / внедрител на ИИОП.
- Участват лични данни — Да/Не, плюс категориите по UK GDPR.
- Законово основание — основанието по член 6 от UK GDPR (легитимни интереси, договор, съгласие и т.н.).
- Отговорно лице — поименно физическо лице, не екип или роля.
- Водене на записи по член 26(6) — Да/Не/Неприложимо за високорисковите внедрявания.
- Дата на въвеждане — поне месец и година.
Електронна таблица с тези десет колони отговаря на първия въпрос, който всеки регулатор, клиент или член на борда ще зададе. Каквото и да е отвъд тях е итеративна работа, а не работа за версия 1. Устоявайте на порива да добавяте колони, докато не сте попълнили и десетте на всеки ред.
Стъпка 4 — Посочете поименно отговорно лице за всяка система (15 минути)
Член 26(5) изисква внедрителите на високорискови системи да осигурят човешки контрол от компетентно, отговорно лице с правомощието да спре или отмени системата [1]. Пренесете това в регистъра, като посочите действително физическо лице срещу всеки ред по Приложение III — не роля като „ръководител ИТ" или „ръководител Операции". Отговорното лице се нуждае от три свойства: да може да разчита резултатите на системата, да има правомощието да я изключи и да е достъпно по име във Вашия регистър.
За системите извън Приложение III посочете отговорник така или иначе. Формалното задължение е по-леко; дисциплината е същата. Операционните ръководители и старшите мениджъри са естествените отговорници в повечето МСП; технически или дигитален директор не е нужен.
Стъпка 5 — Проверете на място човешкия контрол на една високорискова система (15 минути)
За най-високорисковия Ви ред по Приложение III преминете през три въпроса: разглежда ли човек резултата от ИИ, преди той да засегне лице (проверката „човек в цикъла"); може ли този човек на практика да отмени решението на ИИ (проверката за правомощие); получил ли е човекът обучение, подходящо за ролята му, по член 4 (проверката за грамотност) [1]? Отговорите отиват в колона със свободен текст „бележки за човешкия контрол" до десетте основни колони.
Няма да завършите протокола за човешки контрол за петнадесет минути. Целта е да изведете наяве къде е пропускът, не да го затворите. Ред, който гласи „няма човешки преглед при подбора на автобиографии; пропуск за затваряне в рамките на 30 дни", е точно правилният резултат. Задачата на регистъра е да направи пропуска видим; затварянето му е отделно работно направление и отделен бюджет.

Кои пет капана убиват версия 1 на регистъра на ИИ?
- Третиране на регистъра като еднократен документ. Задълженията по член 26 са непрекъснати; регистърът е жив документ, преглеждан поне веднъж на тримесечие и опресняван винаги, когато се внедри нова система с ИИ или доставчик пусне голяма промяна на модел.
- Пропускане на сенчестия ИИ. Безплатните потребителски акаунти и личните сесии в Copilot са категорията с най-много инциденти и най-малко видимост. Ако регистърът не ги извежда наяве, той лъже.
- Купуване на „инструмент за съответствие" преди описа. Софтуерът за съответствие на доставчик няма да класифицира предназначенията Ви — само екипът Ви може. Първо електронната таблица, инструментът после (или никога; за МСП под 200 служители поддържана електронна таблица е достатъчна).
- Посочване на роля вместо лице. „Екипът ИТ" не може да бъде извикан. Поименно физическо лице с телефонен номер може. Член 26(5) предполага второто [1].
- Пълно пропускане на грамотността по член 4. Член 4 се прилага от 2 февруари 2025 г. за всеки служител, който използва ИИ, съразмерно на ролята му [1]. Това не е тиер — всяка система поражда задължение по член 4. Отбележете го в регистъра дори когато самата учебна програма е работа надолу по веригата.
Какво да правите след деветдесетте минути
Регистърът е слоят на откриването. От него обикновено се отделят три последващи работни направления:
- Очертаване на оценката на въздействието върху основните права за всеки ред по Приложение III, по член 27 от Акта за ИИ на ЕС [1] — отделен, по-задълбочен документ, който колоната за рисков тиер на регистъра поставя в ход, а не замества.
- Учебна програма за грамотност по член 4 — съразмерна на ролята, очертана спрямо колоната с отговорни лица на регистъра, а не спрямо щатната численост.
- Пакет за надлежна проверка на доставчиците — споразумения за обработване, карти на модели, произход на ИИОП, очертан спрямо колоната за доставчик на регистъра и опресняван при подновяване на доставките.
Това са работните направления, които заложен от самото начало подход покрива за около дванадесет седмици срещу 18 000–32 000 британски лири според опита ни от ангажименти, и същите работни направления, които догонващ подход покрива за шест уплътнени седмици срещу 85 000–145 000 британски лири — множител, съгласуван с данните на MIT Sloan след GDPR за европейски фирми, които съкращават съхраняваните данни с 26% и изчисленията с 15% под натиска на прилагането [4]. Регистърът е възможно най-евтиният пръв ход срещу тази аритметика.
Обобщение
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Свързани материали
- AI Governance From Day One: SMB Cost of Retrofitting Compliance — крайъгълният материал, който това ръководство поддържа. Прочетете го за аритметиката на разходите, казуса Northbridge и седемте документа на управлението от първия ден.
- Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — материалът нагоре по веригата за това защо одобреният списък с ИИ има по-голямо значение от който и да е отделен абонамент, и последователността одит-и-консолидация, която го произвежда.
Последна актуализация: май 2026 г. Версия 1.0.
Frequently Asked Questions
Заменя ли регистърът на ИИ регистъра на дейностите по обработване по GDPR?
Служителите ни ползват безплатен ChatGPT и потребителски Copilot. Влизат ли в регистъра?
Нашето МСП е установено извън ЕС. Важи ли Актът за ИИ на ЕС за регистъра ни?
Кой следва да отговаря за регистъра на ИИ в МСП без технически директор?
Колко често следва да опресняваме регистъра?
Достатъчна ли е електронна таблица, или ни трябва специален GRC инструмент?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.