Skip to content

Upravljanje UI-jem od prvog dana: trošak naknadne usklađenosti za MSP-ove

Propisi o UI-ju se zbližavaju — Akt EU-a o umjetnoj inteligenciji (kolovoz 2026.), zakoni saveznih država SAD-a, Azija. MSP-ovi koji upravljanje grade od prvog dana izbjegavaju zamku naknadnog troška u stilu GDPR-a.

Upravljanje UI-jem od prvog dana: trošak naknadne usklađenosti za MSP-ove
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

U lipnju 2020. britanski distributer sa 180 zaposlenih kojeg ćemo nazvati Northbridge Trading platio je 142.000 £ za naknadno uvođenje GDPR-a: evidenciju aktivnosti obrade, tri procjene učinka na zaštitu podataka, priručnik za postupanje pri povredi, šest ugovora s dobavljačima i prerada CRM-a po načelu tehničke zaštite podataka koju su isti konzultanti procijenili na 28.000 £ da je bila ugrađena dvije godine ranije. Direktor poslovanja koji je potpisao te račune sada gleda u isti ponor s UI-jem.

Račun za naknadno uvođenje koji nitko nije predvidio

Northbridge Trading kompozit je, sastavljen od četiri stvarna angažmana između 2019. i 2021. Imena smo promijenili; brojke su stvarne. Obrazac je važan jer se upravo sprema ponoviti.

U svibnju 2018. Northbridge je isporučio GDPR uz predložak politike od 200 £ i osjećaj da je posao gotov. U svibnju 2020. stigao je prvi zahtjev za pristup ispitanika; uslijedila je za dlaku izbjegnuta povreda u integraciji obračuna plaća; pritužba ICO-u stigla je dva tjedna poslije. Do 3. tromjesečja 2020. tvrtka je angažirala vanjskog odvjetnika i inženjera za privatnost kako bi izgradila evidenciju aktivnosti obrade, tri procjene učinka na zaštitu podataka, priručnik za odgovor na incidente, šest ugovora o obradi s dobavljačima i preradu CRM-a s kontrolama tehničke zaštite podataka naknadno ugrađenima u već žive tokove podataka. Račun je dosegnuo otprilike peterostruku osnovicu ugradnje od početka koju je isto konzultantsko društvo izračunalo za arhitekturu iz 2017., plaćeno pod regulatornim pritiskom.

Šest godina poslije, isti direktor poslovanja vodi tri UI alata uvedena tijekom 2025.: pomoćnika za probir životopisa, sažimatelja prodajnih poziva i razgovornog robota za podršku kupcima. Nema registra UI-ja, nema klasifikacije rizika namjena, nema dokumentacije iz članka 26., nema kurikula informiranosti iz članka 4. Akt EU-a o umjetnoj inteligenciji stupio je na snagu 1. kolovoza 2024. [1]; vremenski okvir Komisije postavlja punu primjenu, uključujući većinu obveza za visokorizične sustave, na 2. kolovoza 2026. [2]. Alat za probir životopisa visokorizični je sustav iz Priloga III. Smjernice ICO-a o UI-ju obvezuju britanske MSP-ove prema UK GDPR-u od 2023. [7]. „Odbijam", kaže nam, „napisati taj ček drugi put."

Zbližavanje: zašto je „čekaj pa vidi" 2024. prestalo biti razborito

„Globalno zbližavanje" koje pokreće argument za ugradnju nije marketinški slogan. Tijekom 2024. regulatorni je obujam postao mjerljiv, a zajednička tehnička okosnica vidljiva.

Brojke koje regulatori ne žele da previdite

Indeks UI-ja Stanford HAI-ja za 2025. bilježi 59 saveznih propisa o UI-ju donesenih u SAD-u 2024., više nego dvostruko u odnosu na 2023., u dvostruko više agencija [3]. Savezne države SAD-a donijele su 131 zakon o UI-ju u jednoj godini, naspram 49 kumulativno do 2023. [3]. Zakonodavna spominjanja UI-ja porasla su za 21,3 % u 75 zemalja tijekom 2024. [3]. Za direktora poslovanja koji odlučuje hoće li djelovati sada ili čekati, taj obujam nije pozadinska buka. On je signal.

Uredba (EU) 2024/1689 stupila je na snagu 1. kolovoza 2024. [1]. Postupni vremenski okvir Komisije najjasniji je objavljeni plan dostupan: zabranjene prakse vrijede od 2. veljače 2025.; obveze za UI modele opće namjene od 2. kolovoza 2025.; puna primjena na visokorizične sustave od 2. kolovoza 2026.; pravila za ugrađene visokorizične proizvode produljena do 2. kolovoza 2027. [2]. To nije jedan skok. To su stube. MSP-ovi koji čekaju do gornje stepenice već su propustili dvije.

Zajedničko sidro: OECD, NIST, ISO/IEC 42001

Ispod obujma leži zajednička okosnica koja čini upravljanje ugrađeno rano postojanim kroz jurisdikcije. Načela OECD-a o UI-ju, revidirana u svibnju 2024., usvojilo je 47 ili više zemalja [4]. Ona čine izričitu osnovu za usklađivanje EU-a, UK-a, SAD-a i skupine G7. Okvir NIST-a za upravljanje rizikom UI-ja 1.0 organizira obveze oko četiri funkcije: upravljanje, mapiranje, mjerenje i vođenje (Govern, Map, Measure, Manage) [5]. Program normi Akta o umjetnoj inteligenciji upućuje na tu jezgru; britanski priručnik za UI (AI Playbook, veljača 2025.) kodificira 10 načela za državni UI i signalizira istovjetne norme za svoj opskrbni lanac [6].

ISO/IEC 42001 postao je certifikat nabavne razine koji kupci iz srednjeg tržišnog segmenta sada traže. Upravljanje osmišljeno na sjecištu načela OECD-a, funkcija NIST-a i zahtjeva ICO-a preživljava svako pojedinačno pooštravanje pojedinog režima. Zajednička okosnica upija varijaciju.

Vremenski okvir Akta EU-a o umjetnoj inteligenciji: stupanje na snagu kolovoz 2024.; zabranjene prakse i obveze informiranosti o UI-ju veljača 2025.; pravila za UI opće namjene kolovoz 2025.; pune obveze za visokorizične sustave kolovoz 2026.; ugrađeni visokorizični proizvodi kolovoz 2027.
Vremenski okvir Akta EU-a o umjetnoj inteligenciji, od stupanja na snagu do punih obveza za visokorizične sustave u kolovozu 2026.

Zašto se „dobavljač rješava usklađenosti" ruši pod člankom 26.?

Najteža rečenica za napisati na marketinškoj stranici bilo kojeg dobavljača glasi: „Posao subjekta koji uvodi sustav ne možemo preuzeti od vas." Prema Aktu o umjetnoj inteligenciji, granica između dobavljača i subjekta koji uvodi sustav izričita je i ne pomiče se zato što ste kupili poslovni paket.

Model podijeljene odgovornosti običnim jezikom

Članak 16. propisuje što dobavljač mora učiniti: ocjenjivanje sukladnosti, tehničku dokumentaciju, praćenje nakon stavljanja na tržište [1]. Članak 26. propisuje što subjekt koji uvodi sustav mora učiniti: koristiti sustav prema uputama, osigurati ljudski nadzor, držati ulazne podatke relevantnima, voditi evidenciju visokorizičnih primjena najmanje šest mjeseci i obavijestiti pogođene radnike i kupce [1]. Članak 4. dodaje sloj dužnosti informiranosti o UI-ju za svakog zaposlenika koji koristi UI, razmjernu njegovoj ulozi, bez obzira na to koji model leži ispod [1]. Članak 50. zahtijeva da ljudi znaju kada su u interakciji s UI-jem, kroz sve razine rizika [1].

Ta četiri članka opisuju obveze koje pripadaju MSP-u. Ugovor o obradi koji dobavljač potpiše ne premješta ih.

Što ChatGPT Enterprise i Copilot ne prepuštaju vama

Čim britanski MSP zalijepi životopis u ChatGPT radi probira kandidata, postaje visokorizični subjekt koji uvodi sustav iz Priloga III. [1]. Ta klasifikacija namjene odluka je subjekta koji uvodi sustav. Stranica OpenAI-ja o privatnosti za poslovne korisnike pokriva jamstva na strani modela: bez treniranja na poslovnim podacima, enkripciju, revizijske zapise. Ne klasificira vašu namjenu, ne piše vaš protokol ljudskog nadzora, ne obučava vaše osoblje niti vodi vaše evidencije subjekta koji uvodi sustav iz članka 26. stavka 6. MSP sa 40 zaposlenih koji vodi UI za probir životopisa nosi iste obveze iz članka 26. kao poslodavac iz indeksa FTSE 100. Veličina poduzeća nije dio pravila o klasifikaciji.

Prema UK GDPR-u, odnos voditelja obrade slijedi istu logiku. Osobni podaci u upitu čine MSP voditeljem obrade. Prava ispitanika ne mogu se prenijeti na dobavljača.

ICO je jasan od 2023.

Smjernice ICO-a o UI-ju pokrivaju način na koji se načela UK GDPR-a primjenjuju na UI koji obrađuje osobne podatke, uključujući zahtjeve za procjenu učinka na zaštitu podataka, ublažavanje pristranosti i automatizirano odlučivanje [7]. Smjernice su u preispitivanju nakon Zakona o podacima (uporabi i pristupu) iz 2025., koji je stupio na snagu 19. lipnja 2025. [7]. Revizorski alat ICO-a za UI nudi konkretne kontrolne popise za upravljanje, pouzdanost, transparentnost i prava pojedinaca [8]. Ti kontrolni popisi opisuju što subjektu koji uvodi sustav treba prije nego što ICO dođe u posjet, a ne poslije. Northbridgeova tri alata nemaju ništa od toga. Ugovor o obradi dobavljača pokriva dobavljača. Praznina pripada subjektu koji uvodi sustav.

Empirijski dokazi o trošku naknadnog uvođenja GDPR-a: što znamo

Empirijski temelj za ranu ugradnju upravljanja ne počiva na intuiciji. Počiva na onome što se dogodilo tvrtkama u EU-u koje su GDPR 2018. tretirale kao naknadnu misao.

MIT Sloan / Bessen i suradnici — jedina velika studija naknadnog uvođenja koju imamo

Studija MIT Sloana / Bessena, Janßena, Peukerta i Seamansa usporedila je tvrtke u EU-u i izvan njega nakon početka provedbe u svibnju 2018. Nalazi su izravni: tvrtke u EU-u smanjile su pohranjene podatke za 26 %, a uporabu računanja za 15 %, u odnosu na kontrolne tvrtke izvan EU-a [9]. Smanjenje se koncentriralo u skupini koja nije bila osmišljena za privatnost od samog početka — skupini naknadnog uvođenja. To nisu bile kazne ni pravni troškovi. Bili su to operativni poremećaji: ukinuti proizvodi, pročišćeni marketinški skupovi podataka, integracije izgrađene iznova. Tvrtke koje su privatnost ugradile od 2016. upile su isti propis bez tih rezova.

Northbridge Trading slijedio je put naknadnog uvođenja. Isporučio je usklađenost s GDPR-om 2018. uz predložak politike od 200 £ i otkrio stvarni trošak dvije godine poslije. Podaci MIT Sloana opisuju upravo ono što je platio: arhitektonsku preradu koja dolazi kada obveze usklađenosti uvlačite u sustav koji nije bio osmišljen da ih nosi.

Množitelj naknadnog uvođenja od 2,4×

Industrijske referentne vrijednosti troška naknadnog uvođenja dolaze do istog zaključka sa strane troška: MSP-ovi koji su kasno usvojili plaćali su otprilike 2,4 puta više od konkurenata koji su ugradili od početka, kroz evidenciju aktivnosti obrade, procjene učinka na zaštitu podataka, registre zakonite osnove, procese pri povredi, ponovno pregovaranje ugovora o obradi i preradu CRM-a.

Svaka od tih kategorija GDPR-a izravno se preslikava na analogiju iz Akta o umjetnoj inteligenciji. Registar UI-ja zamjenjuje evidenciju aktivnosti obrade. Procjena učinka na temeljna prava iz članka 27. zamjenjuje procjenu učinka na zaštitu podataka iz GDPR-a. Evidentiranje subjekta koji uvodi sustav iz članka 26. stavka 6. zamjenjuje dnevnik povreda. Kategorije su iste; isprepletenost je dublja. UI modeli, upiti i radni tokovi arhitektonski su povezani na načine na koje tokovi podataka nisu bili. Izvlačenje priključaka za evidentiranje ili kontrola nadzora iz uvedenog UI cjevovoda inženjerska je prerada, a ne dokument politike. Zato Northbridgeov množitelj od otprilike 5× sasvim ulazi u raspon koji industrijski podaci predviđaju pod pritiskom provedbe.

Aritmetika troška za MSP: ugradnja u odnosu na naknadno uvođenje, stavku po stavku

Množitelj naknadnog uvođenja i operativni podaci MIT Sloana korisna su sidra, no direktorici poslovanja trebaju brojke koje može staviti u materijal za upravu. Evo aritmetike za MSP sa 180 zaposlenih koji vodi tri UI alata.

Osnovica ugradnje za MSP sa 180 zaposlenih i 3 UI alata

Ugradnja upravljanja UI-jem od početka, raspoređena kroz dvanaest tjedana, stoji prema našem iskustvu iz angažmana:

  • Registar UI-ja i razvrstavanje rizika namjena: 4–6 dana internog rada plus konzultantski pregled od 2.000–4.000 £
  • Kurikul informiranosti iz članka 4. (90-minutna osnovica za sve osoblje; cjelodnevno za vlasnike UI-ja): 3.000–5.000 £
  • Protokol ljudskog nadzora i evidentiranje iz članka 26. stavka 6. ugrađeni u arhitekturu: 4.000–6.000 £ inženjeringa plus dvodnevni pravni pregled
  • Paket dubinske analize dobavljača s ugovorima o obradi, opisima modela i tragom otkrivanja UI modela opće namjene: 2.000–3.000 £

Okvirno ukupno za ugradnju: 18.000–32.000 £ kroz dvanaest tjedana.

Proračun za naknadno uvođenje pod pritiskom provedbe (3. tromjesečje 2026.)

Naknadno uvođenje istog skupa pod pritiskom u 3. tromjesečju 2026. stoji znatno više:

  • Vanjski odvjetnik koji obuhvaća izloženost Prilogu III. nakon incidenta: 15.000–25.000 £
  • FRIA (članak 27.) i obnova procjene učinka na zaštitu podataka na tri već uvedena alata: 20.000–35.000 £
  • Naknadno uvođenje evidentiranja i prerada radnog toka ljudskog nadzora: 40.000–70.000 £
  • Savjetovanje s radnicima, obavijesti o transparentnosti i objave kupcima: 8.000–12.000 £

Okvirno ukupno za naknadno uvođenje: 85.000–145.000 £ u šest do dvanaest tjedana stisnute sanacije. Omjer ide od otprilike 2,7× do 5,1×, čime se reproducira donja granica industrijske referentne vrijednosti i doseže gornja granica Northbridgea.

Zašto je množitelj gori nego kod GDPR-a

Tri strukturna razloga guraju množitelj naknadnog uvođenja UI-ja iznad brojke za GDPR. Prvo, UI radni tokovi isprepleteni su: upiti, verzije modela i naknadne automatizirane radnje povezani su po osmišljenju, pa je površina preoblikovanja veća nego ponovno povezivanje tokova podataka. Drugo, prerade nabave teku usporedno s rokom regulatora. MSP koji gubi natječaje dok teče sanacija plaća oba troška istodobno. Treće, gornja granica kazne viša je. Članak 99. postavlja kazne do 7 % godišnjeg svjetskog prometa ili 35 milijuna € za zabranjene prakse [1]. Direktiva o odgovornosti za UI dodaje izloženost građanskim tužbama koju GDPR nije stvarao.

Za britanski MSP s godišnjim prometom od 25 milijuna £, konzervativni temeljni izračun (prije smanjenja za MSP-ove) doseže 750.000 € [1]. Trošak ugradnje nije režijski trošak usklađenosti. On je zaštita od kazne koja je višekratnik njega samog.

Ugradnja upravljanja od početka stoji ilustrativnih 18.000 do 32.000 funti tijekom 12 tjedana; naknadno uvođenje poslije stoji 85.000 do 145.000 funti, otprilike množitelj od 2,7 do 5,1 puta.
Ugradnja upravljanja u odnosu na naknadno uvođenje poslije, ilustrativni množitelj troška od 2,7× do 5,1×.

Kojih sedam artefakata čini upravljanje UI-jem od prvog dana?

Upravljanje UI-jem od prvog dana za MSP s 50–500 zaposlenih nije apstraktno. To je sedam artefakata koje uspostavite u dva tjedna.

1–3: Inventar i klasifikacija

Artefakt 1 — registar UI-ja. Jednostranična shema: naziv sustava, dobavljač, model, namjena, klase podataka, razina rizika, vlasnik, protokol nadzora i datum preispitivanja. Za izradu ne treba konzultant; za održavanje treba disciplina.

Artefakt 2 — stablo odluke za razvrstavanje rizika namjena. Povezano s kategorijama iz Priloga III.: probir pri zapošljavanju, kreditno bodovanje, pristup obrazovanju, biometrijska identifikacija i kritična infrastruktura [1]. Ako alat dodiruje bilo koji od tih radnih tokova, pokreće obveze za visokorizične sustave.

Artefakt 3 — paket dubinske analize dobavljača. Ugovor o obradi, opis modela, otkrivanje UI modela opće namjene, sažetak ocjenjivanja sukladnosti i popis drugih izvršitelja obrade. Status potpisnika Kodeksa ponašanja za UI modele opće namjene temeljnog dobavljača ovdje je važan [13].

4–5: Rad i zaštita

Artefakt 4 — protokol ljudskog nadzora. Članak 26. stavak 5. zahtijeva imenovanog čovjeka koji može preispitati i poništiti svaku automatiziranu odluku [1]. Protokol određuje tko je ta osoba, radni tok poništavanja, kriterije eskalacije i ritam preispitivanja.

Artefakt 5 — kurikul informiranosti o UI-ju iz članka 4. 90-minutna osnovica za sve osoblje, poludnevno za napredne korisnike i cjelodnevno za vlasnike UI-ja, obnavljano godišnje [1]. Članak 4. primjenjuje se na sve subjekte koji uvode sustav bez obzira na dobavljača, a razmjernost raste s ulogom, ne s brojem zaposlenih.

6–7: Dokumentacija i odgovor

Artefakt 6 — proces evidentiranja i incidenata. Evidencije subjekta koji uvodi sustav iz članka 26. stavka 6., praćenje odmaka modela i kontrole sigurnosnog životnog ciklusa iz NCSC-ovih Smjernica za siguran razvoj UI sustava, zajedničke smjernice s CISA-om i 21 međunarodnom kiberagencijom [10]. Evidenciju ugradite u arhitekturu; dokumenti politike bez inženjerskih priključaka padaju na reviziji.

Artefakt 7 — paket transparentnosti i informiranja radnika. Obavijesti korisnicima iz članka 50. za UI okrenut kupcima, informiranje radnika iz članka 26. stavka 7. za svaki UI koji nadzire zaposlenike i jasan put za pritužbe [1].

Usidreno u okvire koje regulatori blagoslivljaju

Svaki se artefakt preslikava na kontrolne popise upravljanja i pouzdanosti iz revizorskog okvira ICO-a za UI [8] te na jezgru NIST-ova okvira za upravljanje rizikom UI-ja: upravljanje, mapiranje, mjerenje i vođenje [5]. ISO/IEC 42001 preslikava se na isti skup od sedam artefakata. Izgradite ih jednom i istodobno zadovoljavaju više režima.

Nabava je provedbeni mehanizam koji su vaši kupci doveli ranije

Svaki rezultat pretrage uokviruje provedbu Akta o umjetnoj inteligenciji kroz prizmu regulatornih kazni. Nijedan ne spominje ono što britanski MSP-ovi koji prodaju u srednji tržišni segment i velika poduzeća već nalaze 2026.: upitnik kupca stigao je prvi.

Što kupci iz srednjeg tržišnog segmenta i velikih poduzeća sada traže

Upitnici za dobavljače u kasnoj fazi britanskih natječaja sada se pozivaju na kontrolne obitelji norme ISO/IEC 42001 i jezgru NIST-ova okvira za upravljanje rizikom UI-ja od četiri funkcije [5]. Traže dokaz registra UI-ja i razvrstavanja rizika namjena, dokumentirani protokol ljudskog nadzora prema članku 26. stavku 5. [1] te otkrivanje drugih izvršitelja obrade s podrijetlom UI modela: koji temeljni model, koji dobavljač, koji potpisnik Kodeksa ponašanja [13]. Timovi za nabavu ne čekaju smjernice za provedbu. Štite vlastite opskrbne lance od odgovornosti koja teče uzvodno kada UI alat dobavljača pokrene incident.

Sedam artefakata iz prethodnog odjeljka točno je ono što traži upitnik za dobavljače iz odjeljka 9.

Northbridge gubi natječaj u 2. tromjesečju 2026.

Northbridge Trading natjecao se za trogodišnji ugovor vrijedan 420.000 £ s reguliranim kupcem iz srednjeg tržišnog segmenta u 2. tromjesečju 2026. Odjeljak 9. glasio je: „Vodite registar UI-ja, proces FRIA-e i protokol ljudskog nadzora — priložite dokaz." Northbridge nije mogao odgovoriti. Ugovor je pripao konkurentu s jednostraničnim registrom i slogom politike oblikovanim prema NIST-u. Prerada potaknuta nabavom sada sjedi povrh roka regulatora. Oba sata otkucavaju.

Nasljeđivanje u javnom sektoru

Britanski MSP-ovi koji prodaju državi suočavaju se s istim standardom kroz drugi kanal. Državni priručnik za UI objavljen u veljači 2025. iznosi 10 načela koja pokrivaju etičnu uporabu, pouzdanost, transparentnost i upravljanje životnim ciklusom, a dobavljači ih nasljeđuju kao ugovorne uvjete [6]. DSIT-ov Akcijski plan za prilike UI-ja, prihvaćen u cijelosti u siječnju 2025., učvršćuje odgovornu primjenu UI-ja kao očekivanje opskrbnog lanca [11]. Početni izvještaj CMA-e o temeljnim modelima UI-ja dodaje prizmu zaštite potrošača i tržišnog natjecanja koja se preklapa sa svakom primjenom temeljnog modela [12].

Ostanak ispod radara regulatora ne spašava vas od upitnika kupca. Northbridge je to saznao na skup način.

Što Digitalni omnibus odgađa — a što NE odgađa

Naslov o Digitalnom omnibusu iz studenoga 2025. („EU odgađa Akt o umjetnoj inteligenciji") ne preživljava pažljivo čitanje samog prijedloga. Zabuna je razumljiva. Naslov nije točan.

Što već vrijedi i nije pomaknuto

Četiri obveze već su na snazi i nijedan ishod Omnibusa ne dira ih. Zabrana zabranjenih praksi vrijedi od 2. veljače 2025. [2]. Dužnost informiranosti o UI-ju iz članka 4. vrijedi od 2. veljače 2025. [1]. Obveze dobavljača UI modela opće namjene i režim Kodeksa ponašanja stupili su na snagu 2. kolovoza 2025. [2]. A UK GDPR već obvezuje svaku britansku organizaciju koja obrađuje osobne podatke, uključujući MSP-ove; smjernice ICO-a o UI-ju i zaštiti podataka regulatorovo su tumačenje načina na koji se taj zakon primjenjuje na UI sustave — ne zakonski kodeks, nego praktična osnovica usklađenosti prema kojoj će ICO procjenjivati [7].

Što Digitalni omnibus zapravo predlaže

Omnibus predlaže usko odgađanje režima ocjenjivanja sukladnosti za visokorizične sustave iz Priloga III., zahtjeva za tehničku dokumentaciju i registraciju u bazu podataka EU-a za dobavljače pojedinih kategorija visokorizičnih UI sustava. Ne predlaže odgađanje obveza subjekta koji uvodi sustav iz članka 26., zahtjeva transparentnosti iz članka 50., dužnosti informiranosti iz članka 4. ni discipline dokumentiranja procjene učinka na temeljna prava. Te obveze ostaju na objavljenom rasporedu.

Trijalog je zapeo 28. travnja 2026. Novi je termin bio u tijeku u trenutku pisanja. Objavljeni rok Komisije stoga ostaje pravno mjerodavna zadana vrijednost [2]. MSP-ovi koji su pročitali „odgođeno do 2027." i na temelju tog čitanja odgodili osmišljavanje upravljanja već zaostaju za obvezama na strani subjekta koji uvodi sustav koje se nikad nisu pomaknule.

Stabilna jezgra koju nijedan ishod Omnibusa ne dira

Upravljanje osmišljeno prema stabilnoj jezgri (klasifikacija rizika po namjeni, ljudski nadzor, evidentiranje subjekta koji uvodi sustav, dokumentiranje FRIA-e i procjene učinka na zaštitu podataka, obuka informiranosti o UI-ju, objava transparentnosti) preživljava koja god inačica Omnibusa na kraju stupi na snagu. Ono što se mijenja kroz inačice Omnibusa jest u kojem Prilogu namjena sjedi, a ne treba li MSP-u registar, protokol nadzora i proces incidenata. „Imamo vremena do 2027." nije čitanje koje tekst podupire.

Kako MSP može izgraditi upravljanje UI-jem u 90 dana?

Dvanaest je tjedana dovoljno za isporuku upravljanja osmišljenog od početka ako je rad poslagan u slijed. Evo plana iz tjedna u tjedan za MSP s 50–500 zaposlenih koji kreće od nule.

Tjedni 1–3 — Inventar i klasifikacija

Otkrijte svaki UI alat u uporabi, uključujući UI iz sjene: Copilot ugrađen u Microsoft 365, UI u proširenjima preglednika, nišne SaaS module s UI značajkama koje vaš tim za nabavu nikad nije izričito ocijenio. Uspostavite registar UI-ja i dodijelite vlasnika po sustavu. Provedite stablo razvrstavanja rizika namjena prema Prilogu III. i označite svaku izloženost u probiru za HR, kreditnom bodovanju, obrazovanju, biometrijskoj identifikaciji ili kritičnoj infrastrukturi [1]. Provedite brzi pregled zakonite osnove prema UK GDPR-u za svaki sustav koji obrađuje osobne podatke [7].

Tjedni 4–7 — Rad i dokumentacija

Izradite nacrt protokola ljudskog nadzora za svaki visokorizični sustav i sustav ograničenog rizika: imenovani čovjek, radni tok poništavanja, kriteriji eskalacije, ritam preispitivanja (Artefakt 4). Provedite evidentiranje iz članka 26. stavka 6. gdje god ga platforma podržava; inače izgradite evidenciju na strani subjekta koji uvodi sustav. Ne prepuštajte to dokumentima politike [8]. Provedite kurikul informiranosti o UI-ju iz članka 4.: prvo 90-minutnu osnovicu za sve osoblje, zatim dubinske sesije za napredne korisnike i vlasnike UI-ja [1]. Obnovite procjene učinka na zaštitu podataka i FRIA-e prema alatu ICO-a za svaki visokorizični sustav [8].

Tjedni 8–12 — Spremnost za nabavu i preispitivanje

Izgradite paket dubinske analize dobavljača: ugovore o obradi, opise modela, podrijetlo UI modela opće namjene, popise drugih izvršitelja obrade i status potpisnika Kodeksa ponašanja za svakog dobavljača temeljnog modela [13]. Objavite obavijesti o transparentnosti iz članka 50. na UI-ju okrenutom kupcima; obavijestite pogođene radnike prema članku 26. stavku 7. [1]. Preslikajte sedam artefakata na format upitnika za nabavu koji šalju kupci iz srednjeg tržišnog segmenta: kontrolne obitelji norme ISO/IEC 42001 i funkcije NIST-ova okvira za upravljanje rizikom UI-ja [5]. Zakažite prvo tromjesečno preispitivanje upravljanja i imenujte odgovornog vlasnika iz višeg rukovodstva prema zahtjevu alata ICO-a [8].

Dva obrasca kojih se valja kloniti

Prvi: kupnja pretplate na alat od 40.000 £ prije nego što je registar popunjen. Alat bez obuhvata upravljanja kazalište je. Alat iznosi na površinu rizike koje MSP još nije definirao.

Drugi: tretiranje informiranosti iz članka 4. kao jednokratnog webinara. Dužnost je trajna i razmjerna ulozi [1]. 90-minutna uvodna sesija zadovoljava osnovicu; ne zadovoljava godišnju obnovu ni dublje sesije za vlasnike UI-ja. Arhitektonska prerada koju su platili oni koji su naknadno uvodili GDPR došla je jer su dokumenti politike napisani, a inženjering preskočen. Isti obrazac, primijenjen na UI, daje isti rezultat.

Naučena lekcija

Lekcija koju je Northbridge već platio

U lipnju 2020. direktor poslovanja Northbridgea potpisao je 142.000 £ računa za naknadno uvođenje GDPR-a naspram osnovice ugradnje od 28.000 £. To nije bio propust u nabavi. To je ono što se događa kada sposoban operater tretira usklađenost kao nešto što se nasloji jednom kada proizvod proradi. Podaci MIT Sloana pretvaraju to iskustvo u obrazac: tvrtke u EU-u smanjile su pohranjene podatke za 26 %, a računanje za 15 % nakon 2018., uz najteži učinak među tvrtkama koje privatnost nisu izgradile od prvog dana [9]. Akt o umjetnoj inteligenciji upravo se sprema podučiti tu lekciju drugi put.

Naknadna uvođenja upravljanja UI-jem prolaze gore jer su evidentiranje, ljudski nadzor i upiti isprepleteni s arhitekturom radnog toka. Nabava provodi Akt prije regulatora. Sedam artefakata stoji 18.000–32.000 £ za ugradnju; stoji 85.000–145.000 £ za naknadno uvođenje pod pritiskom provedbe i nabave zajedno. Aritmetika nije suptilna.

Sažetak

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Povezani uvidi

Frequently Asked Questions

Kada Akt EU-a o umjetnoj inteligenciji stupa na snagu za britanske MSP-ove i koje obveze već vrijede?
Riječ je o stubama, ne o jednom skoku. Akt je stupio na snagu 1. kolovoza 2024. Zabranjene prakse vrijede od 2. veljače 2025.; dužnosti informiranosti o UI-ju iz članka 4. od istog datuma; obveze dobavljača UI modela opće namjene od 2. kolovoza 2025.; puna primjena na visokorizične sustave od 2. kolovoza 2026.; pravila za ugrađene visokorizične proizvode od 2. kolovoza 2027. Britanski MSP-ovi koji opslužuju kupce u EU-u potpadaju izvanteritorijalno, a smjernice ICO-a obvezuju prema UK GDPR-u od 2023.
Koliko stoji naknadno uvođenje upravljanja UI-jem u odnosu na ugradnju od početka za MSP sa 180 zaposlenih?
Ugradnja od početka tijekom dvanaest tjedana stoji 18.000–32.000 £: registar UI-ja, kurikul informiranosti iz članka 4., protokol ljudskog nadzora s evidentiranjem iz članka 26. stavka 6., paket dubinske analize dobavljača. Naknadno uvođenje istog skupa pod pritiskom provedbe i nabave u 3. tromjesečju 2026. stoji 85.000–145.000 £ u šest do dvanaest stisnutih tjedana, množitelj od 2,7× do 5,1×. Presedan Northbridgea s GDPR-om platio je otprilike 5×, a MIT Sloan je utvrdio da su tvrtke u EU-u smanjile pohranjene podatke za 26 %, a računanje za 15 % nakon 2018.
Prenosi li kupnja ChatGPT Enterprisea ili Microsoft Copilota usklađenost s Aktom o umjetnoj inteligenciji na dobavljača?
Ne. Članak 16. propisuje što dobavljač mora učiniti: ocjenjivanje sukladnosti, tehničku dokumentaciju, praćenje nakon stavljanja na tržište. Članak 26. propisuje što subjekt koji uvodi sustav mora učiniti: koristiti sustav prema uputama, osigurati ljudski nadzor, držati ulazne podatke relevantnima, voditi evidenciju visokorizičnih primjena najmanje šest mjeseci, obavijestiti pogođene radnike i kupce. Čim britanski MSP zalijepi životopis u ChatGPT radi probira kandidata, postaje visokorizični subjekt koji uvodi sustav iz Priloga III. Veličina poduzeća nije dio pravila o klasifikaciji.
Kako zapravo izgleda upravljanje UI-jem od prvog dana za jedan MSP?
Sedam artefakata koje uspostavite u dva tjedna: registar UI-ja s popisom svakog sustava, dobavljača, modela, namjene, razine rizika i vlasnika; stablo razvrstavanja rizika namjena povezano s Prilogom III.; paket dubinske analize dobavljača s ugovorom o obradi, opisom modela i podrijetlom UI modela opće namjene; protokol ljudskog nadzora koji imenuje odgovornu osobu iz članka 26. stavka 5.; kurikul informiranosti iz članka 4.; proces evidentiranja i incidenata iz članka 26. stavka 6.; obavijesti o transparentnosti za UI okrenut kupcima i informativne pakete za radnike.
Odgađa li Digitalni omnibus iz studenoga 2025. Akt o umjetnoj inteligenciji dovoljno da MSP može čekati?
Ne. Omnibus predlaže usko odgađanje režima ocjenjivanja sukladnosti za visokorizične sustave iz Priloga III. za dobavljače. Ne odgađa obveze subjekta koji uvodi sustav iz članka 26., zahtjeve transparentnosti iz članka 50., dužnosti informiranosti iz članka 4. ni disciplinu dokumentiranja procjene učinka na temeljna prava. Zabranjene prakse, obveze za UI modele opće namjene i smjernice ICO-a prema UK GDPR-u već su na snazi i nepromijenjene. Trijalog je zapeo 28. travnja 2026., pa objavljeni rok Komisije ostaje pravno mjerodavna zadana vrijednost. „Imamo vremena do 2027." nije čitanje koje tekst podupire.
Što je procjena učinka na temeljna prava (FRIA) iz članka 27. Akta o umjetnoj inteligenciji i tko je mora provesti?
FRIA je obveza iz članka 27. koja od pojedinih subjekata koji uvode sustav — javnih tijela i privatnih operatera visokorizičnih sustava iz Priloga III. u reguliranim funkcijama poput bodovanja kreditne sposobnosti i određivanja cijena osiguranja — traži procjenu učinka na temeljna prava prije prve uporabe te njezino obnavljanje pri bitnim promjenama. Obuhvat pokriva pogođene osobe, učestalost i trajanje uporabe, vrste šteta, mjere ljudskog nadzora i mehanizme pritužbi. Britanski MSP-ovi koji opslužuju kupce u EU-u u obuhvatu su izvanteritorijalno. Digitalni omnibus ne odgađa disciplinu FRIA-e; njezina ugradnja uz registar UI-ja izbjegava množitelj naknadnog uvođenja.
Hoće li certifikat ISO 42001 pomoći u pripremi za Akt o umjetnoj inteligenciji ili su to odvojeni putovi usklađenosti?
ISO 42001 i Akt o umjetnoj inteligenciji nadopunjuju se, nisu suvišni. ISO 42001 utvrđuje sustav upravljanja UI-jem — uloge upravljanja, registar UI-ja, prepoznavanje rizika, internu reviziju — što izravno ubrzava put ugradnje: registar UI-ja, paket dubinske analize dobavljača, kurikul informiranosti iz članka 4., evidentiranje iz članka 26. stavka 6. Sam po sebi ne ispunjava ocjenjivanje sukladnosti dobavljača iz članka 16., FRIA-u iz članka 27. ni transparentnost iz članka 50. ISO 42001 tretirajte kao upravljačku okosnicu, a Akt kao pravnu površinu; potrebno je oboje.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.