Skip to content

MI-irányítás az első naptól: mennyibe kerül a kkv-knak az utólagos megfeleltetés

Az MI-szabályozás összeér — MI-rendelet (2026. aug.), amerikai tagállami törvények, Ázsia. Aki az első naptól beépíti az irányítást, elkerüli a GDPR-stílusú utólagos megfeleltetés költségcsapdáját.

MI-irányítás az első naptól: mennyibe kerül a kkv-knak az utólagos megfeleltetés
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

2020 júniusában egy 180 fős brit nagykereskedő, akit nevezzünk Northbridge Tradingnek, 142 000 GBP-t fizetett a GDPR utólagos megfeleltetéséért: az adatkezelési tevékenységek nyilvántartásáért, három adatvédelmi hatásvizsgálatért, egy incidenskezelési forgatókönyvért, hat beszállítói szerződésért és egy beépített adatvédelmet (privacy-by-design) megvalósító CRM-átépítésért, amelyet ugyanazok a tanácsadók 28 000 GBP-re áraztak volna, ha két évvel korábban eleve beépítik. Az a működési igazgató, aki ezeket a számlákat aláírta, most ugyanazzal a szakadékkal néz szembe — az MI-vel.

A számla, amelyre senki sem készült

A Northbridge Trading összetett eset, négy valós megbízásból összevarrva 2019 és 2021 között. A neveket megváltoztattuk; a számok valósak. A minta a lényeg, mert épp megismétlődni készül.

2018 májusában a Northbridge egy 200 GBP-s szabályzatsablonnal és azzal az érzéssel teljesítette a GDPR-t, hogy a munka elkészült. 2020 májusában megérkezett az első érintetti hozzáférési kérelem; ezt egy hajszálon múló incidens követte a bérszámfejtési integrációban; két héttel később egy ICO-panasz landolt. 2020 harmadik negyedévére a cég külső jogi tanácsadót és egy adatvédelmi mérnököt vett fel, hogy felépítsen egy adatkezelési tevékenységek nyilvántartását, három adatvédelmi hatásvizsgálatot, egy incidenskezelési forgatókönyvet, hat beszállítói adatfeldolgozói szerződést és egy CRM-átépítést, amelybe a beépített adatvédelmi kontrollokat utólag illesztették a már élő adatáramlásokba. A számla nagyjából ötszöröse volt annak a beépítési alapértéknek, amelyet ugyanaz a tanácsadó cég a 2017-es architektúrára kalkulált — és szabályozói nyomás alatt fizették ki.

Hat évvel később ugyanaz a működési igazgató három, 2025 folyamán bevezetett MI-eszközt üzemeltet: egy önéletrajz-szűrő asszisztenst, egy értékesítésihívás-összefoglalót és egy ügyféltámogató chatbotot. Nincs MI-nyilvántartás, nincs felhasználásikockázat-besorolás, nincs a 26. cikk szerinti dokumentáció, nincs 4. cikk szerinti jártassági tananyag. Az MI-rendelet 2024. augusztus 1-jén lépett hatályba [1]; a Bizottság ütemterve a teljes alkalmazhatóságot, beleértve a legtöbb nagy kockázatú rendszerre vonatkozó kötelezettséget, 2026. augusztus 2-ra teszi [2]. Az önéletrajz-szűrő eszköz a III. melléklet szerinti nagy kockázatú. Az ICO MI-iránymutatása 2023 óta kötelező a brit kkv-kra a UK GDPR alatt [7]. „Megtagadom — mondja nekünk —, hogy másodszor is kiállítsam azt a csekket.”

Az összeérés: miért szűnt meg a „kivárás” óvatos lenni 2024-ben

A „globális összeérés”, amely a beépítés melletti érvet hajtja, nem marketingszlogen. 2024-ben a szabályozási mennyiség mérhetővé vált, a közös műszaki gerinc pedig láthatóvá.

A számok, amelyeket a szabályozók nem akarnak, hogy átsiklasson rajtuk

A Stanford HAI 2025-ös AI Indexe 59 amerikai szövetségi MI-szabályozást rögzít 2024-ben, ami több mint a kétszerese a 2023-asnak, és kétszer annyi ügynökséget érint [3]. Az amerikai tagállamok egyetlen év alatt 131 MI-törvényt fogadtak el, szemben a 2023-ig összesen 49-cel [3]. Az MI-vel kapcsolatos jogalkotási említések 21,3 %-kal emelkedtek 75 országban 2024-ben [3]. Egy működési igazgató számára, aki azt dönti el, hogy most cselekedjen-e vagy várjon, ez a mennyiség nem háttérzaj. Ez a jelzés.

Az (EU) 2024/1689 rendelet 2024. augusztus 1-jén lépett hatályba [1]. A Bizottság szakaszolt ütemterve a legvilágosabb közzétett menetrend: a tiltott gyakorlatok 2025. február 2. óta élnek; az általános célú MI-modellek kötelezettségei 2025. augusztus 2. óta; a teljes nagy kockázatú alkalmazhatóság 2026. augusztus 2-tól; a beágyazott nagy kockázatú termékek szabályai 2027. augusztus 2-ra kitolva [2]. Ez nem egyetlen szakadék. Ez lépcsősor. Aki a legfelső lépcsőfokig vár, már kettőt elmulasztott.

A közös horgony: OECD, NIST, ISO/IEC 42001

A mennyiség alatt egy közös gerinc húzódik, amely a korán beépített irányítást tartóssá teszi a joghatóságok között. Az OECD 2024 májusában felülvizsgált MI-alapelveit 47 vagy több ország fogadta el [4]. Ezek alkotják az EU, az Egyesült Királyság, az USA és a G7 közötti összehangolás kifejezett alapját. A NIST mesterséges intelligenciára vonatkozó kockázatkezelési kerete (AI Risk Management Framework 1.0) négy funkció köré szervezi a kötelezettségeket: Govern, Map, Measure és Manage [5]. Az MI-rendelet szabványosítási programja erre a magra hivatkozik; a brit AI Playbook (2025. február) 10 alapelvet kodifikál a kormányzati MI-re, és egyenértékű szabványokat jelez a beszállítói láncának [6].

Az ISO/IEC 42001 azzá a beszerzésérett tanúsítvánnyá vált, amelyet a középpiaci szegmens vevői ma kérnek. Az OECD-alapelvek, a NIST-funkciók és az ICO-követelmények metszetére tervezett irányítás túléli bármely egyetlen szabályozási rendszer szigorítását. A közös gerinc elnyeli a változékonyságot.

Az MI-rendelet idővonala: hatálybalépés 2024 augusztusában; tiltott gyakorlatok és MI-jártassági kötelezettségek 2025 februárjában; az általános célú MI szabályai 2025 augusztusában; a teljes nagy kockázatú kötelezettségek 2026 augusztusában; a beágyazott nagy kockázatú termékek 2027 augusztusában.
Az MI-rendelet idővonala, a hatálybalépéstől a teljes nagy kockázatú kötelezettségekig 2026 augusztusában.

Miért omlik össze a „a szolgáltató intézi a megfelelést” a 26. cikk alatt?

A legnehezebb mondat, amelyet bármely szolgáltató marketingoldalára le lehet írni, ez: „Az alkalmazó feladatát nem tudjuk Önöktől átvállalni.” Az MI-rendelet alatt a szolgáltató–alkalmazó határvonal kifejezett, és nem mozdul el attól, hogy vállalati szintű csomagot vásárolt.

A megosztott felelősség modellje köznapi nyelven

A 16. cikk rögzíti, mit kell a szolgáltatónak tennie: megfelelőségértékelés, műszaki dokumentáció, forgalomba hozatal utáni nyomon követés [1]. A 26. cikk rögzíti, mit kell az alkalmazónak tennie: az utasítás szerint használni a rendszert, biztosítani az emberi felügyeletet, relevánsan tartani a bemeneti adatokat, legalább hat hónapig naplózni a nagy kockázatú felhasználásokat, és tájékoztatni az érintett munkavállalókat és ügyfeleket [1]. A 4. cikk egy MI-jártassági kötelezettséget rétegez minden MI-t használó munkatársra, a szerepkörével arányosan, függetlenül attól, melyik modell van alatta [1]. Az 50. cikk megköveteli, hogy a felhasználók tudják, mikor lépnek interakcióba MI-vel, minden kockázati szinten [1].

Ez a négy cikk olyan kötelezettségeket ír le, amelyek a kkv-nál maradnak. A szolgáltató által aláírt adatfeldolgozói szerződés nem rendeli át őket.

Amit a ChatGPT Enterprise és a Copilot nem vesz át

Abban a pillanatban, amikor egy brit kkv önéletrajzot illeszt be a ChatGPT-be jelöltek szűrésére, a III. melléklet szerinti nagy kockázatú alkalmazóvá válik [1]. Ez a felhasználásibesorolás az alkalmazó döntése. Az OpenAI Enterprise Privacy oldala a modell oldali garanciákat fedi le: nincs tanítás az üzleti adatokon, titkosítás, auditnaplók. Nem sorolja be az Önök felhasználási esetét, nem írja meg az emberi felügyeleti protokollt, nem képzi a személyzetet, és nem vezeti a 26. cikk (6) bekezdése szerinti alkalmazói naplókat. Egy 40 fős kkv, amely önéletrajz-szűrő MI-t üzemeltet, ugyanazokat a 26. cikk szerinti kötelezettségeket viseli, mint egy FTSE 100 munkáltató. A cégméret nem szerepel a besorolási szabályban.

A UK GDPR alatt az adatkezelői viszony ugyanezt a logikát követi. A promptban szereplő személyes adat a kkv-t teszi adatkezelővé. Az érintetti jogok nem ruházhatók át a szolgáltatóra.

Az ICO 2023 óta egyértelmű

Az ICO MI-iránymutatása lefedi, hogyan alkalmazandók a UK GDPR elvei a személyes adatokat kezelő MI-re, beleértve az adatvédelmi hatásvizsgálat követelményeit, a torzítás mérséklését és az automatizált döntéshozatalt [7]. Az iránymutatás felülvizsgálat alatt áll a Data (Use and Access) Act 2025 nyomán, amely 2025. június 19-én lépett hatályba [7]. Az ICO MI-auditáló eszköztára konkrét ellenőrzőlistákat ad az irányítás, az elszámoltathatóság, az átláthatóság és az egyéni jogok mentén [8]. Ezek az ellenőrzőlisták azt írják le, mire van szüksége az alkalmazónak az ICO látogatása előtt, nem utána. A Northbridge három eszközéből egyik sincs meg. A szolgáltató adatfeldolgozói szerződése a szolgáltatóra terjed ki. A hiányosság az alkalmazóé.

A GDPR utólagos megfeleltetésének költségbizonyítéka: amit empirikusan tudunk

Az irányítás korai beépítése melletti empirikus érv nem megérzésre épül. Arra épül, ami azokkal az uniós cégekkel történt, amelyek a GDPR-t 2018-ban utógondolatként kezelték.

MIT Sloan / Bessen és társai — az egyetlen nagy mintás utólagos-megfeleltetési tanulmány

Az MIT Sloan / Bessen, Janßen, Peukert és Seamans tanulmány az uniós és nem uniós cégeket hasonlította össze 2018 májusa után, amikor a végrehajtás megkezdődött. A megállapítások egyértelműek: az uniós cégek 26 %-kal csökkentették a tárolt adatokat és 15 %-kal a számításfelhasználást a nem uniós kontrollcsoporthoz képest [9]. A csökkenés abban a körben koncentrálódott, amely nem eleve az adatvédelemre tervezett — az utólagosan megfeleltetők körében. Ezek nem bírságok vagy jogi költségek voltak. Működési zavarok voltak: megszüntetett termékek, kitisztított marketingadatbázisok, nulláról újraépített integrációk. Azok a cégek, amelyek 2016-tól beépítették az adatvédelmet, e vágások nélkül vették be ugyanazt a szabályozást.

A Northbridge Trading az utólagos megfeleltetés útját járta. 2018-ban egy 200 GBP-s szabályzatsablonnal teljesítette a GDPR-megfelelést, és két évvel később fedezte fel a valódi költséget. Az MIT Sloan adatai pontosan azt írják le, amit kifizetett: az architekturális átdolgozást, amely akkor jön, amikor a megfelelési kötelezettségeket egy olyan rendszerbe húzzák be, amelyet nem ezek hordozására terveztek.

A 2,4-szeres utólagos-megfeleltetési szorzó

Az iparági utólagos-megfeleltetési költség-referenciaértékek ugyanerre a következtetésre jutnak a költségoldalról: a későn alkalmazó kkv-k nagyjából 2,4-szeresét fizették annak, amit a beépítő versenytársak — a ROPA, az adatvédelmi hatásvizsgálatok, a jogalap-nyilvántartások, az incidenskezelési folyamatok, az adatfeldolgozói szerződések újratárgyalása és a CRM-átdolgozás mentén.

E GDPR-kategóriák mindegyike közvetlenül leképeződik egy MI-rendeleti megfelelőre. Az MI-nyilvántartás váltja fel a ROPA-t. Az alapvető jogi hatásvizsgálat a 27. cikk szerint váltja fel a GDPR adatvédelmi hatásvizsgálatát. A 26. cikk (6) bekezdése szerinti alkalmazói naplózás váltja fel az incidensnaplót. A kategóriák ugyanazok; az összefonódás mélyebb. Az MI-modellek, promptok és munkafolyamatok architekturálisan úgy összekapcsoltak, ahogyan az adatáramlások nem voltak. A naplózási kampók vagy felügyeleti kontrollok kihúzása egy bevezetett MI-folyamatból mérnöki újraírás, nem szabályzati dokumentum. Ezért esik a Northbridge nagyjából 5-szörös szorzója jócskán abba a tartományba, amelyet az iparági adatok végrehajtási nyomás alatt előrejeleznek.

Költségszámítás egy kkv-nak: beépítés kontra utólagos megfeleltetés, tételről tételre

Az utólagos-megfeleltetési szorzó és az MIT Sloan működési adatai hasznos horgonyok, de egy működési igazgatónak olyan számokra van szüksége, amelyeket beletehet egy igazgatótanácsi anyagba. Itt a számítás egy 180 fős kkv-ra, amely három MI-eszközt üzemeltet.

Beépítési alapérték egy 180 fős kkv-nak 3 MI-eszközzel

Az MI-irányítás eleve beépítése, tizenkét hétre elosztva, a megbízási tapasztalatunk szerint a következőbe kerül:

  • MI-nyilvántartás és felhasználásikockázat-besorolás: 4–6 nap belső ráfordítás, plusz 2 000–4 000 GBP tanácsadói felülvizsgálat
    1. cikk szerinti jártassági tananyag (90 perces alap minden munkatársnak; egész napos az MI-felelősöknek): 3 000–5 000 GBP
  • Az architektúrába épített emberi felügyeleti protokoll és 26. cikk (6) bekezdése szerinti naplózás: 4 000–6 000 GBP mérnöki munka, plusz 2 napos jogi felülvizsgálat
  • Beszállító-átvilágítási csomag az adatfeldolgozói szerződésekkel, modellkártyákkal és általános célú MI-modell közzétételi nyomvonalával: 2 000–3 000 GBP

Irányadó, mindent magában foglaló beépítés: 18 000–32 000 GBP tizenkét hét alatt.

Utólagos-megfeleltetési költségvetés végrehajtási nyomás alatt (2026 H3)

Ugyanennek az utólagos megfeleltetése 2026 harmadik negyedévének nyomása alatt lényegesen magasabbra fut:

  • Külső jogi tanácsadó, amely incidens után felméri a III. melléklet szerinti kitettséget: 15 000–25 000 GBP
  • FRIA (27. cikk) és adatvédelmi hatásvizsgálat frissítése három már bevezetett eszközön: 20 000–35 000 GBP
  • Naplózás utólagos beépítése és emberi felügyeleti munkafolyamat újraépítése: 40 000–70 000 GBP
  • Munkavállalói konzultáció, átláthatósági tájékoztatók és ügyfél-tájékoztatások: 8 000–12 000 GBP

Irányadó, mindent magában foglaló utólagos megfeleltetés: 85 000–145 000 GBP hat–tizenkét hét összepréselt korrekció alatt. Az arány nagyjából 2,7-szerestől 5,1-szeresig fut, megismételve az iparági referenciaérték alsó határát és elérve a Northbridge felső határát.

Miért rosszabb a szorzó, mint a GDPR esetében

Három strukturális ok tolja az MI utólagos-megfeleltetési szorzóját a GDPR-érték fölé. Először: az MI-munkafolyamatok összefonódottak — a promptok, modellverziók és a downstream automatizált műveletek tervezésüknél fogva összekapcsoltak, így az átdolgozási felület nagyobb, mint az adatáramlások átkötése. Másodszor: a beszerzési átépítések a szabályozói határidővel párhuzamosan futnak. Az a kkv, amely a korrekció közben veszít pályázatokat, mindkét költséget egyszerre fizeti. Harmadszor: a szankcióplafon magasabb. A 99. cikk a bírságot a teljes éves világpiaci forgalom 7 %-áig vagy 35 millió EUR-ig szabja a tiltott gyakorlatokért [1]. Az MI-felelősségi irányelv olyan polgári jogi igénykitettséget tesz hozzá, amelyet a GDPR nem generált.

Egy 25 millió GBP éves forgalmú brit kkv-nál egy óvatos alapszámítás (a kkv-csökkentések előtt) eléri a 750 000 EUR-t [1]. A beépítés költsége nem megfelelési rezsi. Olyan bírság elleni fedezet, amely önmagának többszöröse.

Az irányítás eleve beépítése szemléltető 18 000–32 000 fontba kerül 12 hét alatt; az utólagos megfeleltetése később 85 000–145 000 fontba, nagyjából 2,7–5,1-szeres szorzó.
Az irányítás beépítése kontra utólagos megfeleltetése, szemléltető 2,7–5,1-szeres költségszorzó.

Melyik hét dokumentum alkotja az első naptól meglévő MI-irányítást?

Az 50–500 fős kkv első naptól meglévő MI-irányítása nem elvont. Hét dokumentum, amelyet két hét alatt felállíthat.

1–3: Leltár és besorolás

1. dokumentum — MI-nyilvántartás. Egyoldalas séma: rendszernév, szolgáltató, modell, felhasználási eset, adatosztályok, kockázati szint, felelős, felügyeleti protokoll és felülvizsgálati dátum. Nem igényel tanácsadót a felépítéséhez; fegyelmet igényel a fenntartásához.

2. dokumentum — felhasználásikockázat-besorolási döntési fa. A III. melléklet kategóriáihoz rendelve: foglalkoztatási szűrés, hitelpontozás, oktatási hozzáférés, biometrikus azonosítás és kritikus infrastruktúra [1]. Ha egy eszköz e munkafolyamatok bármelyikét érinti, nagy kockázatú kötelezettségeket vált ki.

3. dokumentum — beszállító-átvilágítási csomag. Adatfeldolgozói szerződés, modellkártya, általános célú MI-modell közzététele, megfelelőségértékelési összefoglaló és alfeldolgozói lista. Itt számít az alapul szolgáló szolgáltató GPAI Code of Practice szerinti aláírói státusza [13].

4–5: Működtetés és védelem

4. dokumentum — emberi felügyeleti protokoll. A 26. cikk (5) bekezdése megnevezett embert követel, aki bármely automatizált döntést felül tud vizsgálni és felül tud bírálni [1]. A protokoll meghatározza, ki ez a személy, a felülbírálási munkafolyamatot, az eszkalációs kritériumokat és a felülvizsgálati ütemet.

5. dokumentum — 4. cikk szerinti MI-jártassági tananyag. 90 perces alap minden munkatársnak, fél nap a haladó felhasználóknak és egész nap az MI-felelősöknek, évente frissítve [1]. A 4. cikk minden alkalmazóra vonatkozik, függetlenül a szolgáltatótól, és az arányosság a szerepkörrel skálázódik, nem a létszámmal.

6–7: Dokumentálás és reagálás

6. dokumentum — naplózási és incidensfolyamat. A 26. cikk (6) bekezdése szerinti alkalmazói naplók, a modellsodródás (model-drift) figyelése, valamint az NCSC Guidelines for Secure AI System Development biztonságiéletciklus-kontrolljai, amely a CISA-val és 21 nemzetközi kiberügynökséggel közös iránymutatás [10]. Építse a naplót az architektúrába; a mérnöki kampók nélküli szabályzati dokumentumok auditkor elbuknak.

7. dokumentum — átláthatósági és munkavállalói tájékoztató csomag. 50. cikk szerinti felhasználói tájékoztatók az ügyfélnek szóló MI-hez, 26. cikk (7) bekezdése szerinti munkavállalói tájékoztatás minden olyan MI-hez, amely munkavállalókat figyel, és egy egyértelmű panaszút [1].

A szabályozó által áldott keretekhez horgonyozva

Minden dokumentum leképeződik az ICO MI-auditáló keretének irányítási és elszámoltathatósági ellenőrzőlistáira [8], valamint a NIST AI RMF magjára: Govern, Map, Measure és Manage [5]. Az ISO/IEC 42001 ugyanerre a hét dokumentumból álló halmazra képeződik le. Építse fel ezeket egyszer, és egyszerre több rendszernek is megfelelnek.

A beszerzés az a végrehajtási mechanizmus, amelyet az ügyfelei előrébb hoztak

Minden keresőtalálat a szabályozói bírságok lencséjén át keretezi az MI-rendelet végrehajtását. Egyik sem említi, amit a középpiaci szegmensbe és nagyvállalatoknak értékesítő brit kkv-k már 2026-ban tapasztalnak: a vevő kérdőíve ért oda elsőként.

Mit kérnek most a középpiaci szegmens és a nagyvállalati vevők

A késői szakaszú brit pályázatok beszállítói kérdőívei ma az ISO/IEC 42001 kontrollcsaládjaira és a NIST AI RMF négyfunkciós magjára hivatkoznak [5]. Bizonyítékot kérnek egy MI-nyilvántartásról és felhasználásikockázat-besorolásról, egy dokumentált emberi felügyeleti protokollról a 26. cikk (5) bekezdésével szemben [1], és alfeldolgozói közzétételt az általános célú MI-modell eredetével: melyik alapmodell, melyik szolgáltató, és melyik szolgáltató írta alá a gyakorlati kódexet [13]. A beszerzési csapatok nem várnak a végrehajtási iránymutatásra. A saját beszállítói láncukat védik az ellen a felelősség ellen, amely felfelé áramlik, amikor egy beszállító MI-eszköze incidenst vált ki.

Az előző szakaszban felsorolt hét dokumentum pontosan az, amit egy 9. szakaszos beszállítói kérdőív kér.

A Northbridge elveszít egy pályázatot 2026 második negyedévében

A Northbridge Trading egy 420 000 GBP-s, hároméves szerződésre pályázott egy szabályozott középpiaci ügyfélnél 2026 második negyedévében. A 9. szakasz így szólt: „Tartson fenn MI-nyilvántartást, FRIA-folyamatot és emberi felügyeleti protokollt — szolgáltasson bizonyítékot.” A Northbridge nem tudott válaszolni. A szerződés egy versenytárshoz került, amelynek volt egy egyoldalas nyilvántartása és egy NIST-formájú szabályzatkészlete. A beszerzés vezérelte átépítés most a szabályozói határidő tetejére ül. Mindkét óra ketyeg.

Közszférás öröklés

A kormányzatnak értékesítő brit kkv-k ugyanezzel a standarddal néznek szembe egy másik csatornán keresztül. A kormány 2025 februárjában közzétett AI Playbookja 10 alapelvet fektet le az etikus felhasználásról, az elszámoltathatóságról, az átláthatóságról és az életciklus-kezelésről, és a beszállítók ezeket szerződéses feltételként öröklik [6]. A DSIT AI Opportunities Action Plan, amelyet 2025 januárjában teljes egészében elfogadtak, a felelős MI-bevezetést mint beszállítói-lánc-elvárást erősíti meg [11]. A CMA AI Foundation Models Initial Report egy fogyasztóvédelmi és versenyjogi lencsét tesz hozzá, amely rárakódik bármely alapmodell-bevezetésre [12].

A szabályozó látókörén kívül maradni nem ment meg a vevő kérdőívétől. A Northbridge ezt drágán tanulta meg.

Mit halaszt el — és mit NEM halaszt el — a Digital Omnibus

A 2025. novemberi Digital Omnibus címsora („az EU elhalasztja az MI-rendeletet”) nem éli túl a tényleges javaslat alapos elolvasását. A zűrzavar érthető. A címsor nem pontos.

Ami már él és nem mozdult

Négy kötelezettség már hatályban van, és egyetlen Omnibus-kimenetel sem érinti őket. A tiltott gyakorlatok tilalma 2025. február 2. óta él [2]. A 4. cikk szerinti MI-jártassági kötelezettség 2025. február 2. óta él [1]. Az általános célú MI-modellek szolgáltatóinak kötelezettségei és a GPAI Code of Practice rendszere 2025. augusztus 2-án lépett életbe [2]. A UK GDPR pedig már most kötelező minden személyes adatot kezelő brit szervezetre, a kkv-kat is beleértve; az ICO MI-re és adatvédelemre vonatkozó iránymutatása a szabályozó értelmezése arról, hogyan alkalmazandó ez a jogszabály az MI-rendszerekre — nem törvényi kódex, hanem az a gyakorlati megfelelési alapérték, amelyhez az ICO mérni fog [7].

Mit javasol valójában a Digital Omnibus

Az Omnibus a III. melléklet szerinti nagy kockázatú megfelelőségértékelési rendszer szűk halasztását javasolja — a műszaki dokumentációt és az uniós adatbázisba való regisztrációt bizonyos nagy kockázatú MI-rendszer-kategóriák szolgáltatói számára. Nem javasolja a 26. cikk szerinti alkalmazói kötelezettségek, az 50. cikk szerinti átláthatósági követelmények, a 4. cikk szerinti jártassági kötelezettségek vagy a FRIA-dokumentációs fegyelem elhalasztását. Ezek a kötelezettségek a közzétett menetrenden maradnak.

A háromoldalú egyeztetés 2026. április 28-án megakadt. E sorok írásakor új időpont volt függőben. A Bizottság közzétett határideje ezért marad a jogilag irányadó alapérték [2]. Azok a kkv-k, amelyek a „2027-re halasztva” olvasatot olvasták, és erre alapozva elhalasztották az irányítás megtervezését, már le vannak maradva az alkalmazói oldali kötelezettségektől, amelyek soha nem mozdultak.

A stabil mag, amelyet egyetlen Omnibus-kimenetel sem érint

A stabil magra (felhasználás szerinti kockázat-besorolás, emberi felügyelet, alkalmazói naplózás, FRIA- és adatvédelmi-hatásvizsgálati dokumentáció, MI-jártassági képzés, átláthatósági közzététel) tervezett irányítás túléli, akármelyik Omnibus-verzió érkezik végül. Ami az Omnibus-verziók között változik, az az, hogy egy felhasználási eset melyik mellékletbe esik, nem az, hogy egy kkv-nak szüksége van-e nyilvántartásra, felügyeleti protokollra és incidensfolyamatra. A „2027-ig van időnk” olvasatot a szöveg nem támasztja alá.

Hogyan építhet fel egy kkv MI-irányítást 90 nap alatt?

Tizenkét hét elég ahhoz, hogy eleve beépített irányítást szállítson, ha a munkát sorrendbe állítja. Itt a hétről hétre szóló terv egy 50–500 fős kkv-nak, amely nulláról indul.

1–3. hét — Leltár és besorolás

Tárjon fel minden használatban lévő MI-eszközt, beleértve az árnyék-MI-t (shadow AI): a Microsoft 365-be ágyazott Copilotot, a böngészőkiegészítő MI-t, a réspiaci SaaS-modulokat olyan MI-funkciókkal, amelyeket a beszerzési csapata sosem értékelt kifejezetten. Állítsa fel az MI-nyilvántartást, és rendeljen felelőst minden rendszerhez. Futtassa le a felhasználásikockázat-besorolási fát a III. melléklettel szemben, és jelöljön meg minden kitettséget a HR-szűrésben, hitelpontozásban, oktatásban, biometrikus azonosításban vagy kritikus infrastruktúrában [1]. Futtasson le egy gyors jogalap-felülvizsgálatot a UK GDPR szerint minden, személyes adatot kezelő rendszerre [7].

4–7. hét — Működtetés és dokumentálás

Készítse el az emberi felügyeleti protokollt minden nagy kockázatú és korlátozott kockázatú rendszerre: megnevezett ember, felülbírálási munkafolyamat, eszkalációs kritériumok, felülvizsgálati ütem (4. dokumentum). Vezesse be a 26. cikk (6) bekezdése szerinti naplózást mindenütt, ahol a platform támogatja; egyébként építse fel az alkalmazói oldali naplót. Ezt ne hagyja szabályzati dokumentumokra [8]. Futtassa le a 4. cikk szerinti MI-jártassági tananyagot: előbb a 90 perces, minden munkatársnak szóló alapot, majd a haladó-felhasználói és MI-felelősi mélységi foglalkozásokat [1]. Frissítse az adatvédelmi hatásvizsgálatokat és a FRIA-kat az ICO eszköztárával szemben minden nagy kockázatú rendszerre [8].

8–12. hét — Beszerzésre kész és felülvizsgálat

Építse fel a beszállító-átvilágítási csomagot: adatfeldolgozói szerződések, modellkártyák, általános célú MI-modell eredete, alfeldolgozói listák és GPAI Code of Practice szerinti aláírói státusz minden alapmodell-szolgáltatóra [13]. Tegye közzé az 50. cikk szerinti átláthatósági tájékoztatókat az ügyfélnek szóló MI-n; tájékoztassa az érintett munkavállalókat a 26. cikk (7) bekezdése szerint [1]. Képezze le a hét dokumentumot arra a beszerzési kérdőívformátumra, amelyet a középpiaci szegmens vevői küldenek: ISO/IEC 42001 kontrollcsaládok és NIST AI RMF funkciók [5]. Ütemezze be az első negyedéves irányítási felülvizsgálatot, és nevezzen ki egy felső vezetői felelőst az ICO eszköztárának követelménye szerint [8].

Két elkerülendő antiminta

Először: 40 000 GBP-s eszközelőfizetést vásárolni, mielőtt a nyilvántartás megtelne. Az eszközbeszerzés irányítási hatókör nélkül puszta látszat. Az eszköz olyan kockázatokat hoz felszínre, amelyeket a kkv még nem definiált.

Másodszor: a 4. cikk szerinti jártasságot egyszeri webináriumként kezelni. A kötelezettség folyamatos és a szerepkörrel arányos [1]. Egy 90 perces indítófoglalkozás kielégíti az alapot; nem elégíti ki az éves frissítést vagy az MI-felelősöknek szóló mélyebb foglalkozásokat. Az az architekturális újraírás, amelyet a GDPR utólagos megfeleltetői kifizettek, azért jött, mert szabályzati dokumentumokat írtak, a mérnöki munkát pedig kihagyták. Ugyanaz a minta MI-re alkalmazva ugyanazt az eredményt hozza.

A tanulság

A tanulság, amelyet a Northbridge már megfizetett

2020 júniusában a Northbridge működési igazgatója 142 000 GBP számlát írt alá a GDPR utólagos megfeleltetéséért, egy 28 000 GBP-s beépítési alapértékkel szemben. Ez nem beszerzési kudarc volt. Ez az, ami akkor történik, amikor egy hozzáértő működtető a megfelelést olyasminek tekinti, amit egyszer ráaggat, miután a termék már működik. Az MIT Sloan adatai mintává alakítják ezt a tapasztalatot: az uniós cégek 2018 után 26 %-kal csökkentették a tárolt adatokat és 15 %-kal a számítást, és a hatás azoknál a cégeknél volt a legnagyobb, amelyek nem építették be az adatvédelmet az első naptól [9]. Az MI-rendelet épp másodszor készül megtanítani ezt a leckét.

Az MI-irányítás utólagos megfeleltetése rosszabbul fut, mert a naplózás, az emberi felügyelet és a promptok összefonódtak a munkafolyamat-architektúrával. A beszerzés a szabályozók előtt érvényesíti a rendeletet. A hét dokumentum 18 000–32 000 GBP-be kerül beépítve; 85 000–145 000 GBP-be kerül utólag megfeleltetve, végrehajtási és beszerzési nyomás alatt egyszerre. A számítás nem finom.

Összefoglalás

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Kapcsolódó betekintők

Frequently Asked Questions

Mikor lép hatályba az MI-rendelet a brit kkv-k számára, és mely kötelezettségek élnek már most?
Ez lépcsősor, nem egyetlen szakadék. A rendelet 2024. augusztus 1-jén lépett hatályba. A tiltott gyakorlatok 2025. február 2. óta élnek; a 4. cikk szerinti MI-jártassági kötelezettségek ugyanattól a naptól; az általános célú MI-modellek szolgáltatóinak kötelezettségei 2025. augusztus 2. óta; a teljes nagy kockázatú alkalmazhatóság 2026. augusztus 2-án érkezik; a beágyazott nagy kockázatú termékek szabályai 2027. augusztus 2-án. Az EU-s ügyfeleket kiszolgáló brit kkv-k területen kívüli hatállyal a hatály alá esnek, az ICO MI-iránymutatása pedig 2023 óta kötelező a UK GDPR alatt.
Mennyibe kerül utólag megfeleltetni az MI-irányítást ahhoz képest, mintha egy 180 fős kkv eleve beépítené?
A tizenkét hétre elosztott beépítés 18 000–32 000 GBP: MI-nyilvántartás, 4. cikk szerinti jártassági tananyag, emberi felügyeleti protokoll a 26. cikk (6) bekezdése szerinti naplózással, beszállító-átvilágítási csomag. Ugyanennek az utólagos megfeleltetése 2026 harmadik negyedévének végrehajtási és beszerzési nyomása alatt 85 000–145 000 GBP hat–tizenkét összepréselt hét alatt, ami 2,7–5,1-szeres szorzó. A Northbridge GDPR-precedense nagyjából 5-szörösét fizette, az MIT Sloan pedig azt találta, hogy az uniós cégek 2018 után 26 %-kal csökkentették a tárolt adataikat és 15 %-kal a számítást — az utólagosan megfeleltetők körében koncentrálódva.
Áthárítja-e az MI-rendeletnek való megfelelést a szolgáltatóra, ha ChatGPT Enterprise-t vagy Microsoft Copilotot vásárol?
Nem. A 16. cikk rögzíti, mit kell a szolgáltatónak tennie: megfelelőségértékelés, műszaki dokumentáció, forgalomba hozatal utáni nyomon követés. A 26. cikk rögzíti, mit kell az alkalmazónak tennie: az utasítás szerint használni a rendszert, biztosítani az emberi felügyeletet, relevánsan tartani a bemeneti adatokat, legalább hat hónapig naplózni a nagy kockázatú felhasználásokat, tájékoztatni az érintett munkavállalókat és ügyfeleket. Abban a pillanatban, amikor egy brit kkv önéletrajzot illeszt be a ChatGPT-be jelöltek szűrésére, a III. melléklet szerinti nagy kockázatú alkalmazóvá válik. A cégméret nem szerepel a besorolási szabályban.
Hogyan néz ki valójában egy kkv első naptól meglévő MI-irányítása?
Hét dokumentum, amelyet két hét alatt felállíthat: MI-nyilvántartás, amely felsorol minden rendszert a szolgáltatóval, modellel, felhasználási esettel, kockázati szinttel és felelőssel; a III. melléklethez rendelt felhasználásikockázat-besorolási fa; beszállító-átvilágítási csomag az adatfeldolgozói szerződéssel, a modellkártyával és az általános célú MI-modell eredetével; emberi felügyeleti protokoll, amely megnevezi a 26. cikk (5) bekezdése szerinti felelős személyt; 4. cikk szerinti MI-jártassági tananyag; naplózási és incidenskezelési folyamat a 26. cikk (6) bekezdése szerint; átláthatósági tájékoztatók az ügyfélnek szóló MI-hez és munkavállalói tájékoztató csomagok.
Annyira elhalasztja-e a 2025. novemberi Digital Omnibus az MI-rendeletet, hogy egy kkv várhat?
Nem. Az Omnibus csak a III. melléklet szerinti nagy kockázatú megfelelőségértékelési rendszer szűk halasztását javasolja a szolgáltatóknak. Nem halasztja el a 26. cikk szerinti alkalmazói kötelezettségeket, az 50. cikk szerinti átláthatóságot, a 4. cikk szerinti jártassági kötelezettségeket, sem az alapvető jogi hatásvizsgálat (FRIA) dokumentációját. A tiltott gyakorlatok, az általános célú MI-modellek kötelezettségei és az ICO UK GDPR szerinti iránymutatása már él, és nem mozdult. A háromoldalú egyeztetés 2026. április 28-án megakadt, így a Bizottság közzétett határideje a jogilag irányadó alapérték. A „2027-ig van időnk” olvasatot a szöveg nem támasztja alá.
Mi az alapvető jogi hatásvizsgálat (FRIA) az MI-rendelet 27. cikke szerint, és kinek kell elvégeznie?
A FRIA a 27. cikk szerinti kötelezettség. Bizonyos alkalmazóktól — közintézményektől és a III. melléklet szerinti nagy kockázatú rendszereket szabályozott funkciókban (pl. hitelképesség-pontozás, biztosítási árazás) működtető magánszereplőktől — megköveteli, hogy az első használat előtt felmérjék az alapvetőjogi hatást, és lényeges változáskor frissítsék. A hatókör: az érintett személyek, a használat gyakorisága és időtartama, a kártípusok, az emberi felügyeleti intézkedések és a panaszmechanizmusok. Az EU-s ügyfeleket kiszolgáló brit kkv-k területen kívül is a hatály alá esnek. A Digital Omnibus a FRIA-t nem halasztja; az MI-nyilvántartással megtervezve elkerülhető a szorzó.
Segít-e az ISO 42001 tanúsítás az MI-rendeletre való felkészülésben, vagy különálló megfelelési sávok?
Az ISO 42001 és az MI-rendelet kiegészítik egymást, nem redundánsak. Az ISO 42001 egy MI-irányítási rendszert ír elő — irányítási szerepek, MI-nyilvántartás, kockázatazonosítás, belső audit —, amely közvetlenül gyorsítja a beépítés útját: MI-nyilvántartás, beszállító-átvilágítási csomag, 4. cikk szerinti jártassági tananyag, 26. cikk (6) bekezdése szerinti naplózás. Önmagában nem elégíti ki a szolgáltatói megfelelőségértékelést a 16. cikk szerint, a FRIA-t a 27. cikk szerint, sem az átláthatóságot az 50. cikk szerint. Kezelje az ISO 42001-et irányítási gerincként, a rendeletet pedig jogi felületként; mindkettő kell.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.