Skip to content

Kif Tibni Reġistru tal-IA f'90 Minuta (l-Att tal-UE dwar l-IA)

Bini ta' ħames passi f'90 minuta tar-reġistru tal-IA li l-SMEs Ewropej jeħtieġu taħt l-Artikolu 26 tal-Att tal-UE dwar l-IA u l-gwida tal-ICO. Kolonni tal-bidu, nases, u r-regola tas-sid maħtur.

Kif Tibni Reġistru tal-IA f'90 Minuta (l-Att tal-UE dwar l-IA)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Il-biċċa l-kbira tal-SMEs Ewropej iqisu r-reġistru tal-IA bħala xi prodott tqil li jħejju meta jibda jidħol fis-seħħ l-infurzar tal-Att tal-UE dwar l-IA. Dak huwa żball ta' kategorija. Verżjoni v1 li taħdem tieħu disgħin minuta jekk tirfinaha bħala inventarju min-naħa tal-implimentatur u mhux bħala artefatt ta' konformità. Hawn taħt hawn il-bini ta' ħames passi li nħaddmu mal-mexxejja tal-operazzjonijiet fl-inkarigi tal-awditjar tagħna — l-istess wieħed li jqiegħed stampa tar-riskju tal-Anness III fuq paġna sa nofsinhar tal-Ġimgħa u jagħti l-wisa' biex imbagħad ix-xogħol l-aktar fil-fond isir kif suppost.

Tweġiba Fil-Qosor. Reġistru tal-IA huwa l-inventarju min-naħa tal-implimentatur ta' kull sistema tal-IA fl-organizzazzjoni tiegħek, preżunt mill-obbligi tal-implimentatur tal-Artikolu 26 tal-Att tal-UE dwar l-IA [1] u allinjat mal-gwida tal-ICO taħt il-UK GDPR [2]. Verżjoni v1 li taħdem tieħu disgħin minuta għall-SMEs ta' inqas minn 200 staff: 15-il minuta biex telenka, 20 biex tikklassifika r-riskju kontra l-Anness III, 25 biex timla l-kolonni ewlenin, u 30 biex tassenja s-sidien u tiċċekkja s-sorveljanza.

X'inhu reġistru tal-IA?

Ir-reġistru tal-IA huwa għall-obbligi tal-implimentatur tal-Artikolu 26 dak li r-reġistru tal-attivitajiet ta' pproċessar (ROPA) huwa għall-Artikolu 30 tal-UK GDPR: inventarju ħaj li jsemmi kull sistema, jikklassifika l-livell ta' riskju tagħha u jaħtar persuna responsabbli. Huwa d-dokument li investigatur tal-ICO, dipartiment tal-akkwist, jew it-tim tas-sigurtà tal-fornituri ta' klijent intrapriża se jitolbu l-ewwel.

L-Att tal-UE dwar l-IA ma jippreskrivix il-format tar-reġistru fit-test tar-regolament. L-Artikolu 26(5) jitlob li l-implimentaturi ta' sistemi b'riskju għoli jiżguraw sorveljanza mill-bniedem minn persuna maħtura u kompetenti; l-Artikolu 26(6) jitlob iż-żamma ta' reġistri tal-użi b'riskju għoli għal mill-inqas sitt xhur [1]. Ir-reġistru huwa s-sottostrat operattiv li jrendi t-tnejn viżibbli. L-ICO ċċarat sa mill-2023 li l-IA li tipproċessa data personali taħt il-UK GDPR tqanqal id-dixxiplina tad-DPIA u l-obbligi tar-responsabbiltà [2], u t-toolkit tal-awditjar tal-IA tal-ICO jelenka t-tipi ta' rekords strutturati li SME se jkollu bżonn [3]. Ebda regolatur ma jimponi għodda speċifika. Folja tal-kalkolu li ssemmi l-kolonni t-tajba u taħtar is-sidien it-tajba tgħaddi t-test.

Għaliex disgħin minuta jaħdmu (u x'ma jixtrulekx)

Ir-reġistru mhuwiex id-destinazzjoni. Huwa l-mappa. Disgħin minuta huma biżżejjed biex toħroġ fid-dieher liema IA qed tintuża, tikklassifika l-livell ta' riskju tagħha, u tassenja r-responsabbiltà — it-tlitt fatti li kull implimentatur irid juri qabel ma jitlobhom regolatur, klijent jew bord. Dak li disgħin minuta ma jixtrulekx: valutazzjoni tal-impatt fuq id-drittijiet fundamentali taħt l-Artikolu 27 għal kull sistema tal-Anness III, kurrikulu ta' litteriżmu fl-IA taħt l-Artikolu 4 proporzjonat mar-rwol, pakkett ta' diliġenza dovuta tal-fornituri li jkopri DPAs u model cards, jew protokoll ta' sorveljanza mill-bniedem miktub kollu kemm hu [1]. Dawk huma linji ta' xogħol sussegwenti, iddefiniti skont dak li joħroġ fid-dieher ir-reġistru.

Id-dixxiplina li tillimita l-ħin tgħodd aktar mil-lustru. Fl-inkarigi tal-awditjar tagħna, l-SMEs li jqisu r-reġistru bħala proġett ta' diversi ġimgħat ġeneralment ma jipproduċuhx; l-SMEs li jillimitaw il-v1 għal disgħin minuta jipproduċu reġistru fl-ewwel jum u mbagħad jirfinawh. L-obbligi tal-Artikolu 26 huma kontinwi, mhux f'punt wieħed fiż-żmien, u għalhekk v1 li tista' taġġorna tiswa b'mod assolut aktar minn v3 li lanqas bdejt.

Kif jaħdem il-fluss ta' xogħol tar-reġistru tal-IA f'90 minuta?

Pass 1 — Elenka kull sistema tal-IA li qed tintuża (15-il minuta)

Tliet sorsi jkopru l-biċċa l-kbira ta' dak li ssib. Iġbed l-abbonamenti SaaS imħallsa mill-ktieb tal-kontijiet finanzjarji jew mill-karta tal-ispejjeż — kull fornitur b'"AI", "ML", "Copilot", "Assistant" jew "Insight" fl-isem tal-prodott jappartjeni fil-lista. Iġbed l-IA inkorporata mill-pjattaformi eżistenti tiegħek — Microsoft 365 Copilot, il-funzjonijiet ta' Google Workspace Gemini, Salesforce Einstein, HubSpot Breeze, ir-risposti awtomatiċi ta' Outlook, is-sommarji tal-laqgħat ta' Teams huma kollha fl-ambitu, kemm jekk titħallas għalihom kif ukoll jekk le. Iġbed l-IA fid-dell minn messaġġ ta' paragrafu wieħed lill-istaff kollu fejn tistaqsi liema għodod tal-IA jużaw l-impjegati ta' kuljum, inklużi kontijiet tal-konsumatur bla ħlas.

Ittratta l-IA fid-dell bħala fl-ambitu. Impjegat li jwaħħal CV f'kont ChatGPT bla ħlas jagħmel lill-SME implimentatur b'riskju għoli tal-Anness III taħt id-dispożizzjonijiet tal-impjieg tal-Att tal-UE dwar l-IA [1], u d-data toħroġ mill-ambjent tiegħek taħt il-UK GDPR [2]. Ix-xogħol tar-reġistru huwa li joħroġha fid-dieher, mhux li jippuliziaha. Il-puliziar jiġi fil-pass 4 ladarba tkun taf x'hemm.

Pass 2 — Ikklassifika kull sistema skont ir-riskju kontra l-Anness III (20 minuta)

L-Anness III tal-Att tal-UE dwar l-IA jelenka tmien oqsma b'riskju għoli [1]: identifikazzjoni bijometrika, infrastruttura kritika, edukazzjoni u taħriġ vokazzjonali, impjieg u ġestjoni tal-ħaddiema, aċċess għal servizzi essenzjali, infurzar tal-liġi, migrazzjoni u kontroll tal-fruntieri, u amministrazzjoni tal-ġustizzja. Għall-SMEs il-każijiet attwali ġeneralment huma l-impjieg (skrining tas-CVs, klassifikazzjoni tal-prestazzjoni, skedar awtomatiku), l-aċċess għas-servizzi (deċiżjonijiet ta' kreditu, ipprezzar tal-assigurazzjoni), u l-edukazzjoni (valutazzjonijiet tat-taħriġ, ċertifikazzjonijiet).

Għal kull sistema fil-lista tiegħek, immarkaha bħala waħda minn dawn: b'riskju għoli (taqbel mal-Anness III), b'riskju limitat (obbligi ta' trasparenza taħt l-Artikolu 50), b'riskju minimu (ebda obbligu speċifiku lil hinn mil-litteriżmu tal-Artikolu 4), jew implimentatur ta' IA bi skop ġenerali (li juża mudell tal-IA bi skop ġenerali bħala s-sinsla ta' chatbot jew assistent) [1]. Il-biċċa l-kbira tas-settijiet tas-SMEs jaqgħu f'żewġ jew tliet livelli. Il-klassifikazzjoni hija deċiżjoni tal-implimentatur; ma tistax tiġi ddelegata lill-fornitur u ma tiġix affettwata mid-daqs tal-kumpanija.

Pass 3 — Imla l-għaxar kolonni ewlenin (25 minuta)

Il-kolonni li jistħoqqilhom posthom f'reġistru tal-implimentatur:

  1. Isem is-sistema — kif isejħulha l-impjegati tiegħek ta' kuljum.
  2. Fornitur — l-entità legali wara l-prodott.
  3. Mudell jew verżjoni — fejn magħruf (eż. GPT-4o, Claude 3.5, Gemini 1.5, żviluppat internament).
  4. Każ ta' użu — sentenza waħda li tiddeskrivi x'tiddeċiedi jew tiġġenera s-sistema.
  5. Livell ta' riskju — għoli / limitat / minimu / implimentatur ta' IA bi skop ġenerali.
  6. Data personali involuta — Iva/Le, flimkien mal-kategoriji taħt il-UK GDPR.
  7. Bażi legali — il-bażi tal-Artikolu 6 tal-UK GDPR (interess leġittimu, kuntratt, kunsens, eċċ.).
  8. Persuna responsabbli — individwu maħtur, mhux tim jew rwol.
  9. Logging tal-Artikolu 26(6) — Iva/Le/M/A għall-implimentazzjonijiet b'riskju għoli.
  10. Data tal-implimentazzjoni — mill-inqas ix-xahar u s-sena.

Folja tal-kalkolu b'dawn l-għaxar kolonni twieġeb l-ewwel mistoqsija li jagħmlu kull regolatur, klijent jew membru tal-bord. Kull ma jmur lil hinn huwa xogħol iterattiv, mhux xogħol tal-v1. Irreżisti l-ġibda li żżid kolonni qabel ma tkun mlejt l-għaxar kolonni kollha tul kull ringiela.

Pass 4 — Aħtar persuna responsabbli għal kull sistema (15-il minuta)

L-Artikolu 26(5) jitlob li l-implimentaturi ta' sistemi b'riskju għoli jiżguraw sorveljanza mill-bniedem minn persuna kompetenti u responsabbli bl-awtorità li twaqqaf jew tegħleb is-sistema [1]. Aqleb dan għar-reġistru tiegħek billi tisemmi individwu reali kontra kull ringiela tal-Anness III — mhux rwol bħal "mexxej tal-IT" jew "Kap tal-Operazzjonijiet". Il-persuna responsabbli teħtieġ tliet karatteristiċi: tista' taqra l-output tas-sistema, għandha l-awtorità li titfiha, u tintlaħaq b'isimha fir-reġistru tiegħek.

Għas-sistemi li mhumiex fl-Anness III, semmi sid xorta waħda. L-obbligu formali huwa eħfef; id-dixxiplina hija l-istess. Il-mexxejja tal-operazzjonijiet u l-maniġers anzjani huma s-sidien naturali fil-biċċa l-kbira tal-SMEs; mhux meħtieġ CTO jew CDO.

Pass 5 — Iċċekkja s-sorveljanza mill-bniedem fuq sistema waħda b'riskju għoli (15-il minuta)

Għar-ringiela tiegħek bl-ogħla riskju fl-Anness III, għaddi minn tliet mistoqsijiet: qed bniedem jirrevedi l-output tal-IA qabel ma jolqot lil xi ħadd (it-test tal-bniedem fiċ-ċirku tad-deċiżjoni); jista' dak il-bniedem fil-prattika jegħleb id-deċiżjoni tal-IA (it-test tal-awtorità); ingħata dak il-bniedem taħriġ xieraq għar-rwol taħt l-Artikolu 4 (it-test tal-litteriżmu) [1]? It-tweġibiet imorru f'kolonna ta' test liberu "noti dwar is-sorveljanza mill-bniedem" maġenb l-għaxar kolonni ewlenin.

Mhux se tlesti l-protokoll tas-sorveljanza mill-bniedem fi ħmistax-il minuta. L-għan huwa li toħroġ fid-dieher fejn hija l-lakuna, mhux li tagħlaqha. Ringiela li taqra "ebda reviżjoni mill-bniedem fuq l-iskrining tas-CVs; lakuna li trid tingħalaq fi żmien 30 jum" hija eżattament l-output it-tajjeb. Ix-xogħol tar-reġistru huwa li jrendi l-lakuna viżibbli; l-għeluq tagħha huwa linja ta' xogħol separata u baġit separat.

Il-bini tar-reġistru tal-IA f'90 minuta bħala fluss b'ħin limitat: elenka s-sistemi f'15-il minuta, ikklassifika r-riskju kontra l-Anness III f'20, imla l-għaxar kolonni ewlenin f'25, aħtar sid responsabbli f'15, u ċċekkja s-sorveljanza f'15.
Il-bini tar-reġistru tal-IA f'90 minuta bħala fluss ta' xogħol b'ħin limitat.

Liema ħames nases joqtlu reġistru tal-IA v1?

  • Tqis ir-reġistru bħala dokument ta' darba. L-obbligi tal-Artikolu 26 huma kontinwi; ir-reġistru huwa artefatt ħaj rivedut mill-inqas kull tliet xhur u aġġornat kull meta tiġi implimentata sistema ġdida tal-IA jew fornitur jimbotta bidla maġġuri fil-mudell.
  • Titlef l-IA fid-dell. Il-kontijiet tal-konsumatur bla ħlas u s-sessjonijiet personali ta' Copilot huma l-kategorija bl-ogħla inċidenti u l-anqas viżibbiltà. Jekk ir-reġistru ma joħroġhomx fid-dieher, jigdeb.
  • Tixtri "għodda ta' konformità" qabel ma telenka. Is-SaaS ta' konformità ta' fornitur mhux se jikklassifika l-każijiet ta' użu tiegħek — dak jista' jagħmlu biss it-tim tiegħek. L-ewwel il-folja tal-kalkolu, l-għodda wara (jew qatt; għall-SMEs ta' inqas minn 200 staff folja tal-kalkolu miżmuma hija biżżejjed).
  • Tassenja rwol minflok persuna. "It-tim tal-IT" ma jistax jissejjaħ. Individwu maħtur b'numru tat-telefon jista'. L-Artikolu 26(5) jippreżumi t-tieni [1].
  • Taqbeż għalkollox il-litteriżmu tal-Artikolu 4. L-Artikolu 4 ilu japplika mit-2 ta' Frar 2025 għal kull membru tal-istaff li juża l-IA, proporzjonalment mar-rwol tiegħu [1]. Mhux livell — kull sistema toħroġ obbligu tal-Artikolu 4. Innutah fir-reġistru anke meta l-kurrikulu nnifsu huwa xogħol sussegwenti.

X'għandek tagħmel wara d-disgħin minuta

Ir-reġistru huwa s-saff tal-iskoperta. Tipikament jitilqu minnu tliet linji ta' xogħol ta' segwitu:

  1. Definizzjoni tal-ambitu tal-FRIA għal kull ringiela tal-Anness III, taħt l-Artikolu 27 tal-Att tal-UE dwar l-IA [1] — dokument separat u aktar fil-fond li l-kolonna tal-livell ta' riskju tar-reġistru aktar tibda milli tissostitwixxi.
  2. Kurrikulu ta' litteriżmu tal-Artikolu 4 — proporzjonat mar-rwol, iddefinit skont il-kolonna tal-persuna responsabbli tar-reġistru aktar milli skont l-għadd ta' impjegati.
  3. Pakkett ta' diliġenza dovuta tal-fornituri — DPAs, model cards, oriġini tal-IA bi skop ġenerali, iddefinit skont il-kolonna tal-fornitur tar-reġistru u aġġornat mat-tiġdid tal-akkwist.

Dawn huma l-linji ta' xogħol li approċċ imfassal sa mill-bidu jkopri f'madwar tnax-il ġimgħa għal £18,000-32,000 fl-esperjenza tal-inkarigi tagħna, u l-istess linji ta' xogħol li approċċ retroattiv ikopri f'sitt ġimgħat ikkompressati għal £85,000-145,000 — multiplikatur konsistenti mad-data ta' MIT Sloan ta' wara l-GDPR dwar kumpaniji tal-UE li naqqsu d-data maħżuna bi 26% u l-komputazzjoni bi 15% taħt il-pressjoni tal-infurzar [4]. Ir-reġistru huwa l-irħas ewwel pass possibbli kontra din l-aritmetika.

Sommarju

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Għarfien Relatat


L-aħħar aġġornament: Mejju 2026. Verżjoni 1.0.

Frequently Asked Questions

Ir-reġistru tal-IA jissostitwixxi r-reġistru tal-attivitajiet ta' pproċessar tal-GDPR?
Le, huma inventarji komplementari b'bażijiet legali differenti. Ir-reġistru tal-attivitajiet ta' pproċessar (ROPA) huwa mitlub taħt l-Artikolu 30 tal-UK GDPR u jikkataloga l-flussi tad-data personali. Ir-reġistru tal-IA huwa l-kontroparti min-naħa tal-implimentatur taħt l-Artikolu 26 tal-Att tal-UE dwar l-IA u l-gwida tal-ICO, u jikkataloga kull sistema tal-IA irrispettivament minn jekk tipproċessax data personali. Ħafna sistemi jidhru fit-tnejn, iżda r-referenza inkroċjata hija waħda-għal-ħafna fiż-żewġ direzzjonijiet.
L-impjegati tagħna jużaw ChatGPT bla ħlas u Copilot tal-konsumatur. Dawn jgħoddu għar-reġistru?
Iva. L-obbligi tal-implimentatur tal-Artikolu 26 japplikaw għall-SME irrispettivament minn jekk l-abbonament tal-IA huwiex korporattiv jew tal-konsumatur, imħallas jew bla ħlas. Mill-mument li impjegat juża għodda tal-IA waqt ix-xogħol, l-SME huwa l-implimentatur u s-sistema tappartjeni fir-reġistru. Kontijiet tal-konsumatur bla ħlas tipikament jonqoshom ukoll il-ftehim dwar l-ipproċessar tad-data li joffri livell intrapriża, u dan iżid l-espożizzjoni taħt il-UK GDPR aktar milli jnaqqasha.
L-SME tagħna jinsab barra mill-UE. L-Att tal-UE dwar l-IA japplika għar-reġistru tagħna?
Għall-SMEs ibbażati barra mill-UE, l-applikabbiltà diretta tal-Att tal-UE dwar l-IA hija aktar dejqa iżda rari żero. L-Att jilħaq b'mod extraterritorjali meta l-output tas-sistema jintuża ġewwa l-UE, ħaġa li tiġri ta' kuljum għal prodotti SaaS u servizzi B2B. Anke mingħajr espożizzjoni lejn l-UE, ir-regolaturi nazzjonali qed isegwu l-loġika tal-implimentatur tal-Att — l-ICO allinjat il-gwida tagħha dwar l-IA fir-Renju Unit magħha sa mill-2023, u ġurisdizzjonijiet Ewropej oħra barra l-UE qed jagħmlu l-istess. Reġistru mfassal kontra l-Artikolu 26 jissodisfa wkoll id-direzzjoni li mexjin fiha r-regolaturi nazzjonali.
Min għandu jkun responsabbli mir-reġistru tal-IA f'SME li m'għandux CTO?
Id-Direttur tal-Operazzjonijiet, il-Kap tal-Konformità, jew persuna anzjana li tirrapporta lid-Direttur Maniġerjali. Ir-reġistru huwa xogħol editorjali, mhux tekniku: iżżomm ir-ringieli, taġġorna l-livelli ta' riskju meta s-sistemi jinbidlu, u ssegwi l-persuni responsabbli kull tliet xhur. Mudell komuni fl-SMEs huwa sid maħtur wieħed li jħaddem ir-reġistru b'madwar tliet sigħat fi tliet xhur, flimkien mal-persuna responsabbli maħtura ta' kull ringiela li ġġorr l-obbligi speċifiċi tas-sistema tagħha.
Kemm-il darba għandna naġġornaw ir-reġistru?
Kull tliet xhur huwa l-minimu realistiku għall-SMEs, flimkien ma' aġġornament imqanqal minn avveniment kull meta tinxtara sistema ġdida tal-IA jew tiġi rilaxxata bidla maġġuri fil-mudell (eż. fornitur li jaqbeż minn ġenerazzjoni ta' mudell għall-oħra). Għar-ringieli b'riskju għoli tal-Anness III, l-entrati tal-logs jiġġeddu kontinwament taħt l-Artikolu 26(6). Reġistru statiku ta' sena ifalli t-test tad-dimostrabbiltà quddiem regolatur jew tim tal-akkwist ta' intrapriża.
Folja tal-kalkolu hija biżżejjed, jew għandna bżonn għodda GRC dedikata?
Għall-SMEs ta' inqas minn madwar 200 staff, folja tal-kalkolu hija biżżejjed. Il-kolonni, is-sidien maħtura u d-dixxiplina tal-aġġornament kull tliet xhur iġorru l-piż tal-awditjar, mhux il-pjattaforma. Excel jew Google Sheets b'aċċess ristrett u storja tal-verżjonijiet jissodisfaw ir-rekwiżit tad-dimostrabbiltà. Għodod GRC dedikati jsiru utli 'l fuq minn madwar 500 staff jew ħmistax-il sistema tal-IA u aktar; taħt dak, il-piż tal-għodda jaqbeż l-iffrankar ta' ħin.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.