Skip to content

DI valdymas nuo pirmos dienos: kiek MVĮ kainuoja atitiktį diegti atgaline data

DI reguliavimas vienodėja — ES DI aktas (2026 m. rugp.), JAV valstijų įstatymai, Azija. MVĮ, kurios valdymą sukuria nuo pirmos dienos, išvengia GDPR tipo spąstų — atitikties diegimo atgaline data sąnaudų.

DI valdymas nuo pirmos dienos: kiek MVĮ kainuoja atitiktį diegti atgaline data
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

2020 m. birželį 180 darbuotojų JK platintojas, kurį vadinsime „Northbridge Trading“, sumokėjo 142 000 £, kad GDPR įdiegtų atgaline data: duomenų tvarkymo veiklos įrašų registrą, tris poveikio duomenų apsaugai vertinimus, pažeidimų scenarijų, šešias tiekėjų sutartis ir pritaikyto privatumo CRM perdarymą, kurį tie patys konsultantai dvejais metais anksčiau būtų įkainoję 28 000 £, jei jis būtų buvęs suprojektuotas iš karto. Operacijų direktorius, pasirašęs tas sąskaitas, dabar stovi prie tos pačios bedugnės su DI.

Sąskaita už atgalinį diegimą, kurios niekas neplanavo

„Northbridge Trading“ – sudėtinis personažas, sulipdytas iš keturių realių projektų 2019–2021 m. Pavadinimus pakeitėme; skaičiai tikri. Svarbu pati schema, nes ji ruošiasi pasikartoti.

2018 m. gegužę „Northbridge“ paleido GDPR su 200 £ politikos šablonu ir jausmu, kad darbas atliktas. 2020 m. gegužę atėjo pirmas duomenų subjekto prašymas susipažinti; netrukus – vos išvengtas pažeidimas darbo užmokesčio integracijoje; po dviejų savaičių – ICO skundas. Iki 2020 m. III ketv. įmonė pasamdė išorės teisininkus ir privatumo inžinierių, kad sukurtų duomenų tvarkymo veiklos registrą, tris poveikio duomenų apsaugai vertinimus, reagavimo į incidentus scenarijų, šešias tiekėjų duomenų tvarkymo sutartis ir CRM perdarymą su pritaikyto privatumo kontrolėmis, įdiegtomis į jau veikiančius duomenų srautus atgaline data. Sąskaita pasiekė maždaug penkiagubą sumą, palyginti su kūrimo iš karto baze, kurią ta pati konsultacijų bendrovė buvo įkainojusi pagal 2017 m. architektūrą, ir buvo sumokėta priežiūros spaudimo sąlygomis.

Po šešerių metų tas pats Operacijų direktorius valdo tris DI įrankius, įdiegtus iki 2025 m.: CV atrankos asistentą, pardavimo skambučių santraukų rengėją ir klientų aptarnavimo pokalbių robotą. Nei DI registro, nei naudojimo atvejų rizikos klasifikavimo, nei 26 straipsnio dokumentų, nei 4 straipsnio raštingumo programos. ES DI aktas įsigaliojo 2024 m. rugpjūčio 1 d. [1]; pagal Komisijos tvarkaraštį visiškas taikymas, įskaitant daugumą didelės rizikos sistemų pareigų, numatytas 2026 m. rugpjūčio 2 d. [2]. CV atrankos įrankis yra III priedo didelės rizikos. ICO gairės dėl DI JK MVĮ privalomos pagal JK GDPR nuo 2023 m. [7]. „Atsisakau, – sako jis mums, – rašyti tą čekį antrą kartą.“

Vienodėjimas: kodėl „palaukime ir pažiūrėsime“ nuo 2024 m. nustojo būti apdairu

„Pasaulinis vienodėjimas“, varantis kūrimo iš karto argumentą, nėra rinkodaros šūkis. 2024 m. reguliavimo apimtis tapo išmatuojama, o bendras techninis stuburas – matomas.

Skaičiai, kurių reguliuotojai nenori, kad praleistumėte

Stanford HAI 2025 m. DI indeksas užfiksavo 59 JAV federalinius DI reguliavimo aktus, priimtus 2024 m. – daugiau nei dvigubai palyginti su 2023 m. ir dvigubai daugiau institucijų [3]. JAV valstijos per vienus metus priėmė 131 DI įstatymą, daugiau nei 49 sukauptus iki 2023 m. [3]. DI minėjimai teisės aktuose 2024 m. išaugo 21,3 % visose 75 šalyse [3]. Operacijų direktoriui, sprendžiančiam, ar veikti dabar, ar palaukti, ši apimtis nėra foninis triukšmas. Tai signalas.

Reglamentas (ES) 2024/1689 įsigaliojo 2024 m. rugpjūčio 1 d. [1]. Komisijos etapinis tvarkaraštis yra aiškiausias paskelbtas planas: draudžiama praktika veikia nuo 2025 m. vasario 2 d.; GPAI pareigos – nuo 2025 m. rugpjūčio 2 d.; visos didelės rizikos sistemos taikomos nuo 2026 m. rugpjūčio 2 d.; įterptiems didelės rizikos gaminiams terminas pratęstas iki 2027 m. rugpjūčio 2 d. [2]. Tai ne viena staigi riba. Tai laiptai. MVĮ, laukiančios iki viršutinio laiptelio, jau praleido du.

Bendras inkaras: OECD, NIST, ISO/IEC 42001

Po apimtimi slypi bendras stuburas, dėl kurio anksti sukurtas valdymas išlieka tvarus įvairiose jurisdikcijose. OECD DI principus, peržiūrėtus 2024 m. gegužę, priėmė 47 ar daugiau šalių [4]. Jie sudaro aiškų ES, JK, JAV ir G7 derinimo pagrindą. NIST DI rizikos valdymo sistema 1.0 grupuoja pareigas pagal keturias funkcijas: valdyti, žemėlapyti, matuoti ir tvarkyti [5]. ES DI akto standartų programa remiasi šiuo branduoliu; JK DI vadovas (2025 m. vasaris) įtvirtina 10 valstybės DI principų ir signalizuoja apie lygiaverčius standartus jo tiekimo grandinei [6].

ISO/IEC 42001 tapo pirkimų lygio sertifikatu, kurio dabar prašo vidutinės rinkos pirkėjai. Valdymas, sukurtas pagal OECD principų, NIST funkcijų ir ICO reikalavimų sankirtą, atlaiko bet kurio atskiro režimo griežtinimą. Bendras stuburas sugeria variaciją.

ES DI akto tvarkaraštis: įsigaliojimas 2024 m. rugpjūtį; draudžiama praktika ir DI raštingumo pareigos 2025 m. vasarį; bendrosios paskirties DI taisyklės 2025 m. rugpjūtį; visos didelės rizikos pareigos 2026 m. rugpjūtį; įterpti didelės rizikos gaminiai 2027 m. rugpjūtį.
ES DI akto tvarkaraštis nuo įsigaliojimo iki visų didelės rizikos pareigų 2026 m. rugpjūtį.

Kodėl teiginys „tiekėjas pasirūpina atitiktimi“ griūva pagal 26 straipsnį?

Sunkiausias sakinys bet kurio tiekėjo rinkodaros puslapyje yra toks: „Diegėjo darbo negalime perduoti Jums.“ Pagal ES DI aktą tiekėjo ir diegėjo riba yra aiški ir nepasislenka dėl to, kad nusipirkote įmonės lygio paketą.

Pasidalytosios atsakomybės modelis paprastais žodžiais

16 straipsnis nustato, ką privalo daryti tiekėjas: atitikties vertinimą, techninius dokumentus, stebėseną pateikus rinkai [1]. 26 straipsnis nustato, ką privalo daryti diegėjas: naudoti sistemą pagal nurodymus, užtikrinti žmogaus atliekamą priežiūrą, palaikyti įvedamų duomenų aktualumą, registruoti didelės rizikos naudojimą bent šešis mėnesius ir informuoti susijusius darbuotojus bei klientus [1]. 4 straipsnis kiekvienam DI naudojančiam darbuotojui prideda DI raštingumo pareigą, proporcingą jo vaidmeniui, nepriklausomai nuo to, koks modelis veikia po juo [1]. 50 straipsnis reikalauja, kad žmonės žinotų, kada bendrauja su DI, visuose rizikos lygiuose [1].

Šie keturi straipsniai aprašo pareigas, tenkančias MVĮ. Tiekėjo pasirašyta DTS jų neperskirsto.

Ko „ChatGPT Enterprise“ ir „Copilot“ neperima

Vos JK MVĮ įklijuoja CV į „ChatGPT“ kandidatams atrinkti, ji pagal III priedą tampa didelės rizikos diegėju [1]. Šis naudojimo atvejo klasifikavimas yra diegėjo sprendimas. „OpenAI“ įmonės privatumo puslapis dengia su modeliu susijusias garantijas: jokio mokymo iš įmonės duomenų, šifravimą, audito žurnalus. Jis neklasifikuoja Jūsų naudojimo atvejo, nerašo Jūsų žmogaus priežiūros protokolo, nemoko Jūsų darbuotojų ir netvarko Jūsų 26 str. 6 d. diegėjo žurnalų. 40 darbuotojų MVĮ, naudojanti CV atrankos DI, turi tas pačias 26 straipsnio pareigas kaip FTSE 100 darbdavys. Įmonės dydis klasifikavimo taisyklei nesvarbus.

Pagal JK GDPR duomenų valdytojo santykiai laikosi tos pačios logikos. Asmens duomenys užklausoje padaro MVĮ duomenų valdytoja. Duomenų subjektų teisės negali būti deleguojamos tiekėjui.

ICO aiškiai pasisako nuo 2023 m.

ICO gairės dėl DI dengia tai, kaip JK GDPR principai taikomi DI tvarkant asmens duomenis, įskaitant poveikio duomenų apsaugai vertinimo reikalavimus, šališkumo mažinimą ir automatizuotą sprendimų priėmimą [7]. Gairės peržiūrimos po Data (Use and Access) Act 2025, įsigaliojusio 2025 m. birželio 19 d. [7]. ICO DI audito rinkinys pateikia konkrečius patikros sąrašus valdymo, atskaitomybės, skaidrumo ir asmens teisių srityse [8]. Tie sąrašai aprašo, ko diegėjui reikia prieš ICO apsilankymą, o ne po jo. „Northbridge“ trys įrankiai neturi nieko iš to. Tiekėjo DTS dengia tiekėją. Spraga priklauso diegėjui.

GDPR atgalinio diegimo sąnaudų įrodymai: ką žinome empiriškai

Empirinis argumentas anksti kurti valdymą nesiremia nuojauta. Jis remiasi tuo, kas nutiko ES įmonėms, kurios 2018 m. GDPR laikė antraeiliu reikalu.

MIT Sloan / Bessen ir kt. – vienintelis didelės imties atgalinio diegimo tyrimas

MIT Sloan / Bessen, Janßen, Peukert ir Seamans tyrimas palygino ES ir ne ES įmones, kai 2018 m. gegužę prasidėjo vykdymas. Išvados tiesioginės: ES įmonės sumažino saugomus duomenis 26 %, o skaičiavimų naudojimą 15 %, palyginti su ne ES kontroline grupe [9]. Sumažėjimas susitelkė toje grupėje, kuri privatumo iš pradžių nebuvo suprojektavusi, – atgalinio diegimo grupėje. Tai buvo ne baudos ar teisinės išlaidos. Tai buvo veiklos sutrikimai: nutraukti produktai, išvalyti rinkodaros duomenų rinkiniai, iš naujo perdarytos integracijos. Įmonės, suprojektavusios privatumą nuo 2016 m., tą patį reglamentą sugėrė be tokių mažinimų.

„Northbridge Trading“ ėjo atgalinio diegimo keliu. 2018 m. ji paleido GDPR atitiktį su 200 £ politikos šablonu, o tikrąją kainą atrado po dvejų metų. MIT Sloan duomenys tiksliai aprašo, už ką ji sumokėjo: architektūrinį perdarymą, kuris ištinka, kai atitikties pareigas įtrauki į sistemą, neprojektuotą joms nešti.

2,4 karto atgalinio diegimo daugiklis

Pramonės atgalinio diegimo sąnaudų etalonai prieina prie tos pačios išvados iš sąnaudų pusės: pavėlavusios MVĮ sumokėjo maždaug 2,4 karto daugiau, nei mokėjo iš karto kūrę konkurentai – už ROPA, poveikio vertinimus, teisinio pagrindo registrus, pažeidimų procesus, DTS perderybas ir CRM perdarymą.

Kiekviena iš tų GDPR kategorijų tiesiogiai atitinka DI akto analogą. DI registras pakeičia ROPA. Poveikio pagrindinėms teisėms vertinimas pagal 27 straipsnį pakeičia GDPR poveikio duomenų apsaugai vertinimą. 26 str. 6 d. diegėjo registravimas pakeičia pažeidimų žurnalą. Kategorijos tos pačios; susipynimas gilesnis. DI modeliai, užklausos ir darbo eigos architektūriškai susieti taip, kaip duomenų srautai nebuvo. Registravimo kabliukų ar priežiūros kontrolių ištraukimas iš įdiegto DI vamzdyno yra inžinerinis perrašymas, o ne politikos dokumentas. Štai kodėl „Northbridge“ maždaug 5 kartų daugiklis puikiai telpa į intervalą, kurį pramonės duomenys prognozuoja priežiūros spaudimo sąlygomis.

Sąnaudų aritmetika MVĮ: kūrimas iš karto ir atgalinis diegimas, eilutė po eilutės

Atgalinio diegimo daugiklis ir MIT Sloan veiklos duomenys yra naudingi inkarai, tačiau Operacijų direktorei reikia skaičių, kuriuos ji gali įdėti į valdybos dokumentą. Štai aritmetika 180 darbuotojų MVĮ, naudojančiai tris DI įrankius.

Kūrimo iš karto bazė 180 darbuotojų MVĮ su 3 DI įrankiais

DI valdymo kūrimas iš karto, paskirstytas per dvylika savaičių, pagal mūsų projektų patirtį kainuoja:

  • DI registras ir naudojimo atvejų rizikos lygiavimas: 4–6 dienos vidaus darbo plius 2 000–4 000 £ konsultanto peržiūra
  • 4 straipsnio raštingumo programa (90 minučių bazė visiems darbuotojams; visa diena DI savininkams): 3 000–5 000 £
  • Žmogaus priežiūros protokolas ir 26 str. 6 d. registravimas, įdiegti į architektūrą: 4 000–6 000 £ inžinerijos plius 2 dienų teisinė peržiūra
  • Tiekėjų patikros paketas, apimantis DTS, modelio korteles ir GPAI atskleidimo seką: 2 000–3 000 £

Orientacinė bendra kūrimo iš karto suma: 18 000–32 000 £ per dvylika savaičių.

Atgalinio diegimo biudžetas priežiūros spaudimo sąlygomis (2026 m. III ketv.)

To paties rinkinio diegimas atgaline data 2026 m. III ketv. spaudimo sąlygomis kainuoja gerokai daugiau:

  • Išorės teisininkai, vertinantys III priedo riziką po incidento: 15 000–25 000 £
  • FRIA (27 straipsnis) ir poveikio duomenų apsaugai vertinimo atnaujinimas trims jau įdiegtiems įrankiams: 20 000–35 000 £
  • Registravimo įdiegimas atgaline data ir žmogaus priežiūros darbo eigos perdarymas: 40 000–70 000 £
  • Konsultacijos su darbuotojais, skaidrumo pranešimai ir atskleidimai klientams: 8 000–12 000 £

Orientacinė bendra atgalinio diegimo suma: 85 000–145 000 £ per šešias–dvylika sutankinto taisymo savaičių. Santykis svyruoja nuo maždaug 2,7 iki 5,1 karto, atkartodamas apatinę pramonės etalono ribą ir pasiekdamas viršutinę „Northbridge“ ribą.

Kodėl daugiklis blogesnis nei GDPR

Trys struktūrinės priežastys kelia DI atgalinio diegimo daugiklį virš GDPR skaičiaus. Pirma, DI darbo eigos susipynusios: užklausos, modelių versijos ir tolesni automatizuoti veiksmai susieti pagal sandarą, todėl perdarymo paviršius didesnis nei duomenų srautų perlaidymo. Antra, pirkimų perdarymai vyksta lygiagrečiai su reguliuotojo terminu. MVĮ, prarandanti konkursus taisymo metu, moka abi sąnaudas vienu metu. Trečia, baudų lubos aukštesnės. 99 straipsnis nustato iki 7 % pasaulinės metinės apyvartos arba 35 mln. EUR baudas už draudžiamą praktiką [1]. DI atsakomybės direktyva prideda civilinių ieškinių riziką, kurios GDPR nesukūrė.

JK MVĮ, kurios metinė apyvarta 25 mln. £, konservatyvus pradinis skaičiavimas (prieš MVĮ sumažinimus) siekia 750 000 EUR [1]. Kūrimo iš karto sąnaudos nėra atitikties pridėtinės išlaidos. Tai apsidraudimas nuo baudos, kuri yra šios sumos kartotinis.

Valdymo kūrimas iš karto kainuoja pavyzdinius 18 000–32 000 svarų per 12 savaičių; diegimas atgaline data vėliau kainuoja 85 000–145 000 svarų, maždaug 2,7–5,1 karto daugiau.
Valdymo kūrimas iš karto ir jo diegimas atgaline data vėliau – pavyzdinis 2,7–5,1 karto sąnaudų daugiklis.

Kurie septyni artefaktai sudaro DI valdymą nuo pirmos dienos?

DI valdymas nuo pirmos dienos 50–500 darbuotojų MVĮ nėra abstraktus. Tai septyni artefaktai, kuriuos parengsite per dvi savaites.

1–3: Inventorius ir klasifikavimas

1 artefaktas – DI registras. Vieno puslapio schema: sistemos pavadinimas, tiekėjas, modelis, naudojimo atvejis, duomenų klasės, rizikos lygis, savininkas, priežiūros protokolas ir peržiūros data. Jam sukurti nereikia konsultanto; jam palaikyti reikia disciplinos.

2 artefaktas – naudojimo atvejų rizikos lygiavimo sprendimų medis. Susietas su III priedo kategorijomis: įdarbinimo atranka, kredito vertinimas, prieiga prie švietimo, biometrinis identifikavimas ir ypatingos svarbos infrastruktūra [1]. Jei įrankis liečia bet kurią iš tų darbo eigų, jis suaktyvina didelės rizikos pareigas.

3 artefaktas – tiekėjų patikros paketas. Duomenų tvarkymo sutartis, modelio kortelė, GPAI atskleidimas, atitikties vertinimo santrauka ir kitų duomenų tvarkytojų sąrašas. Čia svarbus pagrindinio tiekėjo GPAI elgsenos kodekso pasirašymo statusas [13].

4–5: Eksploatuoti ir apsaugoti

4 artefaktas – žmogaus priežiūros protokolas. 26 str. 5 d. reikalauja įvardyti žmogų, galintį peržiūrėti ir nepaisyti bet kurio automatizuoto sprendimo [1]. Protokole nurodoma, kas tas asmuo, nepaisymo darbo eiga, eskalavimo kriterijai ir peržiūros ritmas.

5 artefaktas – 4 straipsnio DI raštingumo programa. 90 minučių bazė visiems darbuotojams, pusė dienos galingiesiems naudotojams ir visa diena DI savininkams, atnaujinama kasmet [1]. 4 straipsnis taikomas visiems diegėjams, nepriklausomai nuo tiekėjo, o proporcingumas matuojamas pagal vaidmenį, ne pagal darbuotojų skaičių.

6–7: Dokumentuoti ir reaguoti

6 artefaktas – registravimo ir incidentų procesas. 26 str. 6 d. diegėjo žurnalai, modelio dreifo stebėsena ir saugumo gyvavimo ciklo kontrolės iš NCSC „Guidelines for Secure AI System Development“ – bendrų gairių su CISA ir 21 tarptautine kibernetinio saugumo agentūra [10]. Įdiekite žurnalą į architektūrą; politikos dokumentai be inžinerinių kabliukų audito neišlaiko.

7 artefaktas – skaidrumo ir informacijos darbuotojams paketas. 50 straipsnio pranešimai naudotojams apie klientams skirtą DI, 26 str. 7 d. informacija darbuotojams apie bet kokį DI, stebintį darbuotojus, ir aiškus skundų kelias [1].

Pririšta prie reguliuotojų pripažintų sistemų

Kiekvienas artefaktas siejasi su ICO DI audito sistemos valdymo ir atskaitomybės patikros sąrašais [8] ir NIST DI RMF branduoliu: valdyti, žemėlapyti, matuoti ir tvarkyti [5]. ISO/IEC 42001 susiejama su tuo pačiu septynių artefaktų rinkiniu. Sukurkite juos kartą ir jie vienu metu tenkina kelis režimus.

Pirkimai yra vykdymo mechanizmas, kurį Jūsų klientai paankstino

Kiekvienas paieškos rezultatas pateikia DI akto vykdymą per reguliuotojų baudų prizmę. Nė vienas nemini, ką JK MVĮ, parduodančios vidutinės rinkos ir įmonių pirkėjams, jau randa 2026 m.: pirkėjo klausimynas atvyko pirmas.

Ko dabar prašo vidutinės rinkos ir įmonių pirkėjai

Tiekėjų klausimynai vėlyvos stadijos JK konkursuose dabar nurodo ISO/IEC 42001 kontrolių grupes ir NIST DI RMF keturių funkcijų branduolį [5]. Jie prašo DI registro ir naudojimo atvejų rizikos lygiavimo įrodymų, dokumentuoto žmogaus priežiūros protokolo pagal 26 str. 5 d. [1] ir kitų duomenų tvarkytojų atskleidimo su GPAI modelio kilme: kuris pamatinis modelis, kuris tiekėjas, kuris elgsenos kodekso signataras [13]. Pirkimų komandos nelaukia vykdymo gairių. Jos saugo savo tiekimo grandines nuo atsakomybės, kuri keliauja aukštyn grandine, kai tiekėjo DI įrankis sukelia incidentą.

Septyni ankstesnio skyriaus artefaktai yra būtent tai, ko prašoma 9 skirsnio tiekėjo klausimyne.

„Northbridge“ pralaimi konkursą 2026 m. II ketv.

„Northbridge Trading“ 2026 m. II ketv. dalyvavo konkurse dėl 420 000 £ trejų metų sutarties su reguliuojamu vidutinės rinkos klientu. 9 skirsnyje buvo parašyta: „Palaikykite DI registrą, FRIA procesą ir žmogaus priežiūros protokolą – pateikite įrodymus.“ „Northbridge“ negalėjo atsakyti. Sutartis atiteko konkurentui su vieno puslapio registru ir NIST formos politikos rinkiniu. Pirkimų varomas perdarymas dabar guli ant reguliuotojo termino. Veikia abu laikrodžiai.

Viešojo sektoriaus paveldas

JK MVĮ, parduodančios valstybei, susiduria su tuo pačiu standartu kitu kanalu. 2025 m. vasarį paskelbtas valstybės DI vadovas išdėsto 10 principų, apimančių etišką naudojimą, atskaitomybę, skaidrumą ir gyvavimo ciklo valdymą, o tiekėjai paveldi juos kaip sutarties sąlygas [6]. DSIT „AI Opportunities Action Plan“, visiškai priimtas 2025 m. sausį, sustiprina atsakingą DI diegimą kaip tiekimo grandinės lūkestį [11]. CMA „AI Foundation Models Initial Report“ prideda vartotojų apsaugos ir konkurencijos prizmę, kuri persidengia su bet kuriuo pamatinio modelio diegimu [12].

Buvimas žemiau reguliuotojo radaro Jūsų neapsaugo nuo pirkėjo klausimyno. „Northbridge“ tai sužinojo brangiai.

Ką „Digital Omnibus“ atideda ir ko NEatideda

2025 m. lapkričio „Digital Omnibus“ antraštė („ES atideda DI aktą“) neatlaiko atidaus realaus pasiūlymo skaitymo. Painiava suprantama. Antraštė netiksli.

Kas jau galioja ir lieka nepaliesta

Keturios pareigos jau galioja ir joks „Omnibus“ rezultatas jų neliečia. Draudžiamos praktikos uždraudimas veikia nuo 2025 m. vasario 2 d. [2]. 4 straipsnio DI raštingumo pareiga veikia nuo 2025 m. vasario 2 d. [1]. GPAI tiekėjų pareigos ir elgsenos kodekso tvarka įsigaliojo 2025 m. rugpjūčio 2 d. [2]. O JK GDPR jau privalomas kiekvienai JK organizacijai, tvarkančiai asmens duomenis, įskaitant MVĮ; ICO gairės dėl DI ir duomenų apsaugos yra reguliuotojo aiškinimas, kaip šis statutas taikomas DI sistemoms – ne įstatyminis kodeksas, o praktinė atitikties bazė, pagal kurią ICO vertins [7].

Ką „Digital Omnibus“ iš tikrųjų siūlo

„Omnibus“ siūlo siaurai atidėti III priedo didelės rizikos atitikties vertinimo tvarką, techninius dokumentus ir ES duomenų bazės registracijos reikalavimus tam tikrų didelės rizikos DI sistemų kategorijų tiekėjams. Jis nesiūlo atidėti 26 straipsnio diegėjo pareigų, 50 straipsnio skaidrumo reikalavimų, 4 straipsnio raštingumo pareigų ar FRIA dokumentavimo disciplinos. Tos pareigos lieka paskelbtame tvarkaraštyje.

Trišaliai derinimai įstrigo 2026 m. balandžio 28 d. Šio rašymo metu naujas grafikas dar buvo nepaskirtas. Todėl Komisijos paskelbtas terminas teisiškai lieka numatytuoju [2]. MVĮ, perskaičiusios „atidėta iki 2027 m.“ ir tuo remdamosi atidėjusios valdymo kūrimą, jau atsiliko nuo diegėjo pusės pareigų, kurios niekada nepasislinko.

Stabilus branduolys, kurio joks „Omnibus“ rezultatas neliečia

Valdymas, sukurtas pagal stabilų branduolį (rizikos klasifikavimas pagal naudojimo atvejį, žmogaus atliekama priežiūra, diegėjo registravimas, FRIA ir poveikio duomenų apsaugai vertinimo dokumentavimas, DI raštingumo mokymai, skaidrumo atskleidimas), atlaiko bet kurią „Omnibus“ versiją, kuri galiausiai įsigalios. Tarp „Omnibus“ versijų keičiasi tai, kuriame priede yra naudojimo atvejis, o ne tai, ar MVĮ reikia registro, priežiūros protokolo ir incidentų proceso. „Turime laiko iki 2027 m.“ – tekstas tokio aiškinimo nepatvirtina.

Kaip MVĮ gali sukurti DI valdymą per 90 dienų?

Dvylikos savaičių pakanka pateikti iš karto sukurtam valdymui, jei darbas išdėliotas seka. Štai savaitė po savaitės planas 50–500 darbuotojų MVĮ, pradedančiai nuo nulio.

1–3 savaitės – inventorizuoti ir klasifikuoti

Atraskite kiekvieną naudojamą DI įrankį, įskaitant šešėlinį DI: „Copilot“, įterptą į „Microsoft 365“, naršyklės plėtinių DI, nišinius SaaS modulius su DI funkcijomis, kurių Jūsų pirkimų komanda niekada aiškiai neįvertino. Parenkite DI registrą ir kiekvienai sistemai priskirkite savininką. Paleiskite naudojimo atvejų rizikos lygiavimo medį pagal III priedą ir pažymėkite bet kokią riziką personalo atrankoje, kredito vertinime, švietime, biometriniame identifikavime ar ypatingos svarbos infrastruktūroje [1]. Kiekvienai asmens duomenis tvarkančiai sistemai atlikite greitą teisinio pagrindo peržiūrą pagal JK GDPR [7].

4–7 savaitės – eksploatuoti ir dokumentuoti

Parenkite žmogaus priežiūros protokolą kiekvienai didelės ir ribotos rizikos sistemai: įvardytas žmogus, nepaisymo darbo eiga, eskalavimo kriterijai, peržiūros ritmas (4 artefaktas). Įdiekite 26 str. 6 d. registravimą visur, kur platforma jį palaiko; kitur sukurkite diegėjo pusės žurnalą. Nepalikite to politikos dokumentams [8]. Vykdykite 4 straipsnio DI raštingumo programą: pirma 90 minučių bazė visiems darbuotojams, paskui gilesnės sesijos galingiesiems naudotojams ir DI savininkams [1]. Atnaujinkite poveikio duomenų apsaugai vertinimus ir FRIA pagal ICO rinkinį kiekvienai didelės rizikos sistemai [8].

8–12 savaitės – pasirengti pirkimams ir peržiūrėti

Sukurkite tiekėjų patikros paketą: DTS, modelio korteles, GPAI kilmę, kitų duomenų tvarkytojų sąrašus ir elgsenos kodekso signataro statusą kiekvienam pamatinio modelio tiekėjui [13]. Paskelbkite 50 straipsnio skaidrumo pranešimus apie klientams skirtą DI; informuokite susijusius darbuotojus pagal 26 str. 7 d. [1]. Susiekite septynis artefaktus su pirkimų klausimyno formatu, kurį siunčia vidutinės rinkos pirkėjai: ISO/IEC 42001 kontrolių grupėmis ir NIST DI RMF funkcijomis [5]. Suplanuokite pirmą ketvirtinę valdymo peržiūrą ir paskirkite atsakingą vyresniosios vadovybės savininką pagal ICO rinkinio reikalavimą [8].

Du antišablonai, kurių reikia vengti

Pirma: 40 000 £ įrankių prenumeratos pirkimas, kol registras dar neužpildytas. Įrankiai be valdymo apimties yra teatras. Įrankis iškelia į paviršių riziką, kurios MVĮ dar neapibrėžė.

Antra: 4 straipsnio raštingumo laikymas vienkartiniu internetiniu seminaru. Pareiga yra nuolatinė ir proporcinga vaidmeniui [1]. 90 minučių startinė sesija tenkina bazę; ji netenkina kasmetinio atnaujinimo ar gilesnių sesijų DI savininkams. Architektūrinis perrašymas, už kurį sumokėjo GDPR atgalinio diegimo įmonės, atsirado todėl, kad politikos dokumentai buvo parašyti, o inžinerija praleista. Tas pats šablonas, pritaikytas DI, duoda tą patį rezultatą.

Išmokta pamoka

Pamoka, už kurią „Northbridge“ jau sumokėjo

2020 m. birželį „Northbridge“ Operacijų direktorius pasirašė 142 000 £ sąskaitų, kad GDPR įdiegtų atgaline data prieš 28 000 £ kūrimo iš karto bazę. Tai buvo ne pirkimų klaida. Tai yra tai, kas nutinka, kai kompetentingas vadovas atitiktį laiko kažkuo, ką užtenka uždėti, kai produktas jau veikia. MIT Sloan duomenys paverčia tą patirtį schema: po 2018 m. ES įmonės sumažino saugomus duomenis 26 %, o skaičiavimus 15 %, sunkiausiai paveikdamos tas įmones, kurios privatumo nebuvo įdiegusios nuo pirmos dienos [9]. DI aktas ruošiasi pamokyti tos pamokos antrą kartą.

DI valdymo diegimas atgaline data brangesnis, nes registravimas, žmogaus priežiūra ir užklausos susipynę su darbo eigos architektūra. Pirkimai vykdo aktą anksčiau už reguliuotojus. Septyni artefaktai kainuoja 18 000–32 000 £ sukurti iš karto; jie kainuoja 85 000–145 000 £ įdiegti atgaline data esant priežiūros ir pirkimų spaudimui kartu. Aritmetika nėra subtili.

Santrauka

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Susiję įžvalgos

Frequently Asked Questions

Kada ES DI aktas pradeda galioti JK MVĮ ir kurios pareigos jau veikia?
Tai laiptai, o ne viena staigi riba. Aktas įsigaliojo 2024 m. rugpjūčio 1 d. Draudžiama praktika veikia nuo 2025 m. vasario 2 d.; 4 straipsnio raštingumo pareigos – nuo tos pačios datos; GPAI tiekėjų pareigos – nuo 2025 m. rugpjūčio 2 d.; visos didelės rizikos DI sistemos taikomos nuo 2026 m. rugpjūčio 2 d.; įterptiems didelės rizikos gaminiams – nuo 2027 m. rugpjūčio 2 d. JK MVĮ, aptarnaujančios ES klientus, patenka į taikymo sritį eksteritorialiai, o ICO gairės dėl DI privalomos pagal JK GDPR nuo 2023 m.
Kiek 180 darbuotojų MVĮ kainuoja diegti DI valdymą atgaline data, palyginti su jo sukūrimu iš karto?
Sukūrimas iš karto per dvylika savaičių kainuoja 18 000–32 000 £: DI registras, 4 straipsnio raštingumo programa, žmogaus priežiūros protokolas su 26 str. 6 d. registravimu, tiekėjų patikros paketas. To paties rinkinio diegimas atgaline data 2026 m. III ketv. priežiūros ir pirkimų spaudimo sąlygomis kainuoja 85 000–145 000 £ per šešias–dvylika sutankintų savaičių, t. y. 2,7–5,1 karto daugiau. „Northbridge“ GDPR precedentas kainavo apie 5 kartus brangiau, o MIT Sloan nustatė, kad po 2018 m. ES įmonės sumažino saugomus duomenis 26 %, o skaičiavimus 15 % — daugiausia tarp tų, kurios diegė atgaline data.
Ar nusipirkus „ChatGPT Enterprise“ arba „Microsoft Copilot“ atitiktis ES DI aktui pereina tiekėjui?
Ne. 16 straipsnis nustato, ką privalo daryti tiekėjas: atitikties vertinimą, techninius dokumentus, stebėseną pateikus rinkai. 26 straipsnis nustato, ką privalo daryti diegėjas: naudoti sistemą pagal nurodymus, užtikrinti žmogaus atliekamą priežiūrą, palaikyti įvedamų duomenų aktualumą, registruoti didelės rizikos naudojimą bent šešis mėnesius, informuoti susijusius darbuotojus ir klientus. Vos JK MVĮ įklijuoja CV į „ChatGPT“ kandidatams atrinkti, ji pagal III priedą tampa didelės rizikos diegėju. Įmonės dydis klasifikavimo taisyklei nesvarbus.
Kaip iš tikrųjų atrodo MVĮ DI valdymas nuo pirmos dienos?
Septyni artefaktai, kuriuos parengsite per dvi savaites: DI registras su kiekviena sistema, jos tiekėju, modeliu, naudojimo atveju, rizikos lygiu ir savininku; naudojimo atvejų rizikos lygiavimo medis, susietas su III priedu; tiekėjų patikros paketas, apimantis DTS, modelio kortelę ir GPAI kilmę; žmogaus priežiūros protokolas, įvardijantis pagal 26 str. 5 d. atsakingą asmenį; 4 straipsnio raštingumo programa; registravimas ir incidentų procesas pagal 26 str. 6 d.; skaidrumo pranešimai klientams skirtam DI ir informacijos darbuotojams paketai.
Ar 2025 m. lapkričio „Digital Omnibus“ atideda ES DI aktą tiek, kad MVĮ gali palaukti?
Ne. „Omnibus“ siūlo siaurai atidėti tik III priedo didelės rizikos atitikties vertinimo tvarką tiekėjams. Jis neatideda 26 straipsnio diegėjo pareigų, 50 straipsnio skaidrumo reikalavimų, 4 straipsnio raštingumo pareigų ar poveikio pagrindinėms teisėms vertinimo (FRIA) disciplinos. Draudžiama praktika, GPAI pareigos ir ICO gairės pagal JK GDPR jau galioja ir lieka nepaliestos. Trišaliai derinimai įstrigo 2026 m. balandžio 28 d., todėl Komisijos paskelbtas terminas teisiškai lieka numatytuoju. „Turime laiko iki 2027 m.“ – tekstas tokio aiškinimo nepatvirtina.
Kas yra poveikio pagrindinėms teisėms vertinimas (FRIA) pagal ES DI akto 27 straipsnį ir kas privalo jį atlikti?
FRIA – tai 27 straipsnio pareiga, kuria reikalaujama, kad tam tikri diegėjai – viešojo sektoriaus įstaigos ir privatūs III priedo didelės rizikos sistemų operatoriai reguliuojamose srityse, kaip kreditingumo vertinimas ir draudimo įkainojimas – įvertintų poveikį pagrindinėms teisėms prieš pirmą naudojimą ir jį atnaujintų pasikeitus esminėms aplinkybėms. Apimtis dengia susijusius asmenis, naudojimo dažnumą ir trukmę, žalos rūšis, žmogaus priežiūros priemones ir skundų mechanizmus. JK MVĮ, aptarnaujančios ES klientus, patenka į sritį eksteritorialiai. „Digital Omnibus“ FRIA disciplinos neatideda; sukūrus ją kartu su DI registru, išvengiama atgalinio diegimo daugiklio.
Ar ISO 42001 sertifikatas padeda pasirengti ES DI aktui, ar tai atskiros atitikties kryptys?
ISO 42001 ir ES DI aktas vienas kitą papildo, o ne dubliuoja. ISO 42001 apibrėžia DI valdymo sistemą – valdymo vaidmenis, DI registrą, rizikos nustatymą, vidaus auditą – ir tai tiesiogiai pagreitina kūrimą iš karto: DI registrą, tiekėjų patikros paketą, 4 straipsnio raštingumo programą, 26 str. 6 d. registravimą. Vis dėlto jis pats savaime netenkina tiekėjo atitikties vertinimo pagal 16 straipsnį, FRIA pagal 27 straipsnį ar skaidrumo pagal 50 straipsnį. Laikykite ISO 42001 valdymo stuburu, o aktą – teisiniu paviršiumi; reikia abiejų.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.