Skip to content

Kā 90 minūtēs izveidot MI reģistru (ES MI akts)

Piecu soļu, 90 minūšu plāns MI reģistram, kas Eiropas MVU nepieciešams saskaņā ar ES MI akta 26. pantu un ICO vadlīnijām. Sākuma kolonnas, slazdi, atbildīgo noteikšana.

Kā 90 minūtēs izveidot MI reģistru (ES MI akts)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Lielākā daļa Eiropas MVU MI reģistru uztver kā apjomīgu uzdevumu, ko tie sagatavos, kad sāksies reāla ES MI akta uzraudzība un sankcijas. Tas ir nepareizs pieņēmums. Lietojama pirmā versija prasa deviņdesmit minūtes, ja to izveidojat kā uzskaiti, ko kārto uzturētājs, nevis kā atbilstības artefaktu. Tālāk ir piecu soļu plāns, ko mēs auditu projektos izstrādājam kopā ar operāciju vadītājiem — tas pats, kas līdz piektdienas pēcpusdienai vienā lapā atspoguļo III pielikuma riska ainu un dod laiku pēc tam rūpīgi paveikt lēnāko darbu.

Ātrā atbilde. MI reģistrs ir uzskaite par katru Jūsu organizācijas MI sistēmu, ko kārto uzturētājs un ko paredz ES MI akta 26. panta uzturētāja pienākumi [1] un kas saskaņota ar ICO vadlīnijām saskaņā ar UK GDPR [2]. Lietojama pirmā versija MVU ar mazāk nekā 200 darbiniekiem prasa deviņdesmit minūtes: 15 minūtes uzskaitīšanai, 20 riska līmeņu noteikšanai pret III pielikumu, 25 pamatkolonnu aizpildīšanai un 30 atbildīgo norīkošanai un virsvadības pārbaudei.

Kas ir MI reģistrs?

MI reģistrs 26. panta uzturētāja pienākumiem ir tas pats, kas apstrādes darbību reģistrs (ROPA) UK GDPR 30. pantam: dzīva uzskaite, ko kārto uzturētājs, kas nosauc katru sistēmu, klasificē tās riska līmeni un norīko atbildīgo personu. Tas ir dokuments, ko ICO izmeklētājs, iepirkuma nodaļa vai uzņēmuma klienta piegādātāju drošības komanda pieprasīs pirmo.

ES MI akts regulas tekstā reģistra formātu nenosaka. 26. panta 5. punkts prasa, lai augsta riska MI sistēmu uzturētāji nodrošinātu cilvēka virsvadību, ko veic norīkota, kompetenta persona; 26. panta 6. punkts prasa augsta riska lietojumu reģistrēšanu vismaz sešus mēnešus [1]. Reģistrs ir operatīvais pamats, kas abus padara redzamus. ICO kopš 2023. gada ir skaidri norādījusi, ka MI, kas saskaņā ar UK GDPR apstrādā personas datus, rada NIDA un pārskatatbildības pienākumus [2], un ICO MI audita rīkkopa uzskaita strukturēto ierakstu veidus, kas MVU būs nepieciešami [3]. Neviens regulators nenosaka konkrētu rīku. Izklājlapa, kas nosauc pareizās kolonnas un norīko pareizos atbildīgos, iztur pārbaudi.

Kāpēc deviņdesmit minūtes ir pietiekami (un ko tās Jums nedod)

Reģistrs nav galamērķis. Tas ir karte. Deviņdesmit minūtes ir pietiekami, lai atklātu, kāds MI tiek izmantots, klasificētu tā riska līmeni un noteiktu pārskatatbildību — trīs faktus, ko katram uzturētājam jāspēj skaidri parādīt, pirms regulators, klients vai valde to pieprasa. Ko deviņdesmit minūtes Jums nedod: novērtējumu par ietekmi uz pamattiesībām saskaņā ar 27. pantu katrai III pielikuma sistēmai, lomai samērīgu MI prasmju mācību programmu saskaņā ar 4. pantu, piegādātāju uzticamības pārbaudes komplektu, kas aptver datu apstrādes līgumus un modeļu kartes, vai pilnībā uzrakstītu cilvēka virsvadības protokolu [1]. Tie ir pakārtoti darba virzieni, kas ietverami atkarībā no tā, ko reģistrs atklāj.

Laika ierobežošanas disciplīna ir svarīgāka par pulēšanu. Mūsu auditu projektos tie MVU, kas reģistru uztver kā vairāku nedēļu projektu, parasti to nesagatavo; tie MVU, kas pirmo versiju ierobežo deviņdesmit minūtēs, sagatavo reģistru jau pirmajā dienā un pēc tam to iterē. 26. panta pienākumi ir nepārtraukti, nevis vienā laika punktā fiksēti, tāpēc pirmā versija, ko Jūs varat atjaunināt, ir noteikti vairāk vērta nekā trešā versija, ko neesat iesācis.

Kā norit 90 minūšu MI reģistra darbplūsma?

1. solis — Uzskaitiet katru izmantoto MI sistēmu (15 minūtes)

Trīs avoti aptver lielāko daļu no tā, ko atradīsiet. Maksas SaaS abonementus meklējiet finanšu virsgrāmatā vai izdevumu kartē — jebkurš piegādātājs, kura produkta nosaukumā ir "AI", "ML", "Copilot", "Assistant" vai "Insight", iekļaujams sarakstā. Iebūvēto MI apkopojiet no esošajām platformām — Microsoft 365 Copilot, Google Workspace Gemini funkcijas, Salesforce Einstein, HubSpot Breeze, Outlook automātiskās atbildes, Teams sapulču kopsavilkumi visi ir tvērumā, neatkarīgi no tā, vai par tiem maksā. Ēnu MI noskaidrojiet ar vienu rindkopas garu ziņu visiem darbiniekiem, jautājot, kurus MI rīkus tie izmanto ikdienā, ieskaitot bezmaksas patērētāju kontus.

Ēnu MI uzskatiet par tvēruma daļu. Darbinieks, kas ielīmē CV bezmaksas ChatGPT kontā, padara MVU par augsta riska uzturētāju saskaņā ar ES MI akta nodarbinātības noteikumiem [1], un dati saskaņā ar UK GDPR pamet Jūsu vidi [2]. Reģistra uzdevums ir to atklāt, nevis kontrolēt. Kontrole nāk 4. solī, kad zināt, kas tur ir.

2. solis — Katrai sistēmai nosakiet riska līmeni pret III pielikumu (20 minūtes)

ES MI akta III pielikumā ir uzskaitītas astoņas augsta riska jomas [1]: biometriskā identifikācija, kritiskā infrastruktūra, izglītība un arodapmācība, nodarbinātība un darbinieku pārvaldība, piekļuve pamatpakalpojumiem, tiesībaizsardzība, migrācija un robežkontrole, kā arī tiesvedības administrēšana. MVU biežākie riska gadījumi parasti ir nodarbinātība (CV atlase, snieguma ranžēšana, automātiska grafiku sastādīšana), piekļuve pakalpojumiem (kredīta lēmumi, apdrošināšanas cenu noteikšana) un izglītība (apmācības vērtējumi, sertifikācijas).

Katrai sarakstā esošajai sistēmai piešķiriet vienu marķējumu: augsta riska (atbilst III pielikumam), ierobežota riska (pārredzamības pienākumi saskaņā ar 50. pantu), minimāla riska (nav konkrētu pienākumu papildus 4. panta prasmēm) vai vispārīga lietojuma MI uzturētājs (izmantojot vispārīga lietojuma MI modeli kā mugurkaulu tērzēšanas robotam vai asistentam) [1]. Lielākajai daļai MVU izmantoto tehnoloģiju klāsts sadalās divos vai trijos līmeņos. Klasifikācija ir uzturētāja ziņā; to nevar deleģēt piegādātājam, un to neietekmē uzņēmuma lielums.

3. solis — Aizpildiet desmit pamatkolonnas (25 minūtes)

Kolonnas, kas pelna savu vietu uzturētāja reģistrā:

  1. Sistēmas nosaukums — kā to darbinieki sauc ikdienā.
  2. Piegādātājs — juridiskā persona aiz produkta.
  3. Modelis vai versija — kur zināms (piemēram, GPT-4o, Claude 3.5, Gemini 1.5, izstrādāts iekšēji).
  4. Lietojuma gadījums — viens teikums, kas apraksta, ko sistēma izlemj vai ģenerē.
  5. Riska līmenis — augsts / ierobežots / minimāls / vispārīga lietojuma MI uzturētājs.
  6. Iesaistīti personas dati — Jā/Nē, plus kategorijas saskaņā ar UK GDPR.
  7. Likumīgais pamats — UK GDPR 6. panta pamats (leģitīmās intereses, līgums, piekrišana u. c.).
  8. Atbildīgā persona — konkrēts cilvēks, nevis komanda vai loma.
  9. 26. panta 6. punkta reģistrēšana — Jā/Nē/N/A augsta riska gadījumiem.
  10. Ekspluatācijas uzsākšanas datums — vismaz mēnesis un gads.

Izklājlapa ar šīm desmit kolonnām atbild uz pirmo jautājumu, ko uzdos katrs regulators, klients vai valdes loceklis. Viss pārējais ir iteratīvs darbs, nevis pirmās versijas darbs. Pretojieties vēlmei pievienot kolonnas, kamēr neesat aizpildījis visas desmit pa visām rindām.

4. solis — Katrai sistēmai norīkojiet atbildīgo personu (15 minūtes)

  1. panta 5. punkts prasa, lai augsta riska MI sistēmu uzturētāji nodrošinātu cilvēka virsvadību, ko veic kompetenta, atbildīga persona ar pilnvarām sistēmu apturēt vai ignorēt tās rezultātu [1]. Pārnesiet to uz savu reģistru, pretī katrai III pielikuma rindai nosaucot reālu cilvēku — nevis lomu, piemēram, "IT vadītājs" vai "Operāciju vadītājs". Atbildīgajai personai nepieciešamas trīs īpašības: tā spēj nolasīt sistēmas rezultātus, tai ir pilnvaras to izslēgt, un Jūsu reģistrā tā ir sasniedzama vārdā.

Sistēmām, kas nav III pielikumā, tik un tā nosauciet atbildīgo. Formālais pienākums ir vieglāks; disciplīna ir tā pati. Operāciju vadītāji un augstākā līmeņa vadītāji vairumā MVU ir dabiskie atbildīgie; tehnoloģiju vai datu direktors nav nepieciešams.

5. solis — Pārbaudiet cilvēka virsvadību vienai augsta riska MI sistēmai (15 minūtes)

Savai augstākā riska III pielikuma rindai izejiet cauri trim jautājumiem: vai cilvēks pārskata MI rezultātu, pirms tas ietekmē cilvēku (cilvēks lēmumu ķēdē); vai šis cilvēks praksē var ignorēt MI lēmumu (pilnvaru pārbaude); vai cilvēks ir saņēmis lomai atbilstošu apmācību saskaņā ar 4. pantu (prasmju pārbaude) [1]? Atbildes ievietojiet brīvā teksta kolonnā "cilvēka virsvadības piezīmes" blakus desmit pamatkolonnām.

Piecpadsmit minūtēs cilvēka virsvadības protokolu Jūs nepabeigsiet. Mērķis ir atklāt, kur ir nepilnība, nevis to uzreiz novērst. Rinda ar tekstu "nav cilvēka pārskata par CV atlasi; trūkums jānovērš 30 dienu laikā" ir tieši pareizais rezultāts. Reģistra uzdevums ir padarīt nepilnību redzamu; tās novēršana ir atsevišķs darba virziens un atsevišķs budžets.

The 90-minute AI register build as a timeboxed flow: list systems in 15 minutes, risk-tier against Annex III in 20, fill ten core columns in 25, name an accountable owner in 15, and spot-check oversight in 15.
The 90-minute AI register build as a timeboxed workflow.

Kuri pieci slazdi nogalina pirmās versijas MI reģistru?

  • Reģistru nedrīkst uzskatīt par vienreizēju dokumentu. 26. panta pienākumi ir nepārtraukti; reģistrs ir dzīvs artefakts, ko pārskata vismaz reizi ceturksnī un atjaunina ikreiz, kad tiek ieviesta jauna MI sistēma vai piegādātājs ievieš būtisku modeļa maiņu.
  • Ēnu MI palaišana garām. Bezmaksas patērētāju konti un personīgās Copilot sesijas ir augstākā incidentu un zemākās redzamības kategorija. Ja reģistrs tos neatklāj, tas melo.
  • "Atbilstības rīka" iegāde pirms uzskaitīšanas. Piegādātāja atbilstības SaaS Jūsu lietojuma gadījumus neklasificēs — to var tikai Jūsu komanda. Vispirms izklājlapa, rīks vēlāk (vai nekad; MVU ar mazāk nekā 200 darbiniekiem uzturēta izklājlapa ir pietiekama).
  • Lomas, nevis personas norīkošana. "IT komandu" nevar izsaukt. Konkrētu cilvēku ar tālruņa numuru var. 26. panta 5. punkts paredz pēdējo [1].
  • Pilnīga 4. panta prasmju izlaišana. 4. pants kopš 2025. gada 2. februāra attiecas uz katru darbinieku, kas izmanto MI, samērīgi viņa lomai [1]. Tas nav līmenis — katra sistēma rada 4. panta pienākumu. Atzīmējiet to reģistrā arī tad, ja pati mācību programma ir pakārtots darbs.

Ko darīt pēc deviņdesmit minūtēm

Reģistrs ir atklāšanas slānis. No tā parasti pacelas trīs turpmāki darba virzieni:

  1. FRIA tvēruma noteikšana katrai III pielikuma rindai saskaņā ar ES MI akta 27. pantu [1] — atsevišķs, dziļāks dokuments, ko reģistra riska līmeņa kolonna drīzāk ierosina, nevis aizstāj.
  2. 4. panta prasmju mācību programma — samērīga ar lomu, ietverta atbilstoši reģistra atbildīgās personas kolonnai, nevis darbinieku skaitam.
  3. Piegādātāju uzticamības pārbaudes komplekts — datu apstrādes līgumi, modeļu kartes, vispārīga lietojuma MI izcelsme, ietverts atbilstoši reģistra piegādātāju kolonnai un atjaunināts iepirkuma atjaunošanas brīdī.

Tie ir darba virzieni, ko jau no paša sākuma iestrādāta pieeja mūsu projektu pieredzē aptver aptuveni divpadsmit nedēļās par 18 000–32 000 £, un tie paši darba virzieni, ko pieeja, kas tos ievieš vēlāk, atpakaļejoši, aptver sešās saspiestās nedēļās par 85 000–145 000 £ — reizinātājs, kas saskan ar MIT Sloan datiem par ES uzņēmumiem, kuri izpildes spiediena ietekmē pēc GDPR ieviešanas saglabāto datu apjomu samazināja par 26 % un skaitļošanu par 15 % [4]. Reģistrs ir lētākais iespējamais pirmais solis pret šo aritmētiku.

Kopsavilkums

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Saistītie ieskati


Pēdējoreiz atjaunināts: 2026. gada maijs. Versija 1.0.

Frequently Asked Questions

Vai MI reģistrs aizstāj GDPR apstrādes darbību reģistru?
Nē, tie ir papildinoši uzskaites instrumenti ar atšķirīgu juridisko pamatu. Apstrādes darbību reģistrs ir prasīts saskaņā ar UK GDPR 30. pantu un kataloģizē personas datu plūsmas. MI reģistrs ir tā uzturētāja analogs saskaņā ar ES MI akta 26. pantu un ICO vadlīnijām, un tas kataloģizē katru MI sistēmu neatkarīgi no tā, vai tā apstrādā personas datus. Daudzas sistēmas parādās abos, taču savstarpējā atsauce abos virzienos ir "viens pret daudziem".
Mūsu darbinieki izmanto bezmaksas ChatGPT un patērētāju Copilot. Vai tie ieskaitāmi reģistrā?
Jā. MI akta 26. panta uzturētāja pienākumi attiecas uz MVU neatkarīgi no tā, vai MI abonements ir uzņēmuma vai patērētāja, maksas vai bezmaksas. Brīdī, kad darbinieks darba gaitā izmanto MI rīku, MVU ir uzturētājs un sistēma ir ierakstāma reģistrā. Bezmaksas patērētāju kontiem turklāt parasti trūkst datu apstrādes līguma, ko nodrošina uzņēmuma līmenis, kas UK GDPR risku drīzāk palielina, nevis mazina.
Mūsu MVU atrodas ārpus ES. Vai ES MI akts attiecas uz mūsu reģistru?
MVU, kas atrodas ārpus ES, ES MI akta tieša piemērojamība ir šaurāka, bet gandrīz nekad nav pilnībā izslēgta. Akts darbojas eksteritoriāli, kad sistēmas rezultātu izmanto ES iekšienē, kas SaaS produktiem un B2B pakalpojumiem notiek ikdienā. Pat bez ES saiknes nacionālie regulatori seko Akta uzturētāja loģikai — ICO kopš 2023. gada ir saskaņojusi UK MI vadlīnijas ar to, un līdzīgas ne-ES Eiropas jurisdikcijas seko šim piemēram. Reģistrs, kas veidots pret 26. pantu, atbilst arī šīm nacionālajām attīstības tendencēm.
Kam MVU bez tehnoloģiju direktora vajadzētu uzņemties MI reģistru?
Operāciju direktoram, atbilstības vadītājam vai augstākā līmeņa personai, kas atskaitās rīkotājdirektoram. Reģistrs ir uzturēšanas, nevis tehnisks darbs: rindu uzturēšana, riska līmeņu atjaunināšana, sistēmām mainoties, un atbildīgo personu pārbaude katru ceturksni. Izplatīts MVU modelis ir viens norīkots atbildīgais, kas reģistru uztur aptuveni trīs stundas ceturksnī, plus katras rindas norīkotā atbildīgā persona, kas pilda savus konkrētajai sistēmai specifiskos pienākumus.
Cik bieži reģistrs jāatjaunina?
Reālistiskā minimālā robeža MVU ir reizi ceturksnī, plus notikumu izraisīta atjaunināšana ikreiz, kad tiek iegādāta jauna MI sistēma vai tiek ieviesta būtiska modeļa maiņa (piemēram, piegādātājs pāriet no vienas modeļa paaudzes uz nākamo). III pielikuma augsta riska rindām ieraksti tiek atjaunināti nepārtraukti saskaņā ar 26. panta 6. punktu. Statisks reģistrs, kas vecs gadu, nav aizstāvams regulatora vai uzņēmuma iepirkuma komandas priekšā.
Vai pietiek ar izklājlapu, vai mums vajadzīgs specializēts GRC rīks?
MVU ar mazāk nekā aptuveni 200 darbiniekiem pietiek ar izklājlapu. Auditam nozīme ir kolonnām, norīkotajiem atbildīgajiem un ceturkšņa atjaunināšanas disciplīnai, nevis platformai. Excel vai Google Sheets ar ierobežotu piekļuvi un versiju vēsturi iztur regulatora pārbaudi. Specializēti GRC rīki kļūst noderīgi virs aptuveni 500 darbiniekiem vai piecpadsmit un vairāk MI sistēmām; zem tā rīka slogs pārsniedz laika ietaupījumu.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.