DI valdymas nuo pirmos dienos: kiek MVĮ kainuoja atitiktį diegti atgaline data
DI reguliavimas vienodėja — ES DI aktas (2026 m. rugp.), JAV valstijų įstatymai, Azija. MVĮ, kurios valdymą sukuria nuo pirmos dienos, išvengia GDPR tipo spąstų — atitikties diegimo atgaline data sąnaudų.

2020 m. birželį 180 darbuotojų JK platintojas, kurį vadinsime „Northbridge Trading“, sumokėjo 142 000 £, kad GDPR įdiegtų atgaline data: duomenų tvarkymo veiklos įrašų registrą, tris poveikio duomenų apsaugai vertinimus, pažeidimų scenarijų, šešias tiekėjų sutartis ir pritaikyto privatumo CRM perdarymą, kurį tie patys konsultantai dvejais metais anksčiau būtų įkainoję 28 000 £, jei jis būtų buvęs suprojektuotas iš karto. Operacijų direktorius, pasirašęs tas sąskaitas, dabar stovi prie tos pačios bedugnės su DI.
Sąskaita už atgalinį diegimą, kurios niekas neplanavo
„Northbridge Trading“ – sudėtinis personažas, sulipdytas iš keturių realių projektų 2019–2021 m. Pavadinimus pakeitėme; skaičiai tikri. Svarbu pati schema, nes ji ruošiasi pasikartoti.
2018 m. gegužę „Northbridge“ paleido GDPR su 200 £ politikos šablonu ir jausmu, kad darbas atliktas. 2020 m. gegužę atėjo pirmas duomenų subjekto prašymas susipažinti; netrukus – vos išvengtas pažeidimas darbo užmokesčio integracijoje; po dviejų savaičių – ICO skundas. Iki 2020 m. III ketv. įmonė pasamdė išorės teisininkus ir privatumo inžinierių, kad sukurtų duomenų tvarkymo veiklos registrą, tris poveikio duomenų apsaugai vertinimus, reagavimo į incidentus scenarijų, šešias tiekėjų duomenų tvarkymo sutartis ir CRM perdarymą su pritaikyto privatumo kontrolėmis, įdiegtomis į jau veikiančius duomenų srautus atgaline data. Sąskaita pasiekė maždaug penkiagubą sumą, palyginti su kūrimo iš karto baze, kurią ta pati konsultacijų bendrovė buvo įkainojusi pagal 2017 m. architektūrą, ir buvo sumokėta priežiūros spaudimo sąlygomis.
Po šešerių metų tas pats Operacijų direktorius valdo tris DI įrankius, įdiegtus iki 2025 m.: CV atrankos asistentą, pardavimo skambučių santraukų rengėją ir klientų aptarnavimo pokalbių robotą. Nei DI registro, nei naudojimo atvejų rizikos klasifikavimo, nei 26 straipsnio dokumentų, nei 4 straipsnio raštingumo programos. ES DI aktas įsigaliojo 2024 m. rugpjūčio 1 d. [1]; pagal Komisijos tvarkaraštį visiškas taikymas, įskaitant daugumą didelės rizikos sistemų pareigų, numatytas 2026 m. rugpjūčio 2 d. [2]. CV atrankos įrankis yra III priedo didelės rizikos. ICO gairės dėl DI JK MVĮ privalomos pagal JK GDPR nuo 2023 m. [7]. „Atsisakau, – sako jis mums, – rašyti tą čekį antrą kartą.“
Vienodėjimas: kodėl „palaukime ir pažiūrėsime“ nuo 2024 m. nustojo būti apdairu
„Pasaulinis vienodėjimas“, varantis kūrimo iš karto argumentą, nėra rinkodaros šūkis. 2024 m. reguliavimo apimtis tapo išmatuojama, o bendras techninis stuburas – matomas.
Skaičiai, kurių reguliuotojai nenori, kad praleistumėte
Stanford HAI 2025 m. DI indeksas užfiksavo 59 JAV federalinius DI reguliavimo aktus, priimtus 2024 m. – daugiau nei dvigubai palyginti su 2023 m. ir dvigubai daugiau institucijų [3]. JAV valstijos per vienus metus priėmė 131 DI įstatymą, daugiau nei 49 sukauptus iki 2023 m. [3]. DI minėjimai teisės aktuose 2024 m. išaugo 21,3 % visose 75 šalyse [3]. Operacijų direktoriui, sprendžiančiam, ar veikti dabar, ar palaukti, ši apimtis nėra foninis triukšmas. Tai signalas.
Reglamentas (ES) 2024/1689 įsigaliojo 2024 m. rugpjūčio 1 d. [1]. Komisijos etapinis tvarkaraštis yra aiškiausias paskelbtas planas: draudžiama praktika veikia nuo 2025 m. vasario 2 d.; GPAI pareigos – nuo 2025 m. rugpjūčio 2 d.; visos didelės rizikos sistemos taikomos nuo 2026 m. rugpjūčio 2 d.; įterptiems didelės rizikos gaminiams terminas pratęstas iki 2027 m. rugpjūčio 2 d. [2]. Tai ne viena staigi riba. Tai laiptai. MVĮ, laukiančios iki viršutinio laiptelio, jau praleido du.
Bendras inkaras: OECD, NIST, ISO/IEC 42001
Po apimtimi slypi bendras stuburas, dėl kurio anksti sukurtas valdymas išlieka tvarus įvairiose jurisdikcijose. OECD DI principus, peržiūrėtus 2024 m. gegužę, priėmė 47 ar daugiau šalių [4]. Jie sudaro aiškų ES, JK, JAV ir G7 derinimo pagrindą. NIST DI rizikos valdymo sistema 1.0 grupuoja pareigas pagal keturias funkcijas: valdyti, žemėlapyti, matuoti ir tvarkyti [5]. ES DI akto standartų programa remiasi šiuo branduoliu; JK DI vadovas (2025 m. vasaris) įtvirtina 10 valstybės DI principų ir signalizuoja apie lygiaverčius standartus jo tiekimo grandinei [6].
ISO/IEC 42001 tapo pirkimų lygio sertifikatu, kurio dabar prašo vidutinės rinkos pirkėjai. Valdymas, sukurtas pagal OECD principų, NIST funkcijų ir ICO reikalavimų sankirtą, atlaiko bet kurio atskiro režimo griežtinimą. Bendras stuburas sugeria variaciją.

Kodėl teiginys „tiekėjas pasirūpina atitiktimi“ griūva pagal 26 straipsnį?
Sunkiausias sakinys bet kurio tiekėjo rinkodaros puslapyje yra toks: „Diegėjo darbo negalime perduoti Jums.“ Pagal ES DI aktą tiekėjo ir diegėjo riba yra aiški ir nepasislenka dėl to, kad nusipirkote įmonės lygio paketą.
Pasidalytosios atsakomybės modelis paprastais žodžiais
16 straipsnis nustato, ką privalo daryti tiekėjas: atitikties vertinimą, techninius dokumentus, stebėseną pateikus rinkai [1]. 26 straipsnis nustato, ką privalo daryti diegėjas: naudoti sistemą pagal nurodymus, užtikrinti žmogaus atliekamą priežiūrą, palaikyti įvedamų duomenų aktualumą, registruoti didelės rizikos naudojimą bent šešis mėnesius ir informuoti susijusius darbuotojus bei klientus [1]. 4 straipsnis kiekvienam DI naudojančiam darbuotojui prideda DI raštingumo pareigą, proporcingą jo vaidmeniui, nepriklausomai nuo to, koks modelis veikia po juo [1]. 50 straipsnis reikalauja, kad žmonės žinotų, kada bendrauja su DI, visuose rizikos lygiuose [1].
Šie keturi straipsniai aprašo pareigas, tenkančias MVĮ. Tiekėjo pasirašyta DTS jų neperskirsto.
Ko „ChatGPT Enterprise“ ir „Copilot“ neperima
Vos JK MVĮ įklijuoja CV į „ChatGPT“ kandidatams atrinkti, ji pagal III priedą tampa didelės rizikos diegėju [1]. Šis naudojimo atvejo klasifikavimas yra diegėjo sprendimas. „OpenAI“ įmonės privatumo puslapis dengia su modeliu susijusias garantijas: jokio mokymo iš įmonės duomenų, šifravimą, audito žurnalus. Jis neklasifikuoja Jūsų naudojimo atvejo, nerašo Jūsų žmogaus priežiūros protokolo, nemoko Jūsų darbuotojų ir netvarko Jūsų 26 str. 6 d. diegėjo žurnalų. 40 darbuotojų MVĮ, naudojanti CV atrankos DI, turi tas pačias 26 straipsnio pareigas kaip FTSE 100 darbdavys. Įmonės dydis klasifikavimo taisyklei nesvarbus.
Pagal JK GDPR duomenų valdytojo santykiai laikosi tos pačios logikos. Asmens duomenys užklausoje padaro MVĮ duomenų valdytoja. Duomenų subjektų teisės negali būti deleguojamos tiekėjui.
ICO aiškiai pasisako nuo 2023 m.
ICO gairės dėl DI dengia tai, kaip JK GDPR principai taikomi DI tvarkant asmens duomenis, įskaitant poveikio duomenų apsaugai vertinimo reikalavimus, šališkumo mažinimą ir automatizuotą sprendimų priėmimą [7]. Gairės peržiūrimos po Data (Use and Access) Act 2025, įsigaliojusio 2025 m. birželio 19 d. [7]. ICO DI audito rinkinys pateikia konkrečius patikros sąrašus valdymo, atskaitomybės, skaidrumo ir asmens teisių srityse [8]. Tie sąrašai aprašo, ko diegėjui reikia prieš ICO apsilankymą, o ne po jo. „Northbridge“ trys įrankiai neturi nieko iš to. Tiekėjo DTS dengia tiekėją. Spraga priklauso diegėjui.
GDPR atgalinio diegimo sąnaudų įrodymai: ką žinome empiriškai
Empirinis argumentas anksti kurti valdymą nesiremia nuojauta. Jis remiasi tuo, kas nutiko ES įmonėms, kurios 2018 m. GDPR laikė antraeiliu reikalu.
MIT Sloan / Bessen ir kt. – vienintelis didelės imties atgalinio diegimo tyrimas
MIT Sloan / Bessen, Janßen, Peukert ir Seamans tyrimas palygino ES ir ne ES įmones, kai 2018 m. gegužę prasidėjo vykdymas. Išvados tiesioginės: ES įmonės sumažino saugomus duomenis 26 %, o skaičiavimų naudojimą 15 %, palyginti su ne ES kontroline grupe [9]. Sumažėjimas susitelkė toje grupėje, kuri privatumo iš pradžių nebuvo suprojektavusi, – atgalinio diegimo grupėje. Tai buvo ne baudos ar teisinės išlaidos. Tai buvo veiklos sutrikimai: nutraukti produktai, išvalyti rinkodaros duomenų rinkiniai, iš naujo perdarytos integracijos. Įmonės, suprojektavusios privatumą nuo 2016 m., tą patį reglamentą sugėrė be tokių mažinimų.
„Northbridge Trading“ ėjo atgalinio diegimo keliu. 2018 m. ji paleido GDPR atitiktį su 200 £ politikos šablonu, o tikrąją kainą atrado po dvejų metų. MIT Sloan duomenys tiksliai aprašo, už ką ji sumokėjo: architektūrinį perdarymą, kuris ištinka, kai atitikties pareigas įtrauki į sistemą, neprojektuotą joms nešti.
2,4 karto atgalinio diegimo daugiklis
Pramonės atgalinio diegimo sąnaudų etalonai prieina prie tos pačios išvados iš sąnaudų pusės: pavėlavusios MVĮ sumokėjo maždaug 2,4 karto daugiau, nei mokėjo iš karto kūrę konkurentai – už ROPA, poveikio vertinimus, teisinio pagrindo registrus, pažeidimų procesus, DTS perderybas ir CRM perdarymą.
Kiekviena iš tų GDPR kategorijų tiesiogiai atitinka DI akto analogą. DI registras pakeičia ROPA. Poveikio pagrindinėms teisėms vertinimas pagal 27 straipsnį pakeičia GDPR poveikio duomenų apsaugai vertinimą. 26 str. 6 d. diegėjo registravimas pakeičia pažeidimų žurnalą. Kategorijos tos pačios; susipynimas gilesnis. DI modeliai, užklausos ir darbo eigos architektūriškai susieti taip, kaip duomenų srautai nebuvo. Registravimo kabliukų ar priežiūros kontrolių ištraukimas iš įdiegto DI vamzdyno yra inžinerinis perrašymas, o ne politikos dokumentas. Štai kodėl „Northbridge“ maždaug 5 kartų daugiklis puikiai telpa į intervalą, kurį pramonės duomenys prognozuoja priežiūros spaudimo sąlygomis.
Sąnaudų aritmetika MVĮ: kūrimas iš karto ir atgalinis diegimas, eilutė po eilutės
Atgalinio diegimo daugiklis ir MIT Sloan veiklos duomenys yra naudingi inkarai, tačiau Operacijų direktorei reikia skaičių, kuriuos ji gali įdėti į valdybos dokumentą. Štai aritmetika 180 darbuotojų MVĮ, naudojančiai tris DI įrankius.
Kūrimo iš karto bazė 180 darbuotojų MVĮ su 3 DI įrankiais
DI valdymo kūrimas iš karto, paskirstytas per dvylika savaičių, pagal mūsų projektų patirtį kainuoja:
- DI registras ir naudojimo atvejų rizikos lygiavimas: 4–6 dienos vidaus darbo plius 2 000–4 000 £ konsultanto peržiūra
- 4 straipsnio raštingumo programa (90 minučių bazė visiems darbuotojams; visa diena DI savininkams): 3 000–5 000 £
- Žmogaus priežiūros protokolas ir 26 str. 6 d. registravimas, įdiegti į architektūrą: 4 000–6 000 £ inžinerijos plius 2 dienų teisinė peržiūra
- Tiekėjų patikros paketas, apimantis DTS, modelio korteles ir GPAI atskleidimo seką: 2 000–3 000 £
Orientacinė bendra kūrimo iš karto suma: 18 000–32 000 £ per dvylika savaičių.
Atgalinio diegimo biudžetas priežiūros spaudimo sąlygomis (2026 m. III ketv.)
To paties rinkinio diegimas atgaline data 2026 m. III ketv. spaudimo sąlygomis kainuoja gerokai daugiau:
- Išorės teisininkai, vertinantys III priedo riziką po incidento: 15 000–25 000 £
- FRIA (27 straipsnis) ir poveikio duomenų apsaugai vertinimo atnaujinimas trims jau įdiegtiems įrankiams: 20 000–35 000 £
- Registravimo įdiegimas atgaline data ir žmogaus priežiūros darbo eigos perdarymas: 40 000–70 000 £
- Konsultacijos su darbuotojais, skaidrumo pranešimai ir atskleidimai klientams: 8 000–12 000 £
Orientacinė bendra atgalinio diegimo suma: 85 000–145 000 £ per šešias–dvylika sutankinto taisymo savaičių. Santykis svyruoja nuo maždaug 2,7 iki 5,1 karto, atkartodamas apatinę pramonės etalono ribą ir pasiekdamas viršutinę „Northbridge“ ribą.
Kodėl daugiklis blogesnis nei GDPR
Trys struktūrinės priežastys kelia DI atgalinio diegimo daugiklį virš GDPR skaičiaus. Pirma, DI darbo eigos susipynusios: užklausos, modelių versijos ir tolesni automatizuoti veiksmai susieti pagal sandarą, todėl perdarymo paviršius didesnis nei duomenų srautų perlaidymo. Antra, pirkimų perdarymai vyksta lygiagrečiai su reguliuotojo terminu. MVĮ, prarandanti konkursus taisymo metu, moka abi sąnaudas vienu metu. Trečia, baudų lubos aukštesnės. 99 straipsnis nustato iki 7 % pasaulinės metinės apyvartos arba 35 mln. EUR baudas už draudžiamą praktiką [1]. DI atsakomybės direktyva prideda civilinių ieškinių riziką, kurios GDPR nesukūrė.
JK MVĮ, kurios metinė apyvarta 25 mln. £, konservatyvus pradinis skaičiavimas (prieš MVĮ sumažinimus) siekia 750 000 EUR [1]. Kūrimo iš karto sąnaudos nėra atitikties pridėtinės išlaidos. Tai apsidraudimas nuo baudos, kuri yra šios sumos kartotinis.

Kurie septyni artefaktai sudaro DI valdymą nuo pirmos dienos?
DI valdymas nuo pirmos dienos 50–500 darbuotojų MVĮ nėra abstraktus. Tai septyni artefaktai, kuriuos parengsite per dvi savaites.
1–3: Inventorius ir klasifikavimas
1 artefaktas – DI registras. Vieno puslapio schema: sistemos pavadinimas, tiekėjas, modelis, naudojimo atvejis, duomenų klasės, rizikos lygis, savininkas, priežiūros protokolas ir peržiūros data. Jam sukurti nereikia konsultanto; jam palaikyti reikia disciplinos.
2 artefaktas – naudojimo atvejų rizikos lygiavimo sprendimų medis. Susietas su III priedo kategorijomis: įdarbinimo atranka, kredito vertinimas, prieiga prie švietimo, biometrinis identifikavimas ir ypatingos svarbos infrastruktūra [1]. Jei įrankis liečia bet kurią iš tų darbo eigų, jis suaktyvina didelės rizikos pareigas.
3 artefaktas – tiekėjų patikros paketas. Duomenų tvarkymo sutartis, modelio kortelė, GPAI atskleidimas, atitikties vertinimo santrauka ir kitų duomenų tvarkytojų sąrašas. Čia svarbus pagrindinio tiekėjo GPAI elgsenos kodekso pasirašymo statusas [13].
4–5: Eksploatuoti ir apsaugoti
4 artefaktas – žmogaus priežiūros protokolas. 26 str. 5 d. reikalauja įvardyti žmogų, galintį peržiūrėti ir nepaisyti bet kurio automatizuoto sprendimo [1]. Protokole nurodoma, kas tas asmuo, nepaisymo darbo eiga, eskalavimo kriterijai ir peržiūros ritmas.
5 artefaktas – 4 straipsnio DI raštingumo programa. 90 minučių bazė visiems darbuotojams, pusė dienos galingiesiems naudotojams ir visa diena DI savininkams, atnaujinama kasmet [1]. 4 straipsnis taikomas visiems diegėjams, nepriklausomai nuo tiekėjo, o proporcingumas matuojamas pagal vaidmenį, ne pagal darbuotojų skaičių.
6–7: Dokumentuoti ir reaguoti
6 artefaktas – registravimo ir incidentų procesas. 26 str. 6 d. diegėjo žurnalai, modelio dreifo stebėsena ir saugumo gyvavimo ciklo kontrolės iš NCSC „Guidelines for Secure AI System Development“ – bendrų gairių su CISA ir 21 tarptautine kibernetinio saugumo agentūra [10]. Įdiekite žurnalą į architektūrą; politikos dokumentai be inžinerinių kabliukų audito neišlaiko.
7 artefaktas – skaidrumo ir informacijos darbuotojams paketas. 50 straipsnio pranešimai naudotojams apie klientams skirtą DI, 26 str. 7 d. informacija darbuotojams apie bet kokį DI, stebintį darbuotojus, ir aiškus skundų kelias [1].
Pririšta prie reguliuotojų pripažintų sistemų
Kiekvienas artefaktas siejasi su ICO DI audito sistemos valdymo ir atskaitomybės patikros sąrašais [8] ir NIST DI RMF branduoliu: valdyti, žemėlapyti, matuoti ir tvarkyti [5]. ISO/IEC 42001 susiejama su tuo pačiu septynių artefaktų rinkiniu. Sukurkite juos kartą ir jie vienu metu tenkina kelis režimus.
Pirkimai yra vykdymo mechanizmas, kurį Jūsų klientai paankstino
Kiekvienas paieškos rezultatas pateikia DI akto vykdymą per reguliuotojų baudų prizmę. Nė vienas nemini, ką JK MVĮ, parduodančios vidutinės rinkos ir įmonių pirkėjams, jau randa 2026 m.: pirkėjo klausimynas atvyko pirmas.
Ko dabar prašo vidutinės rinkos ir įmonių pirkėjai
Tiekėjų klausimynai vėlyvos stadijos JK konkursuose dabar nurodo ISO/IEC 42001 kontrolių grupes ir NIST DI RMF keturių funkcijų branduolį [5]. Jie prašo DI registro ir naudojimo atvejų rizikos lygiavimo įrodymų, dokumentuoto žmogaus priežiūros protokolo pagal 26 str. 5 d. [1] ir kitų duomenų tvarkytojų atskleidimo su GPAI modelio kilme: kuris pamatinis modelis, kuris tiekėjas, kuris elgsenos kodekso signataras [13]. Pirkimų komandos nelaukia vykdymo gairių. Jos saugo savo tiekimo grandines nuo atsakomybės, kuri keliauja aukštyn grandine, kai tiekėjo DI įrankis sukelia incidentą.
Septyni ankstesnio skyriaus artefaktai yra būtent tai, ko prašoma 9 skirsnio tiekėjo klausimyne.
„Northbridge“ pralaimi konkursą 2026 m. II ketv.
„Northbridge Trading“ 2026 m. II ketv. dalyvavo konkurse dėl 420 000 £ trejų metų sutarties su reguliuojamu vidutinės rinkos klientu. 9 skirsnyje buvo parašyta: „Palaikykite DI registrą, FRIA procesą ir žmogaus priežiūros protokolą – pateikite įrodymus.“ „Northbridge“ negalėjo atsakyti. Sutartis atiteko konkurentui su vieno puslapio registru ir NIST formos politikos rinkiniu. Pirkimų varomas perdarymas dabar guli ant reguliuotojo termino. Veikia abu laikrodžiai.
Viešojo sektoriaus paveldas
JK MVĮ, parduodančios valstybei, susiduria su tuo pačiu standartu kitu kanalu. 2025 m. vasarį paskelbtas valstybės DI vadovas išdėsto 10 principų, apimančių etišką naudojimą, atskaitomybę, skaidrumą ir gyvavimo ciklo valdymą, o tiekėjai paveldi juos kaip sutarties sąlygas [6]. DSIT „AI Opportunities Action Plan“, visiškai priimtas 2025 m. sausį, sustiprina atsakingą DI diegimą kaip tiekimo grandinės lūkestį [11]. CMA „AI Foundation Models Initial Report“ prideda vartotojų apsaugos ir konkurencijos prizmę, kuri persidengia su bet kuriuo pamatinio modelio diegimu [12].
Buvimas žemiau reguliuotojo radaro Jūsų neapsaugo nuo pirkėjo klausimyno. „Northbridge“ tai sužinojo brangiai.
Ką „Digital Omnibus“ atideda ir ko NEatideda
2025 m. lapkričio „Digital Omnibus“ antraštė („ES atideda DI aktą“) neatlaiko atidaus realaus pasiūlymo skaitymo. Painiava suprantama. Antraštė netiksli.
Kas jau galioja ir lieka nepaliesta
Keturios pareigos jau galioja ir joks „Omnibus“ rezultatas jų neliečia. Draudžiamos praktikos uždraudimas veikia nuo 2025 m. vasario 2 d. [2]. 4 straipsnio DI raštingumo pareiga veikia nuo 2025 m. vasario 2 d. [1]. GPAI tiekėjų pareigos ir elgsenos kodekso tvarka įsigaliojo 2025 m. rugpjūčio 2 d. [2]. O JK GDPR jau privalomas kiekvienai JK organizacijai, tvarkančiai asmens duomenis, įskaitant MVĮ; ICO gairės dėl DI ir duomenų apsaugos yra reguliuotojo aiškinimas, kaip šis statutas taikomas DI sistemoms – ne įstatyminis kodeksas, o praktinė atitikties bazė, pagal kurią ICO vertins [7].
Ką „Digital Omnibus“ iš tikrųjų siūlo
„Omnibus“ siūlo siaurai atidėti III priedo didelės rizikos atitikties vertinimo tvarką, techninius dokumentus ir ES duomenų bazės registracijos reikalavimus tam tikrų didelės rizikos DI sistemų kategorijų tiekėjams. Jis nesiūlo atidėti 26 straipsnio diegėjo pareigų, 50 straipsnio skaidrumo reikalavimų, 4 straipsnio raštingumo pareigų ar FRIA dokumentavimo disciplinos. Tos pareigos lieka paskelbtame tvarkaraštyje.
Trišaliai derinimai įstrigo 2026 m. balandžio 28 d. Šio rašymo metu naujas grafikas dar buvo nepaskirtas. Todėl Komisijos paskelbtas terminas teisiškai lieka numatytuoju [2]. MVĮ, perskaičiusios „atidėta iki 2027 m.“ ir tuo remdamosi atidėjusios valdymo kūrimą, jau atsiliko nuo diegėjo pusės pareigų, kurios niekada nepasislinko.
Stabilus branduolys, kurio joks „Omnibus“ rezultatas neliečia
Valdymas, sukurtas pagal stabilų branduolį (rizikos klasifikavimas pagal naudojimo atvejį, žmogaus atliekama priežiūra, diegėjo registravimas, FRIA ir poveikio duomenų apsaugai vertinimo dokumentavimas, DI raštingumo mokymai, skaidrumo atskleidimas), atlaiko bet kurią „Omnibus“ versiją, kuri galiausiai įsigalios. Tarp „Omnibus“ versijų keičiasi tai, kuriame priede yra naudojimo atvejis, o ne tai, ar MVĮ reikia registro, priežiūros protokolo ir incidentų proceso. „Turime laiko iki 2027 m.“ – tekstas tokio aiškinimo nepatvirtina.
Kaip MVĮ gali sukurti DI valdymą per 90 dienų?
Dvylikos savaičių pakanka pateikti iš karto sukurtam valdymui, jei darbas išdėliotas seka. Štai savaitė po savaitės planas 50–500 darbuotojų MVĮ, pradedančiai nuo nulio.
1–3 savaitės – inventorizuoti ir klasifikuoti
Atraskite kiekvieną naudojamą DI įrankį, įskaitant šešėlinį DI: „Copilot“, įterptą į „Microsoft 365“, naršyklės plėtinių DI, nišinius SaaS modulius su DI funkcijomis, kurių Jūsų pirkimų komanda niekada aiškiai neįvertino. Parenkite DI registrą ir kiekvienai sistemai priskirkite savininką. Paleiskite naudojimo atvejų rizikos lygiavimo medį pagal III priedą ir pažymėkite bet kokią riziką personalo atrankoje, kredito vertinime, švietime, biometriniame identifikavime ar ypatingos svarbos infrastruktūroje [1]. Kiekvienai asmens duomenis tvarkančiai sistemai atlikite greitą teisinio pagrindo peržiūrą pagal JK GDPR [7].
4–7 savaitės – eksploatuoti ir dokumentuoti
Parenkite žmogaus priežiūros protokolą kiekvienai didelės ir ribotos rizikos sistemai: įvardytas žmogus, nepaisymo darbo eiga, eskalavimo kriterijai, peržiūros ritmas (4 artefaktas). Įdiekite 26 str. 6 d. registravimą visur, kur platforma jį palaiko; kitur sukurkite diegėjo pusės žurnalą. Nepalikite to politikos dokumentams [8]. Vykdykite 4 straipsnio DI raštingumo programą: pirma 90 minučių bazė visiems darbuotojams, paskui gilesnės sesijos galingiesiems naudotojams ir DI savininkams [1]. Atnaujinkite poveikio duomenų apsaugai vertinimus ir FRIA pagal ICO rinkinį kiekvienai didelės rizikos sistemai [8].
8–12 savaitės – pasirengti pirkimams ir peržiūrėti
Sukurkite tiekėjų patikros paketą: DTS, modelio korteles, GPAI kilmę, kitų duomenų tvarkytojų sąrašus ir elgsenos kodekso signataro statusą kiekvienam pamatinio modelio tiekėjui [13]. Paskelbkite 50 straipsnio skaidrumo pranešimus apie klientams skirtą DI; informuokite susijusius darbuotojus pagal 26 str. 7 d. [1]. Susiekite septynis artefaktus su pirkimų klausimyno formatu, kurį siunčia vidutinės rinkos pirkėjai: ISO/IEC 42001 kontrolių grupėmis ir NIST DI RMF funkcijomis [5]. Suplanuokite pirmą ketvirtinę valdymo peržiūrą ir paskirkite atsakingą vyresniosios vadovybės savininką pagal ICO rinkinio reikalavimą [8].
Du antišablonai, kurių reikia vengti
Pirma: 40 000 £ įrankių prenumeratos pirkimas, kol registras dar neužpildytas. Įrankiai be valdymo apimties yra teatras. Įrankis iškelia į paviršių riziką, kurios MVĮ dar neapibrėžė.
Antra: 4 straipsnio raštingumo laikymas vienkartiniu internetiniu seminaru. Pareiga yra nuolatinė ir proporcinga vaidmeniui [1]. 90 minučių startinė sesija tenkina bazę; ji netenkina kasmetinio atnaujinimo ar gilesnių sesijų DI savininkams. Architektūrinis perrašymas, už kurį sumokėjo GDPR atgalinio diegimo įmonės, atsirado todėl, kad politikos dokumentai buvo parašyti, o inžinerija praleista. Tas pats šablonas, pritaikytas DI, duoda tą patį rezultatą.
Išmokta pamoka
Pamoka, už kurią „Northbridge“ jau sumokėjo
2020 m. birželį „Northbridge“ Operacijų direktorius pasirašė 142 000 £ sąskaitų, kad GDPR įdiegtų atgaline data prieš 28 000 £ kūrimo iš karto bazę. Tai buvo ne pirkimų klaida. Tai yra tai, kas nutinka, kai kompetentingas vadovas atitiktį laiko kažkuo, ką užtenka uždėti, kai produktas jau veikia. MIT Sloan duomenys paverčia tą patirtį schema: po 2018 m. ES įmonės sumažino saugomus duomenis 26 %, o skaičiavimus 15 %, sunkiausiai paveikdamos tas įmones, kurios privatumo nebuvo įdiegusios nuo pirmos dienos [9]. DI aktas ruošiasi pamokyti tos pamokos antrą kartą.
DI valdymo diegimas atgaline data brangesnis, nes registravimas, žmogaus priežiūra ir užklausos susipynę su darbo eigos architektūra. Pirkimai vykdo aktą anksčiau už reguliuotojus. Septyni artefaktai kainuoja 18 000–32 000 £ sukurti iš karto; jie kainuoja 85 000–145 000 £ įdiegti atgaline data esant priežiūros ir pirkimų spaudimui kartu. Aritmetika nėra subtili.
Santrauka
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Susiję įžvalgos
- Local LLM vs Cloud LLM Data Security: The Wrong Question (2026)EN — duomenų klasifikavimo ir DLP kontrolių rinkinys, kurį septyni valdymo artefaktai laiko jau įdiegtu.
- Human-in-the-Loop Isn't Oversight. It's a Design Discipline. — kaip 26 straipsnio žmogaus priežiūros pareiga tampa veikiančia ribų sistema, o ne pasirašymo ritualu.
- 50 Questions to Ask Before Implementing AI: SMB Buyer's GuideEN — pirkėjo stadijos patikra, iškelianti valdymo artefaktų spragas prieš pirkimo parašą, o ne po jo.
Frequently Asked Questions
Kada ES DI aktas pradeda galioti JK MVĮ ir kurios pareigos jau veikia?
Kiek 180 darbuotojų MVĮ kainuoja diegti DI valdymą atgaline data, palyginti su jo sukūrimu iš karto?
Ar nusipirkus „ChatGPT Enterprise“ arba „Microsoft Copilot“ atitiktis ES DI aktui pereina tiekėjui?
Kaip iš tikrųjų atrodo MVĮ DI valdymas nuo pirmos dienos?
Ar 2025 m. lapkričio „Digital Omnibus“ atideda ES DI aktą tiek, kad MVĮ gali palaukti?
Kas yra poveikio pagrindinėms teisėms vertinimas (FRIA) pagal ES DI akto 27 straipsnį ir kas privalo jį atlikti?
Ar ISO 42001 sertifikatas padeda pasirengti ES DI aktui, ar tai atskiros atitikties kryptys?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.