Skip to content

MI pārvaldība no pirmās dienas: cik MVU maksā vēlīna atbilstība

MI regulējums tuvojas vienotam kursam — ES MI akts (2026. g. aug.), ASV pavalstu likumi, Āzija. MVU, kas pārvaldību iebūvē no pirmās dienas, izvairās no VDAR stila vēlīnās atbilstības izmaksu slazda.

MI pārvaldība no pirmās dienas: cik MVU maksā vēlīna atbilstība
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead
  1. gada jūnijā 180 darbinieku liels Apvienotās Karalistes izplatītājs, ko sauksim par Northbridge Trading, samaksāja 142 000 £, lai vēlīni ieviestu VDAR atbilstību: apstrādes darbību reģistru, trīs novērtējumus par ietekmi uz datu aizsardzību, datu aizsardzības pārkāpumu rīcības plānu, sešus piegādātāju līgumus un CRM pārbūvi pēc integrētas datu aizsardzības principa — to pašu darbu tie paši konsultanti divus gadus agrāk būtu novērtējuši 28 000 £ apmērā, ja tas būtu iebūvēts no sākuma. Operāciju direktors, kurš parakstīja tos rēķinus, tagad stāv tā paša sliekšņa priekšā — šoreiz ar MI.

Vēlīnās atbilstības rēķins, ko neviens neplānoja

Northbridge Trading ir salikts tēls, kas savīts no četrām reālām sadarbībām laikā no 2019. līdz 2021. gadam. Mēs nomainījām nosaukumus; skaitļi ir reāli. Svarīga ir likumsakarība, jo tā gatavojas atkārtoties.

  1. gada maijā Northbridge ieviesa VDAR ar 200 £ vērtu politikas veidni un pārliecību, ka darbs ir paveikts. 2020. gada maijā pienāca pirmais datu subjekta piekļuves pieprasījums; tam sekoja gandrīz iestājies datu aizsardzības incidents algu integrācijā; divas nedēļas vēlāk pienāca ICO sūdzība. Līdz 2020. gada 3. ceturksnim uzņēmums bija piesaistījis ārēju juristu un datu aizsardzības inženieri, lai izveidotu apstrādes darbību reģistru, trīs novērtējumus par ietekmi uz datu aizsardzību, incidentu reaģēšanas rīcības plānu, sešus piegādātāju datu apstrādes līgumus un CRM pārbūvi ar integrētas datu aizsardzības kontrolēm, kas vēlīni iebūvētas jau aktīvajās datu plūsmās. Rēķins sasniedza aptuveni piecas reizes vairāk par iebūvēšanas pamatlīmeni, ko tā pati konsultāciju firma bija aprēķinājusi attiecībā uz 2017. gada arhitektūru, un tika samaksāts regulatīvā spiediena apstākļos.

Sešus gadus vēlāk tas pats operāciju direktors vada trīs MI rīkus, kas ieviesti 2025. gada laikā: CV atlases palīgu, pārdošanas zvanu kopsavilkuma rīku un klientu atbalsta tērzēšanas robotu. Nav MI reģistra, nav lietojuma scenāriju riska klasifikācijas, nav 26. panta dokumentācijas, nav 4. panta pratības mācību programmas. ES MI akts stājās spēkā 2024. gada 1. augustā [1]; Komisijas grafiks pilnīgu piemērojamību, tostarp lielāko daļu augsta riska sistēmu saistību, paredz 2026. gada 2. augustā [2]. CV atlases rīks ir III pielikuma augsta riska sistēma. ICO MI vadlīnijas Apvienotās Karalistes MVU saskaņā ar Apvienotās Karalistes VDAR ir saistošas kopš 2023. gada [7]. "Es atsakos izrakstīt šo čeku otrreiz," viņš mums saka.

Konverģence: kāpēc "gaidīsim un redzēsim" 2024. gadā beidza būt piesardzīga taktika

"Globālā konverģence", kas balsta iebūvēšanas argumentu, nav mārketinga sauklis. 2024. gadā regulējuma apjoms kļuva izmērāms un kopējais tehniskais mugurkauls kļuva redzams.

Skaitļi, kurus nevajadzētu palaist garām

Stenfordas HAI 2025. gada MI indekss reģistrē 59 ASV federālos MI noteikumus, kas izdoti 2024. gadā — vairāk nekā divkārt pārsniedzot 2023. gada skaitu, divreiz lielākā aģentūru skaitā [3]. ASV pavalstis vienā gadā pieņēma 131 MI likumu, salīdzinot ar 49 kopumā līdz 2023. gadam [3]. Likumdošanas atsauces uz MI 75 valstīs 2024. gadā pieauga par 21,3 % [3]. Operāciju direktoram, kurš lemj, vai rīkoties tagad vai gaidīt, šis apjoms nav fona troksnis. Tas ir signāls.

Regula (ES) 2024/1689 stājās spēkā 2024. gada 1. augustā [1]. Komisijas pakāpeniskais grafiks ir skaidrākais publicētais ceļvedis, kas pieejams: aizliegtā prakse darbojas no 2025. gada 2. februāra; vispārīga lietojuma MI saistības — no 2025. gada 2. augusta; pilnīga augsta riska piemērojamība — no 2026. gada 2. augusta; iegulto augsta riska produktu noteikumi pagarināti līdz 2027. gada 2. augustam [2]. Tas nav viens vienots slieksnis. Tās ir pakāpienu kāpnes. MVU, kas gaida līdz pēdējam pakāpienam, jau ir nokavējuši divus.

Kopējais enkurs: OECD, NIST, ISO/IEC 42001

Zem apjoma slēpjas kopējs mugurkauls, kas padara agri iebūvēto pārvaldību noturīgu dažādās jurisdikcijās. OECD MI principus, kas pārskatīti 2024. gada maijā, ir pieņēmušas 47 vai vairāk valstis [4]. Tie veido skaidru pamatu ES, Apvienotās Karalistes, ASV un G7 saskaņošanai. NIST MI riska pārvaldības satvars 1.0 organizē saistības ap četrām funkcijām: pārvaldīt, kartēt, mērīt un vadīt (Govern, Map, Measure, Manage) [5]. ES MI akta standartu programma atsaucas uz šo kodolu; Apvienotās Karalistes MI rokasgrāmata (2025. gada februāris) kodificē 10 principus valdības MI un signalizē par līdzvērtīgiem standartiem tās piegādes ķēdei [6].

ISO/IEC 42001 ir kļuvis par iepirkumu līmeņa sertifikāciju, ko vidējā tirgus pircēji tagad pieprasa. Pārvaldība, kas izstrādāta atbilstoši OECD principu, NIST funkciju un ICO prasību krustpunktam, izdzīvo jebkuru atsevišķa režīma pastiprināšanu. Kopējais mugurkauls absorbē variāciju.

EU AI Act timeline: entry into force August 2024; prohibited practices and AI literacy obligations February 2025; general-purpose AI rules August 2025; full high-risk obligations August 2026; embedded high-risk products August 2027.
ES MI akta laika grafiks no spēkā stāšanās līdz pilnīgām augsta riska saistībām 2026. gada augustā.

Kāpēc "par atbilstību rūpējas piegādātājs" sabrūk saskaņā ar 26. pantu?

Vissmagākais teikums, kādu var ierakstīt jebkura piegādātāja mārketinga lapā, ir: "Mēs nevaram nodot uzturētāja darbu Jums." Saskaņā ar ES MI aktu robeža starp nodrošinātāju un uzturētāju ir skaidra, un tā nemainās tāpēc, ka iegādājāties uzņēmuma līmeņa risinājumu.

Kopīgās atbildības modelis vienkāršā valodā

  1. pants nosaka, kas jādara nodrošinātājam: atbilstības novērtēšana, tehniskā dokumentācija, pēctirgus uzraudzība [1]. 26. pants nosaka, kas jādara uzturētājam: lietot sistēmu atbilstoši norādījumiem, nodrošināt cilvēka virsvadību, uzturēt ievaddatus atbilstošus, žurnalēt augsta riska lietojumus vismaz sešus mēnešus un informēt skartos darbiniekus un klientus [1]. 4. pants uzliek MI pratības pienākumu katram darbiniekam, kas lieto MI, samērīgi ar viņa lomu, neatkarīgi no tā, kāds modelis atrodas pamatā [1]. 50. pants pieprasa, lai lietotāji zinātu, kad viņi mijiedarbojas ar MI, visos riska līmeņos [1].

Šie četri panti apraksta saistības, kas gulstas uz MVU. Datu apstrādes līgums, ko paraksta piegādātājs, tās nepārceļ.

Ko ChatGPT Enterprise un Copilot nenodod ārpakalpojumā

Brīdī, kad Apvienotās Karalistes MVU ielīmē CV ChatGPT, lai atlasītu kandidātus, tas kļūst par augsta riska uzturētāju saskaņā ar III pielikumu [1]. Šī lietojuma scenārija klasifikācija gulstas uz uzturētāju. OpenAI uzņēmumu privātuma lapa aptver modeļa puses garantijas: nekādas apmācības ar uzņēmuma datiem, šifrēšanu, audita žurnālus. Tā neklasificē Jūsu lietojuma scenāriju, neraksta Jūsu cilvēka virsvadības protokolu, neapmāca Jūsu darbiniekus un neuztur Jūsu 26. panta 6. punkta uzturētāja žurnālus. 40 darbinieku MVU, kas izmanto CV atlases MI, nes tās pašas 26. panta saistības kā FTSE 100 darba devējs. Uzņēmuma lielums klasifikācijas noteikumā nefigurē.

Saskaņā ar Apvienotās Karalistes VDAR pārziņa attiecības seko tai pašai loģikai. Personas dati uzvednē padara MVU par pārzini. Datu subjekta tiesības nav nododamas piegādātājam.

ICO ir bijis skaidrs kopš 2023. gada

ICO MI vadlīnijas aptver to, kā Apvienotās Karalistes VDAR principi attiecas uz MI, kas apstrādā personas datus, tostarp novērtējuma par ietekmi uz datu aizsardzību prasības, neobjektivitātes mazināšanu un automatizētu lēmumu pieņemšanu [7]. Vadlīnijas tiek pārskatītas pēc 2025. gada Datu (lietošanas un piekļuves) likuma, kas stājās spēkā 2025. gada 19. jūnijā [7]. ICO MI audita rīkkopa sniedz konkrētus kontrolsarakstus pārvaldības, pārskatatbildības, pārredzamības un indivīda tiesību jomā [8]. Šie kontrolsaraksti apraksta to, kas uzturētājam nepieciešams pirms ICO vizītes, nevis pēc tās. Northbridge trim rīkiem nav neviena no tiem. Piegādātāja datu apstrādes līgums aptver piegādātāju. Robs pieder uzturētājam.

VDAR vēlīnās atbilstības izmaksu pierādījumi: ko zinām empīriski

Empīriskais pamatojums tam, lai pārvaldību iebūvētu agri, nav balstīts intuīcijā. Tas balstās uz to, kas notika ar ES uzņēmumiem, kuri 2018. gadā uztvēra VDAR kā otršķirīgu jautājumu.

MIT Sloan / Bessen et al. — vienīgais lielizlases vēlīnās ieviešanas pētījums, kāds mums ir

MIT Sloan / Bessen, Janßen, Peukert un Seamans pētījums salīdzināja ES un ārpus ES uzņēmumus pēc tam, kad 2018. gada maijā sākās izpilde. Secinājumi ir tieši: ES uzņēmumi samazināja uzkrātos datus par 26 % un skaitļošanas izmantošanu par 15 %, salīdzinot ar ārpus ES kontroles grupu [9]. Samazinājums koncentrējās grupā, kas nebija iestrādājusi privātuma aizsardzību jau no paša sākuma — vēlīnās ieviešanas grupā. Tie nebija naudas sodi vai juridiskās izmaksas. Tie bija darbības traucējumi: pārtraukti produkti, iztīrītas mārketinga datu kopas, no nulles pārbūvētas integrācijas. Uzņēmumi, kas privātumu bija iebūvējuši no 2016. gada, absorbēja to pašu regulu bez šādiem samazinājumiem.

Northbridge Trading sekoja vēlīnās ieviešanas ceļam. Tas 2018. gadā ieviesa VDAR atbilstību ar 200 £ vērtu politikas veidni un divus gadus vēlāk atklāja reālo cenu. MIT Sloan dati apraksta tieši to, par ko tas samaksāja: arhitektūras pārstrādi, kas iestājas, kad atbilstības saistības tiek ievilktas sistēmā, kura nebija projektēta tās nest.

2,4 reižu vēlīnās ieviešanas reizinātājs

Nozares vēlīnās ieviešanas izmaksu salīdzinošie rādītāji nonāk pie tā paša secinājuma no izmaksu puses: vēlīnie ieviesēji MVU samaksāja aptuveni 2,4 reizes vairāk nekā konkurenti, kas atbilstību iebūvēja, kategorijās — apstrādes darbību reģistrs (ROPA), novērtējumi par ietekmi uz datu aizsardzību, likumīgā pamata reģistri, datu aizsardzības pārkāpumu procesi, datu apstrādes līgumu pārrunāšana un CRM pārstrāde.

Katra no šīm VDAR kategorijām tieši atbilst MI akta analogam. MI reģistrs aizstāj ROPA. Novērtējums par ietekmi uz pamattiesībām saskaņā ar 27. pantu aizstāj VDAR novērtējumu par ietekmi uz datu aizsardzību. 26. panta 6. punkta uzturētāja žurnalēšana aizstāj datu aizsardzības pārkāpumu žurnālu. Kategorijas ir tās pašas; sapinums ir dziļāks. MI modeļi, uzvednes un darbplūsmas ir arhitektoniski savienoti tādos veidos, kādos datu plūsmas nebija. Tehnisko reģistrēšanas mehānismu vai virsvadības kontroļu izvilkšana no ieviestas MI līnijas ir inženiertehniska pārrakstīšana, nevis politikas dokuments. Tāpēc Northbridge reizinātājs — aptuveni 5 reizes — labi iekļaujas diapazonā, ko nozares dati prognozē izpildes spiediena apstākļos.

Izmaksu aritmētika MVU: iebūvēšana pret vēlīnu ieviešanu, rindu pa rindai

Vēlīnās ieviešanas reizinātājs un MIT Sloan darbības dati ir noderīgi atskaites punkti, taču operāciju direktoram ir vajadzīgi skaitļi, ko viņa var ielikt valdes dokumentā. Lūk, aritmētika 180 darbinieku MVU, kas izmanto trīs MI rīkus.

Iebūvēšanas pamatlīmenis 180 darbinieku MVU ar 3 MI rīkiem

MI pārvaldības iebūvēšana no paša sākuma, sadalīta divpadsmit nedēļās, pēc mūsu sadarbības pieredzes izmaksā:

  • MI reģistrs un lietojuma scenāriju riska klasifikācija: 4–6 dienas iekšējā darba plus 2 000–4 000 £ vērta konsultanta pārskatīšana
    1. panta pratības mācību programma (90 minūšu pamatlīmenis visiem darbiniekiem; pilna diena MI atbildīgajiem): 3 000–5 000 £
  • Cilvēka virsvadības protokols un 26. panta 6. punkta žurnalēšana, iebūvēta arhitektūrā: 4 000–6 000 £ inženiertehniskā darba plus 2 dienu juridiskā pārskatīšana
  • Piegādātāju uzticamības pārbaudes pakete, kas aptver datu apstrādes līgumus, modeļu kartes un vispārīga lietojuma MI izcelsmes apliecinājumus: 2 000–3 000 £

Orientējoši kopā iebūvēšanai: 18 000–32 000 £ divpadsmit nedēļās.

Vēlīnās ieviešanas budžets izpildes spiediena apstākļos (2026. gada 3. ceturksnis)

Tā paša kopuma vēlīna ieviešana 2026. gada 3. ceturkšņa spiediena apstākļos izmaksā ievērojami vairāk:

  • Ārējs jurists, kas pēc incidenta nosaka III pielikuma riska apjomu: 15 000–25 000 £
  • Novērtējuma par ietekmi uz pamattiesībām (27. pants) un novērtējuma par ietekmi uz datu aizsardzību atjaunināšana trim jau ieviestiem rīkiem: 20 000–35 000 £
  • Žurnalēšanas vēlīna ieviešana un cilvēka virsvadības darbplūsmas pārbūve: 40 000–70 000 £
  • Darbinieku konsultēšana, pārredzamības paziņojumi un informācijas sniegšana klientiem: 8 000–12 000 £

Orientējoši kopā vēlīnai ieviešanai: 85 000–145 000 £ sešu līdz divpadsmit nedēļu saspiestā uzlabošanas darbā. Attiecība svārstās no aptuveni 2,7 līdz 5,1 reizei, atveidojot nozares salīdzinošā rādītāja apakšējo robežu un sasniedzot Northbridge augšējo robežu.

Kāpēc reizinātājs ir sliktāks nekā VDAR gadījumā

Trīs strukturāli iemesli stumj MI vēlīnās ieviešanas reizinātāju virs VDAR rādītāja. Pirmkārt, MI darbplūsmas ir sapītas: uzvednes, modeļu versijas un pakārtotas automatizētas darbības ir savienotas pēc konstrukcijas, tāpēc pārstrādes virsma ir lielāka nekā datu plūsmu pārslēgšana. Otrkārt, iepirkumu pārbūve norit līdztekus regulatora termiņam. MVU, kas zaudē iepirkumu konkursus uzlabošanas laikā, maksā abas izmaksas vienlaikus. Treškārt, sankciju griesti ir augstāki. 99. pants nosaka naudas sodus līdz 7 % no globālā gada apgrozījuma vai 35 miljoniem € par aizliegtu praksi [1]. MI atbildības direktīva pievieno civilprasību risku, ko VDAR neradīja.

Apvienotās Karalistes MVU ar 25 miljonu £ gada apgrozījumu konservatīvs bāzes aprēķins (pirms MVU samazinājumiem) sasniedz 750 000 € [1]. Iebūvēšanas izmaksas nav atbilstības pieskaitāmās izmaksas. Tās ir nodrošinājums pret naudas sodu, kas ir daudzkārt lielāks par pašām šīm izmaksām.

Designing governance in from the start costs an illustrative 18,000 to 32,000 pounds over 12 weeks; retrofitting it later costs 85,000 to 145,000 pounds, roughly a 2.7 to 5.1 times multiplier.
Pārvaldības iebūvēšana pret tās vēlīnu ieviešanu — orientējošs 2,7–5,1 reizes izmaksu reizinātājs.

Kuri septiņi artefakti veido pirmās dienas MI pārvaldību?

Pirmās dienas MI pārvaldība 50–500 darbinieku MVU nav abstrakta. Tie ir septiņi artefakti, ko varat izveidot divās nedēļās.

1.–3.: Inventarizācija un klasifikācija

1. artefakts — MI reģistrs. Vienas lappuses shēma: sistēmas nosaukums, piegādātājs, modelis, lietojuma scenārijs, datu klases, riska līmenis, atbildīgais, virsvadības protokols un pārskatīšanas datums. Tā izveidei nav nepieciešams konsultants; tā uzturēšanai nepieciešama disciplīna.

2. artefakts — lietojuma scenāriju riska klasifikācijas lēmumu koks. Sasaistīts ar III pielikuma kategorijām: nodarbinātības atlase, kredītspējas vērtēšana, piekļuve izglītībai, biometriskā identifikācija un kritiskā infrastruktūra [1]. Ja rīks skar kādu no šīm darbplūsmām, tas iedarbina augsta riska saistības.

3. artefakts — piegādātāju uzticamības pārbaudes pakete. Datu apstrādes līgums, modeļa karte, vispārīga lietojuma MI atklāšana, atbilstības novērtēšanas kopsavilkums un apakšapstrādātāju saraksts. Te svarīgi ir tas, vai pamatā esošais nodrošinātājs ir parakstījis vispārīga lietojuma MI prakses kodeksu [13].

4.–5.: Ekspluatācija un aizsardzība

4. artefakts — cilvēka virsvadības protokols. 26. panta 5. punkts pieprasa nosauktu cilvēku, kurš var pārskatīt un atcelt jebkuru automatizētu lēmumu [1]. Protokols nosaka, kas ir šī persona, atcelšanas darbplūsmu, eskalācijas kritērijus un pārskatīšanas ritmu.

5. artefakts — 4. panta MI pratības mācību programma. 90 minūšu pamatlīmenis visiem darbiniekiem, puse dienas pieredzējušiem lietotājiem un pilna diena MI atbildīgajiem, atjaunināta katru gadu [1]. 4. pants attiecas uz visiem uzturētājiem neatkarīgi no piegādātāja, un samērīgums mērogojas pēc lomas, nevis darbinieku skaita.

6.–7.: Dokumentēšana un reaģēšana

6. artefakts — žurnalēšanas un incidentu process. 26. panta 6. punkta uzturētāja žurnāli, modeļa novirzes uzraudzība un drošības kontroles visā MI dzīves ciklā no NCSC vadlīnijām drošai MI sistēmu izstrādei — kopīgām vadlīnijām ar CISA un 21 starptautisku kiberdrošības aģentūru [10]. Iebūvējiet žurnālu arhitektūrā; politikas dokumenti bez tehniskiem reģistrēšanas mehānismiem auditā cieš neveiksmi.

7. artefakts — pārredzamības un darbinieku informēšanas pakete. 50. panta lietotāja paziņojumi klientiem paredzētajam MI, 26. panta 7. punkta darbinieku informēšana par jebkuru MI, kas uzrauga darbiniekus, un skaidrs sūdzību ceļš [1].

Sasaistīti ar regulatora atzītiem satvariem

Katrs artefakts sasaistās ar ICO MI audita satvara pārvaldības un pārskatatbildības kontrolsarakstiem [8] un NIST MI riska pārvaldības satvara kodolu: pārvaldīt, kartēt, mērīt un vadīt [5]. ISO/IEC 42001 sasaistās ar to pašu septiņu artefaktu kopumu. Izveidojiet tos vienreiz, un tie apmierina vairākus režīmus vienlaikus.

Iepirkums ir izpildes mehānisms, kuru jūsu klienti iedarbināja agrāk

Katrs meklētāja rezultāts ietver MI akta izpildi no regulatoru naudas sodu skatpunkta. Neviens nepiemin to, ko Apvienotās Karalistes MVU, kas pārdod vidējam tirgum un uzņēmumiem, jau atklāj 2026. gadā: pircēja anketa nokļuva tur pirmā.

Ko vidējā tirgus un uzņēmumu pircēji tagad pieprasa

Piegādātāju anketas vēlīnās stadijas Apvienotās Karalistes iepirkumu konkursos tagad atsaucas uz ISO/IEC 42001 kontroļu saimēm un NIST MI riska pārvaldības satvara četru funkciju kodolu [5]. Tās pieprasa pierādījumus par MI reģistru un lietojuma scenāriju riska klasifikāciju, dokumentētu cilvēka virsvadības protokolu atbilstoši 26. panta 5. punktam [1] un apakšapstrādātāju atklāšanu ar vispārīga lietojuma MI modeļa izcelsmi: kurš pamatmodelis, kurš nodrošinātājs, kurš prakses kodeksa parakstītājs [13]. Iepirkumu komandas negaida izpildes vadlīnijas. Tās aizsargā pašas savas piegādes ķēdes pret atbildību, kas plūst augšup, kad piegādātāja MI rīks izraisa incidentu.

Septiņi artefakti no iepriekšējās sadaļas ir tieši tas, ko pieprasa 9. sadaļas piegādātāja anketa.

Northbridge zaudē iepirkuma konkursu 2026. gada 2. ceturksnī

Northbridge Trading 2026. gada 2. ceturksnī piedalījās konkursā par 420 000 £ vērtu trīsgadu līgumu ar regulētu vidējā tirgus klientu. 9. sadaļā bija rakstīts: "Uzturiet MI reģistru, novērtējuma par ietekmi uz pamattiesībām procesu un cilvēka virsvadības protokolu — sniedziet pierādījumus." Northbridge nevarēja atbildēt. Līgums aizgāja konkurentam ar vienas lappuses reģistru un NIST veidotu politikas kopumu. Iepirkuma virzītā pārbūve tagad gulst virsū regulatora termiņam. Laiks rit abās frontēs.

Publiskā sektora pārmantotās prasības

Apvienotās Karalistes MVU, kas pārdod valdībai, saskaras ar to pašu standartu caur citu kanālu. Valdības MI rokasgrāmata, kas publicēta 2025. gada februārī, izklāsta 10 principus, kas aptver ētisku lietošanu, pārskatatbildību, pārredzamību un dzīves cikla pārvaldību, un piegādātāji tos manto kā līguma nosacījumus [6]. DSIT MI iespēju rīcības plāns, pilnībā pieņemts 2025. gada janvārī, pastiprina atbildīgu MI ieviešanu kā piegādes ķēdes prasību [11]. CMA pamatmodeļu sākotnējais ziņojums pievieno patērētāju aizsardzības un konkurences prizmu, kas pārklāj jebkuru pamatmodeļa ieviešanu [12].

Palikšana zem regulatora radara Jūs neglābj no pircēja anketas. Northbridge to izjuta uz savas ādas.

Ko Digitālais omnibuss atliek — un ko NEATLIEK

  1. gada novembra Digitālā omnibusa virsraksts ("ES atliek MI aktu") neiztur faktiskā priekšlikuma rūpīgu izlasīšanu. Apjukums ir saprotams. Virsraksts nav precīzs.

Kas jau darbojas un ir nemainīgs

Četras saistības jau ir spēkā, un neviens omnibusa iznākums tās neskar. Aizliegtās prakses aizliegums darbojas no 2025. gada 2. februāra [2]. 4. panta MI pratības pienākums darbojas no 2025. gada 2. februāra [1]. Vispārīga lietojuma MI nodrošinātāju saistības un prakses kodeksa režīms stājās spēkā 2025. gada 2. augustā [2]. Un Apvienotās Karalistes VDAR jau ir saistoša katrai Apvienotās Karalistes organizācijai, kas apstrādā personas datus, ieskaitot MVU; ICO MI un datu aizsardzības vadlīnijas ir regulatora interpretācija par to, kā šis likums attiecas uz MI sistēmām — nevis likumā noteikts kodekss, bet praktiskais atbilstības pamatlīmenis, pēc kura ICO vērtēs [7].

Ko Digitālais omnibuss faktiski ierosina

Omnibuss ierosina šauru III pielikuma augsta riska atbilstības novērtēšanas režīma, tehniskās dokumentācijas un ES datubāzes reģistrācijas prasību atlikšanu nodrošinātājiem, kas piegādā konkrētas augsta riska MI sistēmu kategorijas. Tas neierosina atlikt 26. panta uzturētāja saistības, 50. panta pārredzamības prasības, 4. panta pratības pienākumus vai novērtējuma par ietekmi uz pamattiesībām disciplīnu. Šīs saistības paliek publicētajā grafikā.

Trialogs iestrēga 2026. gada 28. aprīlī. Pārcelšana šī raksta tapšanas brīdī vēl gaidīja. Tāpēc Komisijas publicētais termiņš paliek juridiski saistošais noklusējums [2]. MVU, kas izlasīja "atlikts uz 2027. gadu" un atlika pārvaldības projektēšanu, balstoties uz šo lasījumu, jau atpaliek no uzturētāja puses saistībām, kas nekad nemainījās.

Stabilais kodols, ko neviens omnibusa iznākums neskar

Pārvaldība, kas izstrādāta atbilstoši stabilajam kodolam (riska klasifikācija pēc lietojuma scenārija, cilvēka virsvadība, uzturētāja žurnalēšana, novērtējuma par ietekmi uz pamattiesībām un novērtējuma par ietekmi uz datu aizsardzību dokumentācija, MI pratības apmācība, pārredzamības informācijas sniegšana), izdzīvo neatkarīgi no tā, kura omnibusa versija galu galā nostiprinās. Tas, kas mainās dažādās omnibusa versijās, ir tas, kurā pielikumā lietojuma scenārijs ietilpst, nevis tas, vai MVU ir vajadzīgs reģistrs, virsvadības protokols un incidentu process. "Mums ir laiks līdz 2027. gadam" nav lasījums, ko teksts apstiprina.

Kā MVU var izveidot MI pārvaldību 90 dienās?

Divpadsmit nedēļas ir pietiekami, lai nodrošinātu no paša sākuma iebūvētu pārvaldību, ja darbs ir secīgi sakārtots. Lūk, plāns nedēļu pa nedēļai 50–500 darbinieku MVU, kas sāk no nulles.

1.–3. nedēļa — inventarizēt un klasificēt

Atklājiet katru lietoto MI rīku, ieskaitot ēnu MI: Copilot, kas iegults Microsoft 365, pārlūka paplašinājumu MI, nišas SaaS moduļus ar MI funkcijām, ko Jūsu iepirkumu komanda nekad nav skaidri novērtējusi. Izveidojiet MI reģistru un piešķiriet atbildīgo katrai sistēmai. Palaidiet lietojuma scenāriju riska klasifikācijas koku atbilstoši III pielikumam un atzīmējiet jebkuru risku personāla atlasē, kredītspējas vērtēšanā, izglītībā, biometriskajā identifikācijā vai kritiskajā infrastruktūrā [1]. Veiciet ātru juridiskā pamata pārskatīšanu saskaņā ar Apvienotās Karalistes VDAR katrai sistēmai, kas apstrādā personas datus [7].

4.–7. nedēļa — ekspluatēt un dokumentēt

Izstrādājiet cilvēka virsvadības protokolu katrai augsta riska un ierobežota riska sistēmai: nosaukts cilvēks, atcelšanas darbplūsma, eskalācijas kritēriji, pārskatīšanas ritms (4. artefakts). Ieviesiet 26. panta 6. punkta žurnalēšanu visur, kur platforma to atbalsta; pretējā gadījumā izveidojiet uzturētāja puses žurnālu. Neatstājiet to politikas dokumentu ziņā [8]. Veiciet 4. panta MI pratības mācību programmu: vispirms 90 minūšu pamatlīmenis visiem darbiniekiem, pēc tam padziļinātas sesijas pieredzējušiem lietotājiem un MI atbildīgajiem [1]. Atjauniniet novērtējumus par ietekmi uz datu aizsardzību un novērtējumus par ietekmi uz pamattiesībām atbilstoši ICO rīkkopai katrai augsta riska sistēmai [8].

8.–12. nedēļa — gatavība iepirkumam un pārskatīšana

Izveidojiet piegādātāju uzticamības pārbaudes paketi: datu apstrādes līgumi, modeļu kartes, vispārīga lietojuma MI izcelsme, apakšapstrādātāju saraksti un prakses kodeksa parakstītāja statuss katram pamatmodeļa nodrošinātājam [13]. Publicējiet 50. panta pārredzamības paziņojumus klientiem paredzētajam MI; informējiet skartos darbiniekus saskaņā ar 26. panta 7. punktu [1]. Sasaistiet septiņus artefaktus ar iepirkuma anketas formātu, ko sūta vidējā tirgus pircēji: ISO/IEC 42001 kontroļu saimes un NIST MI riska pārvaldības satvara funkcijas [5]. Ieplānojiet pirmo ceturkšņa pārvaldības pārskatīšanu un ieceliet augstākās vadības atbildīgo saskaņā ar ICO rīkkopas prasību [8].

Divi antimodeļi, no kuriem izvairīties

Pirmkārt: 40 000 £ vērta rīka abonementa iegāde pirms reģistra aizpildīšanas. Rīki bez pārvaldības tvēruma ir tukša formalitāte. Rīks atklāj riskus, ko MVU vēl nav definējis.

Otrkārt: 4. panta pratības uztveršana kā vienreizēja tīmekļa semināra. Pienākums ir pastāvīgs un samērīgs ar lomu [1]. 90 minūšu uzsākšanas sesija apmierina pamatlīmeni; tā neapmierina ikgadējo atjaunināšanu vai padziļinātās sesijas MI atbildīgajiem. Arhitektūras pārrakstīšana, par ko samaksāja VDAR vēlīnie ieviesēji, radās tāpēc, ka politikas dokumenti tika uzrakstīti un inženiertehnika tika izlaista. Tā pati likumsakarība, piemērota MI, rada to pašu rezultātu.

Gūtā mācība

Mācība, par ko Northbridge jau samaksāja

  1. gada jūnijā Northbridge operāciju direktors parakstīja 142 000 £ rēķinus, lai vēlīni ieviestu VDAR atbilstību, salīdzinot ar 28 000 £ iebūvēšanas pamatlīmeni. Tā nebija iepirkuma neveiksme. Tas ir tas, kas notiek, kad kompetents vadītājs uztver atbilstību kā kaut ko, ko var pievienot vēlāk, tiklīdz produkts darbojas. MIT Sloan dati pārvērš šo pieredzi par likumsakarību: ES uzņēmumi pēc 2018. gada samazināja uzkrātos datus par 26 % un skaitļošanu par 15 %, ar ietekmi, kas vissmagākā bija uzņēmumiem, kuri nebija iebūvējuši privātumu no pirmās dienas [9]. MI akts gatavojas mācīt šo mācību otrreiz.

MI pārvaldības vēlīna ieviešana norit sliktāk, jo žurnalēšana, cilvēka virsvadība un uzvednes ir sapītas ar darbplūsmas arhitektūru. Iepirkums izpilda Aktu agrāk nekā regulatori. Septiņu artefaktu iebūvēšana izmaksā 18 000–32 000 £; to vēlīna ieviešana izpildes un iepirkumu spiediena apstākļos kopā izmaksā 85 000–145 000 £. Aprēķins ir nepārprotams.

Kopsavilkums

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Saistītie ieskati

Frequently Asked Questions

Kad ES MI akts stājas spēkā Apvienotās Karalistes MVU un kādas saistības jau darbojas?
Tās ir pakāpienu kāpnes, nevis viens vienots slieksnis. Akts stājās spēkā 2024. gada 1. augustā. Aizliegtā prakse darbojas no 2025. gada 2. februāra; 4. panta MI pratības pienākumi — no tās pašas dienas; vispārīga lietojuma MI nodrošinātāju saistības — no 2025. gada 2. augusta; pilnīga augsta riska piemērojamība iestājas 2026. gada 2. augustā; iegulto augsta riska produktu noteikumi — 2027. gada 2. augustā. Apvienotās Karalistes MVU, kas apkalpo ES klientus, ietilpst piemērošanas jomā eksteritoriāli, un ICO MI vadlīnijas saskaņā ar Apvienotās Karalistes VDAR ir saistošas kopš 2023. gada.
Cik maksā MI pārvaldības vēlīna ieviešana salīdzinājumā ar tās iebūvēšanu 180 darbinieku MVU?
Iebūvēšana divpadsmit nedēļās izmaksā 18 000–32 000 £: MI reģistrs, 4. panta pratības mācību programma, cilvēka virsvadības protokols ar 26. panta 6. punkta žurnalēšanu, piegādātāju uzticamības pārbaudes pakete. Tā paša kopuma vēlīna ieviešana 2026. gada 3. ceturkšņa izpildes un iepirkumu spiediena apstākļos izmaksā 85 000–145 000 £ sešās līdz divpadsmit saspiestās nedēļās — reizinātājs 2,7–5,1. Northbridge VDAR precedents izmaksāja aptuveni 5 reizes vairāk, un MIT Sloan konstatēja, ka ES uzņēmumi pēc 2018. gada samazināja uzkrātos datus par 26 % un skaitļošanu par 15 % — koncentrēti vēlīnās ieviešanas grupā.
Vai ChatGPT Enterprise vai Microsoft Copilot iegāde pārceļ ES MI akta atbilstību uz piegādātāju?
Nē. 16. pants nosaka, kas jādara nodrošinātājam: atbilstības novērtēšana, tehniskā dokumentācija, pēctirgus uzraudzība. 26. pants nosaka, kas jādara uzturētājam: lietot sistēmu atbilstoši norādījumiem, nodrošināt cilvēka virsvadību, uzturēt ievaddatus atbilstošus, žurnalēt augsta riska lietojumus vismaz sešus mēnešus, informēt skartos darbiniekus un klientus. Brīdī, kad Apvienotās Karalistes MVU ielīmē CV ChatGPT, lai atlasītu kandidātus, tas kļūst par augsta riska uzturētāju saskaņā ar III pielikumu. Uzņēmuma lielums klasifikācijas noteikumā nefigurē.
Kā praksē izskatās MVU pirmās dienas MI pārvaldība?
Septiņi artefakti, ko varat izveidot divās nedēļās: MI reģistrs, kurā uzskaitīta katra sistēma ar piegādātāju, modeli, lietojuma scenāriju, riska līmeni un atbildīgo; lietojuma scenāriju riska klasifikācijas koks, kas sasaistīts ar III pielikumu; piegādātāju uzticamības pārbaudes pakete, kas aptver datu apstrādes līgumu, modeļa karti un vispārīga lietojuma MI izcelsmi; cilvēka virsvadības protokols, kas nosauc 26. panta 5. punkta atbildīgo personu; 4. panta MI pratības mācību programma; žurnalēšanas un incidentu process saskaņā ar 26. panta 6. punktu; pārredzamības paziņojumi klientiem paredzētajam MI un darbinieku informēšanas paketes.
Vai 2025. gada novembra Digitālais omnibuss atliek ES MI aktu pietiekami, lai MVU varētu gaidīt?
Nē. Omnibuss ierosina šauru III pielikuma augsta riska atbilstības novērtēšanas režīma atlikšanu nodrošinātājiem. Tas neatliek 26. panta uzturētāja saistības, 50. panta pārredzamības prasības, 4. panta pratības pienākumus vai novērtējuma par ietekmi uz pamattiesībām disciplīnu. Aizliegtā prakse, vispārīga lietojuma MI saistības un ICO vadlīnijas saskaņā ar Apvienotās Karalistes VDAR jau ir spēkā un nemainīgas. Trialogs iestrēga 2026. gada 28. aprīlī, tāpēc Komisijas publicētais termiņš paliek juridiski saistošais noklusējums. "Mums ir laiks līdz 2027. gadam" nav lasījums, ko teksts apstiprina.
Kas ir novērtējums par ietekmi uz pamattiesībām saskaņā ar ES MI akta 27. pantu un kam tas jāveic?
Tā ir 27. panta saistība, kas prasa noteiktiem uzturētājiem — publiskām struktūrām un privātiem operatoriem, kuri ekspluatē III pielikuma augsta riska sistēmas regulētās funkcijās, piemēram, kredītspējas vērtēšanā un apdrošināšanas cenu noteikšanā — novērtēt ietekmi uz pamattiesībām pirms pirmās lietošanas un to atjaunināt, mainoties būtiskiem apstākļiem. Tvērums aptver skartās personas, lietošanas biežumu un ilgumu, kaitējuma veidus, virsvadības pasākumus un sūdzību mehānismus. Apvienotās Karalistes MVU, kas apkalpo ES klientus, ietilpst tvērumā eksteritoriāli. Digitālais omnibuss šo disciplīnu neatliek; tās iebūvēšana līdztekus MI reģistram novērš vēlīnās ieviešanas reizinātāju.
Vai ISO 42001 sertifikācija palīdzēs ES MI akta gatavībā, vai tās ir atsevišķas atbilstības līnijas?
ISO 42001 un ES MI akts ir savstarpēji papildinoši, nevis dublējoši. ISO 42001 nosaka MI pārvaldības sistēmu — pārvaldības lomas, MI reģistru, risku identificēšanu, iekšējo auditu —, kas tieši paātrina iebūvēšanas ceļu: MI reģistru, piegādātāju uzticamības pārbaudes paketi, 4. panta pratības mācību programmu, 26. panta 6. punkta žurnalēšanu. Tā pati par sevi neapmierina nodrošinātāja atbilstības novērtēšanu saskaņā ar 16. pantu, novērtējumu par ietekmi uz pamattiesībām saskaņā ar 27. pantu vai pārredzamību saskaņā ar 50. pantu. Uztveriet ISO 42001 kā pārvaldības mugurkaulu un Aktu kā juridisko virsmu; nepieciešami abi.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.