MI-irányítás az első naptól: mennyibe kerül a kkv-knak az utólagos megfeleltetés
Az MI-szabályozás összeér — MI-rendelet (2026. aug.), amerikai tagállami törvények, Ázsia. Aki az első naptól beépíti az irányítást, elkerüli a GDPR-stílusú utólagos megfeleltetés költségcsapdáját.

2020 júniusában egy 180 fős brit nagykereskedő, akit nevezzünk Northbridge Tradingnek, 142 000 GBP-t fizetett a GDPR utólagos megfeleltetéséért: az adatkezelési tevékenységek nyilvántartásáért, három adatvédelmi hatásvizsgálatért, egy incidenskezelési forgatókönyvért, hat beszállítói szerződésért és egy beépített adatvédelmet (privacy-by-design) megvalósító CRM-átépítésért, amelyet ugyanazok a tanácsadók 28 000 GBP-re áraztak volna, ha két évvel korábban eleve beépítik. Az a működési igazgató, aki ezeket a számlákat aláírta, most ugyanazzal a szakadékkal néz szembe — az MI-vel.
A számla, amelyre senki sem készült
A Northbridge Trading összetett eset, négy valós megbízásból összevarrva 2019 és 2021 között. A neveket megváltoztattuk; a számok valósak. A minta a lényeg, mert épp megismétlődni készül.
2018 májusában a Northbridge egy 200 GBP-s szabályzatsablonnal és azzal az érzéssel teljesítette a GDPR-t, hogy a munka elkészült. 2020 májusában megérkezett az első érintetti hozzáférési kérelem; ezt egy hajszálon múló incidens követte a bérszámfejtési integrációban; két héttel később egy ICO-panasz landolt. 2020 harmadik negyedévére a cég külső jogi tanácsadót és egy adatvédelmi mérnököt vett fel, hogy felépítsen egy adatkezelési tevékenységek nyilvántartását, három adatvédelmi hatásvizsgálatot, egy incidenskezelési forgatókönyvet, hat beszállítói adatfeldolgozói szerződést és egy CRM-átépítést, amelybe a beépített adatvédelmi kontrollokat utólag illesztették a már élő adatáramlásokba. A számla nagyjából ötszöröse volt annak a beépítési alapértéknek, amelyet ugyanaz a tanácsadó cég a 2017-es architektúrára kalkulált — és szabályozói nyomás alatt fizették ki.
Hat évvel később ugyanaz a működési igazgató három, 2025 folyamán bevezetett MI-eszközt üzemeltet: egy önéletrajz-szűrő asszisztenst, egy értékesítésihívás-összefoglalót és egy ügyféltámogató chatbotot. Nincs MI-nyilvántartás, nincs felhasználásikockázat-besorolás, nincs a 26. cikk szerinti dokumentáció, nincs 4. cikk szerinti jártassági tananyag. Az MI-rendelet 2024. augusztus 1-jén lépett hatályba [1]; a Bizottság ütemterve a teljes alkalmazhatóságot, beleértve a legtöbb nagy kockázatú rendszerre vonatkozó kötelezettséget, 2026. augusztus 2-ra teszi [2]. Az önéletrajz-szűrő eszköz a III. melléklet szerinti nagy kockázatú. Az ICO MI-iránymutatása 2023 óta kötelező a brit kkv-kra a UK GDPR alatt [7]. „Megtagadom — mondja nekünk —, hogy másodszor is kiállítsam azt a csekket.”
Az összeérés: miért szűnt meg a „kivárás” óvatos lenni 2024-ben
A „globális összeérés”, amely a beépítés melletti érvet hajtja, nem marketingszlogen. 2024-ben a szabályozási mennyiség mérhetővé vált, a közös műszaki gerinc pedig láthatóvá.
A számok, amelyeket a szabályozók nem akarnak, hogy átsiklasson rajtuk
A Stanford HAI 2025-ös AI Indexe 59 amerikai szövetségi MI-szabályozást rögzít 2024-ben, ami több mint a kétszerese a 2023-asnak, és kétszer annyi ügynökséget érint [3]. Az amerikai tagállamok egyetlen év alatt 131 MI-törvényt fogadtak el, szemben a 2023-ig összesen 49-cel [3]. Az MI-vel kapcsolatos jogalkotási említések 21,3 %-kal emelkedtek 75 országban 2024-ben [3]. Egy működési igazgató számára, aki azt dönti el, hogy most cselekedjen-e vagy várjon, ez a mennyiség nem háttérzaj. Ez a jelzés.
Az (EU) 2024/1689 rendelet 2024. augusztus 1-jén lépett hatályba [1]. A Bizottság szakaszolt ütemterve a legvilágosabb közzétett menetrend: a tiltott gyakorlatok 2025. február 2. óta élnek; az általános célú MI-modellek kötelezettségei 2025. augusztus 2. óta; a teljes nagy kockázatú alkalmazhatóság 2026. augusztus 2-tól; a beágyazott nagy kockázatú termékek szabályai 2027. augusztus 2-ra kitolva [2]. Ez nem egyetlen szakadék. Ez lépcsősor. Aki a legfelső lépcsőfokig vár, már kettőt elmulasztott.
A közös horgony: OECD, NIST, ISO/IEC 42001
A mennyiség alatt egy közös gerinc húzódik, amely a korán beépített irányítást tartóssá teszi a joghatóságok között. Az OECD 2024 májusában felülvizsgált MI-alapelveit 47 vagy több ország fogadta el [4]. Ezek alkotják az EU, az Egyesült Királyság, az USA és a G7 közötti összehangolás kifejezett alapját. A NIST mesterséges intelligenciára vonatkozó kockázatkezelési kerete (AI Risk Management Framework 1.0) négy funkció köré szervezi a kötelezettségeket: Govern, Map, Measure és Manage [5]. Az MI-rendelet szabványosítási programja erre a magra hivatkozik; a brit AI Playbook (2025. február) 10 alapelvet kodifikál a kormányzati MI-re, és egyenértékű szabványokat jelez a beszállítói láncának [6].
Az ISO/IEC 42001 azzá a beszerzésérett tanúsítvánnyá vált, amelyet a középpiaci szegmens vevői ma kérnek. Az OECD-alapelvek, a NIST-funkciók és az ICO-követelmények metszetére tervezett irányítás túléli bármely egyetlen szabályozási rendszer szigorítását. A közös gerinc elnyeli a változékonyságot.

Miért omlik össze a „a szolgáltató intézi a megfelelést” a 26. cikk alatt?
A legnehezebb mondat, amelyet bármely szolgáltató marketingoldalára le lehet írni, ez: „Az alkalmazó feladatát nem tudjuk Önöktől átvállalni.” Az MI-rendelet alatt a szolgáltató–alkalmazó határvonal kifejezett, és nem mozdul el attól, hogy vállalati szintű csomagot vásárolt.
A megosztott felelősség modellje köznapi nyelven
A 16. cikk rögzíti, mit kell a szolgáltatónak tennie: megfelelőségértékelés, műszaki dokumentáció, forgalomba hozatal utáni nyomon követés [1]. A 26. cikk rögzíti, mit kell az alkalmazónak tennie: az utasítás szerint használni a rendszert, biztosítani az emberi felügyeletet, relevánsan tartani a bemeneti adatokat, legalább hat hónapig naplózni a nagy kockázatú felhasználásokat, és tájékoztatni az érintett munkavállalókat és ügyfeleket [1]. A 4. cikk egy MI-jártassági kötelezettséget rétegez minden MI-t használó munkatársra, a szerepkörével arányosan, függetlenül attól, melyik modell van alatta [1]. Az 50. cikk megköveteli, hogy a felhasználók tudják, mikor lépnek interakcióba MI-vel, minden kockázati szinten [1].
Ez a négy cikk olyan kötelezettségeket ír le, amelyek a kkv-nál maradnak. A szolgáltató által aláírt adatfeldolgozói szerződés nem rendeli át őket.
Amit a ChatGPT Enterprise és a Copilot nem vesz át
Abban a pillanatban, amikor egy brit kkv önéletrajzot illeszt be a ChatGPT-be jelöltek szűrésére, a III. melléklet szerinti nagy kockázatú alkalmazóvá válik [1]. Ez a felhasználásibesorolás az alkalmazó döntése. Az OpenAI Enterprise Privacy oldala a modell oldali garanciákat fedi le: nincs tanítás az üzleti adatokon, titkosítás, auditnaplók. Nem sorolja be az Önök felhasználási esetét, nem írja meg az emberi felügyeleti protokollt, nem képzi a személyzetet, és nem vezeti a 26. cikk (6) bekezdése szerinti alkalmazói naplókat. Egy 40 fős kkv, amely önéletrajz-szűrő MI-t üzemeltet, ugyanazokat a 26. cikk szerinti kötelezettségeket viseli, mint egy FTSE 100 munkáltató. A cégméret nem szerepel a besorolási szabályban.
A UK GDPR alatt az adatkezelői viszony ugyanezt a logikát követi. A promptban szereplő személyes adat a kkv-t teszi adatkezelővé. Az érintetti jogok nem ruházhatók át a szolgáltatóra.
Az ICO 2023 óta egyértelmű
Az ICO MI-iránymutatása lefedi, hogyan alkalmazandók a UK GDPR elvei a személyes adatokat kezelő MI-re, beleértve az adatvédelmi hatásvizsgálat követelményeit, a torzítás mérséklését és az automatizált döntéshozatalt [7]. Az iránymutatás felülvizsgálat alatt áll a Data (Use and Access) Act 2025 nyomán, amely 2025. június 19-én lépett hatályba [7]. Az ICO MI-auditáló eszköztára konkrét ellenőrzőlistákat ad az irányítás, az elszámoltathatóság, az átláthatóság és az egyéni jogok mentén [8]. Ezek az ellenőrzőlisták azt írják le, mire van szüksége az alkalmazónak az ICO látogatása előtt, nem utána. A Northbridge három eszközéből egyik sincs meg. A szolgáltató adatfeldolgozói szerződése a szolgáltatóra terjed ki. A hiányosság az alkalmazóé.
A GDPR utólagos megfeleltetésének költségbizonyítéka: amit empirikusan tudunk
Az irányítás korai beépítése melletti empirikus érv nem megérzésre épül. Arra épül, ami azokkal az uniós cégekkel történt, amelyek a GDPR-t 2018-ban utógondolatként kezelték.
MIT Sloan / Bessen és társai — az egyetlen nagy mintás utólagos-megfeleltetési tanulmány
Az MIT Sloan / Bessen, Janßen, Peukert és Seamans tanulmány az uniós és nem uniós cégeket hasonlította össze 2018 májusa után, amikor a végrehajtás megkezdődött. A megállapítások egyértelműek: az uniós cégek 26 %-kal csökkentették a tárolt adatokat és 15 %-kal a számításfelhasználást a nem uniós kontrollcsoporthoz képest [9]. A csökkenés abban a körben koncentrálódott, amely nem eleve az adatvédelemre tervezett — az utólagosan megfeleltetők körében. Ezek nem bírságok vagy jogi költségek voltak. Működési zavarok voltak: megszüntetett termékek, kitisztított marketingadatbázisok, nulláról újraépített integrációk. Azok a cégek, amelyek 2016-tól beépítették az adatvédelmet, e vágások nélkül vették be ugyanazt a szabályozást.
A Northbridge Trading az utólagos megfeleltetés útját járta. 2018-ban egy 200 GBP-s szabályzatsablonnal teljesítette a GDPR-megfelelést, és két évvel később fedezte fel a valódi költséget. Az MIT Sloan adatai pontosan azt írják le, amit kifizetett: az architekturális átdolgozást, amely akkor jön, amikor a megfelelési kötelezettségeket egy olyan rendszerbe húzzák be, amelyet nem ezek hordozására terveztek.
A 2,4-szeres utólagos-megfeleltetési szorzó
Az iparági utólagos-megfeleltetési költség-referenciaértékek ugyanerre a következtetésre jutnak a költségoldalról: a későn alkalmazó kkv-k nagyjából 2,4-szeresét fizették annak, amit a beépítő versenytársak — a ROPA, az adatvédelmi hatásvizsgálatok, a jogalap-nyilvántartások, az incidenskezelési folyamatok, az adatfeldolgozói szerződések újratárgyalása és a CRM-átdolgozás mentén.
E GDPR-kategóriák mindegyike közvetlenül leképeződik egy MI-rendeleti megfelelőre. Az MI-nyilvántartás váltja fel a ROPA-t. Az alapvető jogi hatásvizsgálat a 27. cikk szerint váltja fel a GDPR adatvédelmi hatásvizsgálatát. A 26. cikk (6) bekezdése szerinti alkalmazói naplózás váltja fel az incidensnaplót. A kategóriák ugyanazok; az összefonódás mélyebb. Az MI-modellek, promptok és munkafolyamatok architekturálisan úgy összekapcsoltak, ahogyan az adatáramlások nem voltak. A naplózási kampók vagy felügyeleti kontrollok kihúzása egy bevezetett MI-folyamatból mérnöki újraírás, nem szabályzati dokumentum. Ezért esik a Northbridge nagyjából 5-szörös szorzója jócskán abba a tartományba, amelyet az iparági adatok végrehajtási nyomás alatt előrejeleznek.
Költségszámítás egy kkv-nak: beépítés kontra utólagos megfeleltetés, tételről tételre
Az utólagos-megfeleltetési szorzó és az MIT Sloan működési adatai hasznos horgonyok, de egy működési igazgatónak olyan számokra van szüksége, amelyeket beletehet egy igazgatótanácsi anyagba. Itt a számítás egy 180 fős kkv-ra, amely három MI-eszközt üzemeltet.
Beépítési alapérték egy 180 fős kkv-nak 3 MI-eszközzel
Az MI-irányítás eleve beépítése, tizenkét hétre elosztva, a megbízási tapasztalatunk szerint a következőbe kerül:
- MI-nyilvántartás és felhasználásikockázat-besorolás: 4–6 nap belső ráfordítás, plusz 2 000–4 000 GBP tanácsadói felülvizsgálat
-
- cikk szerinti jártassági tananyag (90 perces alap minden munkatársnak; egész napos az MI-felelősöknek): 3 000–5 000 GBP
- Az architektúrába épített emberi felügyeleti protokoll és 26. cikk (6) bekezdése szerinti naplózás: 4 000–6 000 GBP mérnöki munka, plusz 2 napos jogi felülvizsgálat
- Beszállító-átvilágítási csomag az adatfeldolgozói szerződésekkel, modellkártyákkal és általános célú MI-modell közzétételi nyomvonalával: 2 000–3 000 GBP
Irányadó, mindent magában foglaló beépítés: 18 000–32 000 GBP tizenkét hét alatt.
Utólagos-megfeleltetési költségvetés végrehajtási nyomás alatt (2026 H3)
Ugyanennek az utólagos megfeleltetése 2026 harmadik negyedévének nyomása alatt lényegesen magasabbra fut:
- Külső jogi tanácsadó, amely incidens után felméri a III. melléklet szerinti kitettséget: 15 000–25 000 GBP
- FRIA (27. cikk) és adatvédelmi hatásvizsgálat frissítése három már bevezetett eszközön: 20 000–35 000 GBP
- Naplózás utólagos beépítése és emberi felügyeleti munkafolyamat újraépítése: 40 000–70 000 GBP
- Munkavállalói konzultáció, átláthatósági tájékoztatók és ügyfél-tájékoztatások: 8 000–12 000 GBP
Irányadó, mindent magában foglaló utólagos megfeleltetés: 85 000–145 000 GBP hat–tizenkét hét összepréselt korrekció alatt. Az arány nagyjából 2,7-szerestől 5,1-szeresig fut, megismételve az iparági referenciaérték alsó határát és elérve a Northbridge felső határát.
Miért rosszabb a szorzó, mint a GDPR esetében
Három strukturális ok tolja az MI utólagos-megfeleltetési szorzóját a GDPR-érték fölé. Először: az MI-munkafolyamatok összefonódottak — a promptok, modellverziók és a downstream automatizált műveletek tervezésüknél fogva összekapcsoltak, így az átdolgozási felület nagyobb, mint az adatáramlások átkötése. Másodszor: a beszerzési átépítések a szabályozói határidővel párhuzamosan futnak. Az a kkv, amely a korrekció közben veszít pályázatokat, mindkét költséget egyszerre fizeti. Harmadszor: a szankcióplafon magasabb. A 99. cikk a bírságot a teljes éves világpiaci forgalom 7 %-áig vagy 35 millió EUR-ig szabja a tiltott gyakorlatokért [1]. Az MI-felelősségi irányelv olyan polgári jogi igénykitettséget tesz hozzá, amelyet a GDPR nem generált.
Egy 25 millió GBP éves forgalmú brit kkv-nál egy óvatos alapszámítás (a kkv-csökkentések előtt) eléri a 750 000 EUR-t [1]. A beépítés költsége nem megfelelési rezsi. Olyan bírság elleni fedezet, amely önmagának többszöröse.

Melyik hét dokumentum alkotja az első naptól meglévő MI-irányítást?
Az 50–500 fős kkv első naptól meglévő MI-irányítása nem elvont. Hét dokumentum, amelyet két hét alatt felállíthat.
1–3: Leltár és besorolás
1. dokumentum — MI-nyilvántartás. Egyoldalas séma: rendszernév, szolgáltató, modell, felhasználási eset, adatosztályok, kockázati szint, felelős, felügyeleti protokoll és felülvizsgálati dátum. Nem igényel tanácsadót a felépítéséhez; fegyelmet igényel a fenntartásához.
2. dokumentum — felhasználásikockázat-besorolási döntési fa. A III. melléklet kategóriáihoz rendelve: foglalkoztatási szűrés, hitelpontozás, oktatási hozzáférés, biometrikus azonosítás és kritikus infrastruktúra [1]. Ha egy eszköz e munkafolyamatok bármelyikét érinti, nagy kockázatú kötelezettségeket vált ki.
3. dokumentum — beszállító-átvilágítási csomag. Adatfeldolgozói szerződés, modellkártya, általános célú MI-modell közzététele, megfelelőségértékelési összefoglaló és alfeldolgozói lista. Itt számít az alapul szolgáló szolgáltató GPAI Code of Practice szerinti aláírói státusza [13].
4–5: Működtetés és védelem
4. dokumentum — emberi felügyeleti protokoll. A 26. cikk (5) bekezdése megnevezett embert követel, aki bármely automatizált döntést felül tud vizsgálni és felül tud bírálni [1]. A protokoll meghatározza, ki ez a személy, a felülbírálási munkafolyamatot, az eszkalációs kritériumokat és a felülvizsgálati ütemet.
5. dokumentum — 4. cikk szerinti MI-jártassági tananyag. 90 perces alap minden munkatársnak, fél nap a haladó felhasználóknak és egész nap az MI-felelősöknek, évente frissítve [1]. A 4. cikk minden alkalmazóra vonatkozik, függetlenül a szolgáltatótól, és az arányosság a szerepkörrel skálázódik, nem a létszámmal.
6–7: Dokumentálás és reagálás
6. dokumentum — naplózási és incidensfolyamat. A 26. cikk (6) bekezdése szerinti alkalmazói naplók, a modellsodródás (model-drift) figyelése, valamint az NCSC Guidelines for Secure AI System Development biztonságiéletciklus-kontrolljai, amely a CISA-val és 21 nemzetközi kiberügynökséggel közös iránymutatás [10]. Építse a naplót az architektúrába; a mérnöki kampók nélküli szabályzati dokumentumok auditkor elbuknak.
7. dokumentum — átláthatósági és munkavállalói tájékoztató csomag. 50. cikk szerinti felhasználói tájékoztatók az ügyfélnek szóló MI-hez, 26. cikk (7) bekezdése szerinti munkavállalói tájékoztatás minden olyan MI-hez, amely munkavállalókat figyel, és egy egyértelmű panaszút [1].
A szabályozó által áldott keretekhez horgonyozva
Minden dokumentum leképeződik az ICO MI-auditáló keretének irányítási és elszámoltathatósági ellenőrzőlistáira [8], valamint a NIST AI RMF magjára: Govern, Map, Measure és Manage [5]. Az ISO/IEC 42001 ugyanerre a hét dokumentumból álló halmazra képeződik le. Építse fel ezeket egyszer, és egyszerre több rendszernek is megfelelnek.
A beszerzés az a végrehajtási mechanizmus, amelyet az ügyfelei előrébb hoztak
Minden keresőtalálat a szabályozói bírságok lencséjén át keretezi az MI-rendelet végrehajtását. Egyik sem említi, amit a középpiaci szegmensbe és nagyvállalatoknak értékesítő brit kkv-k már 2026-ban tapasztalnak: a vevő kérdőíve ért oda elsőként.
Mit kérnek most a középpiaci szegmens és a nagyvállalati vevők
A késői szakaszú brit pályázatok beszállítói kérdőívei ma az ISO/IEC 42001 kontrollcsaládjaira és a NIST AI RMF négyfunkciós magjára hivatkoznak [5]. Bizonyítékot kérnek egy MI-nyilvántartásról és felhasználásikockázat-besorolásról, egy dokumentált emberi felügyeleti protokollról a 26. cikk (5) bekezdésével szemben [1], és alfeldolgozói közzétételt az általános célú MI-modell eredetével: melyik alapmodell, melyik szolgáltató, és melyik szolgáltató írta alá a gyakorlati kódexet [13]. A beszerzési csapatok nem várnak a végrehajtási iránymutatásra. A saját beszállítói láncukat védik az ellen a felelősség ellen, amely felfelé áramlik, amikor egy beszállító MI-eszköze incidenst vált ki.
Az előző szakaszban felsorolt hét dokumentum pontosan az, amit egy 9. szakaszos beszállítói kérdőív kér.
A Northbridge elveszít egy pályázatot 2026 második negyedévében
A Northbridge Trading egy 420 000 GBP-s, hároméves szerződésre pályázott egy szabályozott középpiaci ügyfélnél 2026 második negyedévében. A 9. szakasz így szólt: „Tartson fenn MI-nyilvántartást, FRIA-folyamatot és emberi felügyeleti protokollt — szolgáltasson bizonyítékot.” A Northbridge nem tudott válaszolni. A szerződés egy versenytárshoz került, amelynek volt egy egyoldalas nyilvántartása és egy NIST-formájú szabályzatkészlete. A beszerzés vezérelte átépítés most a szabályozói határidő tetejére ül. Mindkét óra ketyeg.
Közszférás öröklés
A kormányzatnak értékesítő brit kkv-k ugyanezzel a standarddal néznek szembe egy másik csatornán keresztül. A kormány 2025 februárjában közzétett AI Playbookja 10 alapelvet fektet le az etikus felhasználásról, az elszámoltathatóságról, az átláthatóságról és az életciklus-kezelésről, és a beszállítók ezeket szerződéses feltételként öröklik [6]. A DSIT AI Opportunities Action Plan, amelyet 2025 januárjában teljes egészében elfogadtak, a felelős MI-bevezetést mint beszállítói-lánc-elvárást erősíti meg [11]. A CMA AI Foundation Models Initial Report egy fogyasztóvédelmi és versenyjogi lencsét tesz hozzá, amely rárakódik bármely alapmodell-bevezetésre [12].
A szabályozó látókörén kívül maradni nem ment meg a vevő kérdőívétől. A Northbridge ezt drágán tanulta meg.
Mit halaszt el — és mit NEM halaszt el — a Digital Omnibus
A 2025. novemberi Digital Omnibus címsora („az EU elhalasztja az MI-rendeletet”) nem éli túl a tényleges javaslat alapos elolvasását. A zűrzavar érthető. A címsor nem pontos.
Ami már él és nem mozdult
Négy kötelezettség már hatályban van, és egyetlen Omnibus-kimenetel sem érinti őket. A tiltott gyakorlatok tilalma 2025. február 2. óta él [2]. A 4. cikk szerinti MI-jártassági kötelezettség 2025. február 2. óta él [1]. Az általános célú MI-modellek szolgáltatóinak kötelezettségei és a GPAI Code of Practice rendszere 2025. augusztus 2-án lépett életbe [2]. A UK GDPR pedig már most kötelező minden személyes adatot kezelő brit szervezetre, a kkv-kat is beleértve; az ICO MI-re és adatvédelemre vonatkozó iránymutatása a szabályozó értelmezése arról, hogyan alkalmazandó ez a jogszabály az MI-rendszerekre — nem törvényi kódex, hanem az a gyakorlati megfelelési alapérték, amelyhez az ICO mérni fog [7].
Mit javasol valójában a Digital Omnibus
Az Omnibus a III. melléklet szerinti nagy kockázatú megfelelőségértékelési rendszer szűk halasztását javasolja — a műszaki dokumentációt és az uniós adatbázisba való regisztrációt bizonyos nagy kockázatú MI-rendszer-kategóriák szolgáltatói számára. Nem javasolja a 26. cikk szerinti alkalmazói kötelezettségek, az 50. cikk szerinti átláthatósági követelmények, a 4. cikk szerinti jártassági kötelezettségek vagy a FRIA-dokumentációs fegyelem elhalasztását. Ezek a kötelezettségek a közzétett menetrenden maradnak.
A háromoldalú egyeztetés 2026. április 28-án megakadt. E sorok írásakor új időpont volt függőben. A Bizottság közzétett határideje ezért marad a jogilag irányadó alapérték [2]. Azok a kkv-k, amelyek a „2027-re halasztva” olvasatot olvasták, és erre alapozva elhalasztották az irányítás megtervezését, már le vannak maradva az alkalmazói oldali kötelezettségektől, amelyek soha nem mozdultak.
A stabil mag, amelyet egyetlen Omnibus-kimenetel sem érint
A stabil magra (felhasználás szerinti kockázat-besorolás, emberi felügyelet, alkalmazói naplózás, FRIA- és adatvédelmi-hatásvizsgálati dokumentáció, MI-jártassági képzés, átláthatósági közzététel) tervezett irányítás túléli, akármelyik Omnibus-verzió érkezik végül. Ami az Omnibus-verziók között változik, az az, hogy egy felhasználási eset melyik mellékletbe esik, nem az, hogy egy kkv-nak szüksége van-e nyilvántartásra, felügyeleti protokollra és incidensfolyamatra. A „2027-ig van időnk” olvasatot a szöveg nem támasztja alá.
Hogyan építhet fel egy kkv MI-irányítást 90 nap alatt?
Tizenkét hét elég ahhoz, hogy eleve beépített irányítást szállítson, ha a munkát sorrendbe állítja. Itt a hétről hétre szóló terv egy 50–500 fős kkv-nak, amely nulláról indul.
1–3. hét — Leltár és besorolás
Tárjon fel minden használatban lévő MI-eszközt, beleértve az árnyék-MI-t (shadow AI): a Microsoft 365-be ágyazott Copilotot, a böngészőkiegészítő MI-t, a réspiaci SaaS-modulokat olyan MI-funkciókkal, amelyeket a beszerzési csapata sosem értékelt kifejezetten. Állítsa fel az MI-nyilvántartást, és rendeljen felelőst minden rendszerhez. Futtassa le a felhasználásikockázat-besorolási fát a III. melléklettel szemben, és jelöljön meg minden kitettséget a HR-szűrésben, hitelpontozásban, oktatásban, biometrikus azonosításban vagy kritikus infrastruktúrában [1]. Futtasson le egy gyors jogalap-felülvizsgálatot a UK GDPR szerint minden, személyes adatot kezelő rendszerre [7].
4–7. hét — Működtetés és dokumentálás
Készítse el az emberi felügyeleti protokollt minden nagy kockázatú és korlátozott kockázatú rendszerre: megnevezett ember, felülbírálási munkafolyamat, eszkalációs kritériumok, felülvizsgálati ütem (4. dokumentum). Vezesse be a 26. cikk (6) bekezdése szerinti naplózást mindenütt, ahol a platform támogatja; egyébként építse fel az alkalmazói oldali naplót. Ezt ne hagyja szabályzati dokumentumokra [8]. Futtassa le a 4. cikk szerinti MI-jártassági tananyagot: előbb a 90 perces, minden munkatársnak szóló alapot, majd a haladó-felhasználói és MI-felelősi mélységi foglalkozásokat [1]. Frissítse az adatvédelmi hatásvizsgálatokat és a FRIA-kat az ICO eszköztárával szemben minden nagy kockázatú rendszerre [8].
8–12. hét — Beszerzésre kész és felülvizsgálat
Építse fel a beszállító-átvilágítási csomagot: adatfeldolgozói szerződések, modellkártyák, általános célú MI-modell eredete, alfeldolgozói listák és GPAI Code of Practice szerinti aláírói státusz minden alapmodell-szolgáltatóra [13]. Tegye közzé az 50. cikk szerinti átláthatósági tájékoztatókat az ügyfélnek szóló MI-n; tájékoztassa az érintett munkavállalókat a 26. cikk (7) bekezdése szerint [1]. Képezze le a hét dokumentumot arra a beszerzési kérdőívformátumra, amelyet a középpiaci szegmens vevői küldenek: ISO/IEC 42001 kontrollcsaládok és NIST AI RMF funkciók [5]. Ütemezze be az első negyedéves irányítási felülvizsgálatot, és nevezzen ki egy felső vezetői felelőst az ICO eszköztárának követelménye szerint [8].
Két elkerülendő antiminta
Először: 40 000 GBP-s eszközelőfizetést vásárolni, mielőtt a nyilvántartás megtelne. Az eszközbeszerzés irányítási hatókör nélkül puszta látszat. Az eszköz olyan kockázatokat hoz felszínre, amelyeket a kkv még nem definiált.
Másodszor: a 4. cikk szerinti jártasságot egyszeri webináriumként kezelni. A kötelezettség folyamatos és a szerepkörrel arányos [1]. Egy 90 perces indítófoglalkozás kielégíti az alapot; nem elégíti ki az éves frissítést vagy az MI-felelősöknek szóló mélyebb foglalkozásokat. Az az architekturális újraírás, amelyet a GDPR utólagos megfeleltetői kifizettek, azért jött, mert szabályzati dokumentumokat írtak, a mérnöki munkát pedig kihagyták. Ugyanaz a minta MI-re alkalmazva ugyanazt az eredményt hozza.
A tanulság
A tanulság, amelyet a Northbridge már megfizetett
2020 júniusában a Northbridge működési igazgatója 142 000 GBP számlát írt alá a GDPR utólagos megfeleltetéséért, egy 28 000 GBP-s beépítési alapértékkel szemben. Ez nem beszerzési kudarc volt. Ez az, ami akkor történik, amikor egy hozzáértő működtető a megfelelést olyasminek tekinti, amit egyszer ráaggat, miután a termék már működik. Az MIT Sloan adatai mintává alakítják ezt a tapasztalatot: az uniós cégek 2018 után 26 %-kal csökkentették a tárolt adatokat és 15 %-kal a számítást, és a hatás azoknál a cégeknél volt a legnagyobb, amelyek nem építették be az adatvédelmet az első naptól [9]. Az MI-rendelet épp másodszor készül megtanítani ezt a leckét.
Az MI-irányítás utólagos megfeleltetése rosszabbul fut, mert a naplózás, az emberi felügyelet és a promptok összefonódtak a munkafolyamat-architektúrával. A beszerzés a szabályozók előtt érvényesíti a rendeletet. A hét dokumentum 18 000–32 000 GBP-be kerül beépítve; 85 000–145 000 GBP-be kerül utólag megfeleltetve, végrehajtási és beszerzési nyomás alatt egyszerre. A számítás nem finom.
Összefoglalás
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Kapcsolódó betekintők
- Helyi LLM kontra felhős LLM adatbiztonság: a rossz kérdés (2026)EN — az adatbesorolási és DLP-kontrollkészlet, amelyet a hét irányítási dokumentum már meglévőnek feltételez.
- A „human-in-the-loop” nem felügyelet. Tervezési fegyelem. — hogyan válik a 26. cikk szerinti emberi felügyeleti kötelezettség működő küszöbrendszerré jóváhagyási rituálé helyett.
- 50 kérdés az MI bevezetése előtt: kkv vásárlói útmutatóEN — vásárlói szakaszú átvilágítás, amely az irányítási dokumentumok hiányosságait a beszerzési aláírás előtt hozza felszínre, nem utána.
Frequently Asked Questions
Mikor lép hatályba az MI-rendelet a brit kkv-k számára, és mely kötelezettségek élnek már most?
Mennyibe kerül utólag megfeleltetni az MI-irányítást ahhoz képest, mintha egy 180 fős kkv eleve beépítené?
Áthárítja-e az MI-rendeletnek való megfelelést a szolgáltatóra, ha ChatGPT Enterprise-t vagy Microsoft Copilotot vásárol?
Hogyan néz ki valójában egy kkv első naptól meglévő MI-irányítása?
Annyira elhalasztja-e a 2025. novemberi Digital Omnibus az MI-rendeletet, hogy egy kkv várhat?
Mi az alapvető jogi hatásvizsgálat (FRIA) az MI-rendelet 27. cikke szerint, és kinek kell elvégeznie?
Segít-e az ISO 42001 tanúsítás az MI-rendeletre való felkészülésben, vagy különálló megfelelési sávok?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.