Ład w zakresie AI od pierwszego dnia: koszt nadrabiania zgodności w MŚP
Przepisy o AI zbiegną ku sobie — akt w sprawie SI (sierpień 2026), prawo stanowe w USA, Azja. MŚP, które budują ład od pierwszego dnia, unikają pułapki kosztów doposażenia znanej z RODO.

W czerwcu 2020 r. brytyjski dystrybutor zatrudniający 180 osób, który nazwiemy Northbridge Trading, zapłacił 142 000 GBP za nadrobienie zgodności z RODO: rejestr czynności przetwarzania, trzy oceny skutków dla ochrony danych, plan reagowania na naruszenia, sześć umów z dostawcami i przebudowę CRM w duchu privacy by design — przedsięwzięcie, które ci sami konsultanci wycenili na 28 000 GBP, gdyby zaprojektowano je dwa lata wcześniej. Dyrektor operacyjny, który podpisywał wówczas faktury, stoi dziś nad tą samą przepaścią — tym razem z AI.
Faktura za doposażenie, której nikt nie zaplanował
Northbridge Trading to postać złożona, zszyta z czterech rzeczywistych projektów z lat 2019–2021. Zmieniliśmy nazwy; liczby są prawdziwe. Liczy się wzorzec, bo właśnie ma się powtórzyć.
W maju 2018 r. Northbridge „wdrożył" RODO za pomocą szablonu polityki za 200 GBP i z przekonaniem, że temat jest zamknięty. W maju 2020 r. wpłynął pierwszy wniosek o dostęp do danych; w integracji z systemem płacowym doszło do incydentu o włos od naruszenia; dwa tygodnie później przyszła skarga do ICO. Do III kw. 2020 r. firma zatrudniła zewnętrznego prawnika i inżyniera ds. prywatności, by zbudować rejestr czynności przetwarzania, trzy oceny skutków dla ochrony danych, plan reagowania na incydenty, sześć umów powierzenia z dostawcami oraz przebudowę CRM z mechanizmami privacy by design doposażonymi w już działające przepływy danych. Rachunek sięgnął około pięciokrotności bazowego kosztu projektowania od razu, który ta sama firma doradcza wyliczyła wobec architektury z 2017 r. — i to pod presją regulacyjną.
Sześć lat później ten sam dyrektor operacyjny prowadzi trzy narzędzia AI wdrożone w ciągu 2025 r.: asystenta do selekcji CV, narzędzie streszczające rozmowy handlowe i chatbota obsługi klienta. Brak rejestru AI, brak klasyfikacji ryzyka zastosowań, brak dokumentacji z art. 26, brak programu kompetencji z art. 4. Akt w sprawie sztucznej inteligencji wszedł w życie 1 sierpnia 2024 r. [1]; harmonogram Komisji wyznacza pełne stosowanie, w tym większość obowiązków wobec systemów wysokiego ryzyka, na 2 sierpnia 2026 r. [2]. Narzędzie do selekcji CV to system AI wysokiego ryzyka z załącznika III. Wytyczne ICO dotyczące AI wiążą brytyjskie MŚP na gruncie UK GDPR od 2023 r. [7]. „Odmawiam", mówi nam, „wypisania tego czeku po raz drugi."
Zbieżność: dlaczego „poczekajmy i zobaczmy" przestało być rozsądne w 2024 r.
„Globalna zbieżność", która napędza argument za projektowaniem od razu, to nie marketingowy slogan. W 2024 r. wolumen regulacji stał się mierzalny, a wspólny techniczny kręgosłup — widoczny.
Liczby, które regulatorzy chcieliby, żeby Państwo przeoczyli
AI Index 2025 ze Stanford HAI odnotowuje 59 federalnych regulacji AI wydanych w USA w 2024 r. — ponad dwukrotnie więcej niż w 2023 r. i w dwukrotnie większej liczbie agencji [3]. Stany USA uchwaliły 131 ustaw o AI w jednym roku, wobec 49 łącznie do 2023 r. [3]. Wzmianki o AI w pracach legislacyjnych wzrosły o 21,3 % w 75 krajach w 2024 r. [3]. Dla dyrektora operacyjnego ważącego, czy działać teraz, czy czekać, ten wolumen nie jest szumem w tle. Jest sygnałem.
Rozporządzenie (UE) 2024/1689 zaczęło obowiązywać 1 sierpnia 2024 r. [1]. Etapowy harmonogram Komisji to najjaśniejsza opublikowana mapa drogowa: zakazane praktyki obowiązują od 2 lutego 2025 r.; obowiązki dotyczące modeli AI ogólnego przeznaczenia od 2 sierpnia 2025 r.; pełne stosowanie wobec systemów wysokiego ryzyka od 2 sierpnia 2026 r.; reguły dla wbudowanych produktów wysokiego ryzyka przesunięte na 2 sierpnia 2027 r. [2]. To nie jeden uskok. To schody. MŚP, które czekają do ostatniego stopnia, dwa pierwsze już minęły.
Wspólna kotwica: OECD, NIST, ISO/IEC 42001
Pod wolumenem leży wspólny kręgosłup, dzięki któremu ład zaprojektowany wcześnie pozostaje trwały w różnych jurysdykcjach. Zasady OECD dotyczące AI, zaktualizowane w maju 2024 r., przyjęło co najmniej 47 krajów [4]. Stanowią jawną podstawę dopasowania UE, Wielkiej Brytanii, USA i G7. NIST AI Risk Management Framework 1.0 porządkuje obowiązki wokół czterech funkcji: Govern, Map, Measure i Manage [5]. Program normalizacyjny aktu w sprawie SI odwołuje się do tego rdzenia; brytyjski AI Playbook (luty 2025) kodyfikuje 10 zasad rządowego AI i zapowiada równoważne standardy dla swojego łańcucha dostaw [6].
ISO/IEC 42001 stała się certyfikacją na poziomie zamówień, której teraz oczekują nabywcy z segmentu średnich firm. Ład zaprojektowany wobec przecięcia zasad OECD, funkcji NIST i wymogów ICO przetrwa zacieśnienie dowolnego pojedynczego reżimu. Wspólny kręgosłup absorbuje zmienność.

Dlaczego „zgodnością zajmie się dostawca" rozsypuje się w starciu z art. 26?
Najtrudniejsze zdanie do napisania na stronie marketingowej któregokolwiek dostawcy brzmi: „Nie możemy przejąć od Państwa zadania podmiotu stosującego". Na gruncie aktu w sprawie SI granica między dostawcą a podmiotem stosującym jest wyraźna i nie przesuwa się dlatego, że wykupili Państwo wariant dla przedsiębiorstw.
Model współdzielonej odpowiedzialności wprost
Art. 16 określa, co musi zrobić dostawca: ocena zgodności, dokumentacja techniczna, monitorowanie po wprowadzeniu do obrotu [1]. Art. 26 określa, co musi zrobić podmiot stosujący: używać systemu zgodnie z instrukcją, zapewnić nadzór ze strony człowieka, dbać o adekwatność danych wejściowych, przechowywać rejestry zastosowań wysokiego ryzyka co najmniej sześć miesięcy oraz informować pracowników i klientów [1]. Art. 4 nakłada na każdego członka personelu korzystającego z AI obowiązek kompetencji w zakresie AI, proporcjonalny do jego roli, niezależnie od tego, jaki model działa pod spodem [1]. Art. 50 wymaga, by użytkownicy wiedzieli, kiedy mają do czynienia z AI, we wszystkich poziomach ryzyka [1].
Te cztery artykuły opisują obowiązki spoczywające na MŚP. Umowa powierzenia, którą podpisuje dostawca, ich nie przenosi.
Czego ChatGPT Enterprise i Copilot nie zdejmują z Państwa barków
Gdy brytyjskie MŚP wkleja CV do ChatGPT, by selekcjonować kandydatów, staje się podmiotem stosującym system wysokiego ryzyka według załącznika III [1]. Ta klasyfikacja zastosowania należy do podmiotu stosującego. Strona OpenAI poświęcona prywatności w wariancie Enterprise obejmuje gwarancje po stronie modelu: brak trenowania na danych firmowych, szyfrowanie, dzienniki audytowe. Nie klasyfikuje ona Państwa zastosowania, nie pisze Państwa protokołu nadzoru ze strony człowieka, nie szkoli Państwa personelu ani nie prowadzi Państwa rejestrów zdarzeń podmiotu stosującego z art. 26 ust. 6. MŚP zatrudniające 40 osób i korzystające z AI do selekcji CV ma te same obowiązki z art. 26 co pracodawca z indeksu FTSE 100. Wielkość firmy nie wchodzi do reguły klasyfikacji.
Na gruncie UK GDPR relacja administratora danych podlega tej samej logice. Dane osobowe w promptcie czynią MŚP administratorem. Prawa osoby, której dane dotyczą, nie są scedowalne na dostawcę.
ICO mówi to jasno od 2023 r.
Wytyczne ICO dotyczące AI obejmują sposób, w jaki zasady UK GDPR mają zastosowanie do AI przetwarzającego dane osobowe, w tym wymogi oceny skutków dla ochrony danych, ograniczanie stronniczości i zautomatyzowane podejmowanie decyzji [7]. Wytyczne są w przeglądzie po wejściu w życie Data (Use and Access) Act 2025, który zaczął obowiązywać 19 czerwca 2025 r. [7]. Zestaw narzędzi ICO do audytu AI dostarcza konkretnych list kontrolnych w obszarach ładu, rozliczalności, przejrzystości i praw jednostki [8]. Te listy opisują, czego podmiot stosujący potrzebuje, zanim ICO przyjdzie z wizytą, a nie po niej. Trzy narzędzia Northbridge nie mają nic z tego. Umowa powierzenia dostawcy chroni dostawcę. Luka należy do podmiotu stosującego.
Dowody na koszt doposażenia RODO: co wiemy empirycznie
Argument empiryczny za wczesnym projektowaniem ładu nie opiera się na intuicji. Opiera się na tym, co spotkało firmy w UE, które potraktowały RODO jako dodatek po fakcie w 2018 r.
MIT Sloan / Bessen i in. — jedyne duże badanie doposażenia, jakim dysponujemy
Badanie MIT Sloan autorstwa Bessena, Janßena, Peukerta i Seamansa porównało firmy z UE i spoza UE po rozpoczęciu egzekwowania w maju 2018 r. Wyniki są jednoznaczne: firmy z UE ograniczyły przechowywane dane o 26 %, a wykorzystanie obliczeń o 15 % względem grup kontrolnych spoza UE [9]. Spadek skoncentrował się w grupie, która nie zaprojektowała ochrony prywatności od początku — w grupie nadrabiającej. Nie były to kary ani koszty prawne. Były to zakłócenia operacyjne: wycofane produkty, wyczyszczone zbiory marketingowe, integracje budowane od zera. Firmy, które zaprojektowały prywatność już od 2016 r., przyjęły to samo rozporządzenie bez takich cięć.
Northbridge Trading poszedł ścieżką nadrabiania. „Wdrożył" zgodność z RODO w 2018 r. za pomocą szablonu polityki za 200 GBP i odkrył rzeczywisty koszt dwa lata później. Dane MIT Sloan opisują dokładnie to, za co zapłacił: przebudowę architektury, która przychodzi wtedy, gdy wciska się obowiązki zgodności w system nieprzystosowany do ich udźwignięcia.
Mnożnik doposażenia 2,4x
Branżowe wskaźniki kosztów doposażenia prowadzą do tego samego wniosku od strony kosztowej: MŚP wdrażające z opóźnieniem płaciły około 2,4 raza tyle, co konkurenci projektujący od razu — w zakresie rejestru czynności przetwarzania, ocen skutków dla ochrony danych, rejestrów podstaw prawnych, procesów naruszeń, renegocjacji umów powierzenia i przebudowy CRM.
Każda z tych kategorii RODO ma bezpośredni odpowiednik w akcie w sprawie SI. Rejestr AI zastępuje rejestr czynności przetwarzania. Ocena skutków dla praw podstawowych z art. 27 zastępuje ocenę skutków dla ochrony danych z RODO. Rejestrowanie zdarzeń podmiotu stosującego z art. 26 ust. 6 zastępuje dziennik naruszeń. Kategorie są te same; splątanie jest głębsze. Modele AI, prompty i przepływy pracy są architektonicznie sprzężone w sposób, w jaki przepływy danych nigdy nie były. Wyrwanie haków rejestrowania lub mechanizmów nadzoru z wdrożonego potoku AI to przepisanie kodu, nie dokument polityki. Dlatego mnożnik Northbridge na poziomie około 5x mieści się dobrze w przedziale, jaki dane branżowe przewidują pod presją egzekwowania.
Arytmetyka kosztów dla MŚP: projektowanie od razu kontra doposażenie, pozycja po pozycji
Mnożnik doposażenia i operacyjne dane MIT Sloan to przydatne kotwice, ale dyrektor operacyjny potrzebuje liczb, które wpisze do materiału na zarząd. Oto arytmetyka dla MŚP zatrudniającego 180 osób i prowadzącego trzy narzędzia AI.
Baza projektowania od razu dla MŚP zatrudniającego 180 osób z 3 narzędziami AI
Zaprojektowanie ładu w zakresie AI od początku, rozłożone na dwanaście tygodni, kosztuje według naszego doświadczenia projektowego:
- Rejestr AI i klasyfikacja ryzyka zastosowań: 4–6 dni pracy wewnętrznej plus przegląd konsultanta za 2 000–4 000 GBP
- Program kompetencji z art. 4 (90-minutowa baza dla całego personelu; pełny dzień dla właścicieli AI): 3 000–5 000 GBP
- Protokół nadzoru ze strony człowieka i rejestrowanie zdarzeń z art. 26 ust. 6 wbudowane w architekturę: 4 000–6 000 GBP prac inżynierskich plus 2-dniowy przegląd prawny
- Pakiet badania dostawców obejmujący umowy powierzenia, karty modeli i ślad ujawnień modelu AI ogólnego przeznaczenia: 2 000–3 000 GBP
Orientacyjny koszt całkowity projektowania od razu: 18 000–32 000 GBP w ciągu dwunastu tygodni.
Budżet doposażenia pod presją egzekwowania (III kw. 2026 r.)
Nadrobienie tego samego pod presją III kw. 2026 r. kosztuje istotnie więcej:
- Zewnętrzny prawnik określający ekspozycję z załącznika III po incydencie: 15 000–25 000 GBP
- FRIA (art. 27) i aktualizacja oceny skutków dla ochrony danych dla trzech już wdrożonych narzędzi: 20 000–35 000 GBP
- Doposażenie rejestrowania i przebudowa przepływu nadzoru ze strony człowieka: 40 000–70 000 GBP
- Konsultacje z pracownikami, informacje o przejrzystości i ujawnienia wobec klientów: 8 000–12 000 GBP
Orientacyjny koszt całkowity doposażenia: 85 000–145 000 GBP w sześć–dwanaście tygodni ściśniętej naprawy. Stosunek wynosi od około 2,7x do 5,1x, odtwarzając dolną granicę branżowego punktu odniesienia i sięgając górnej granicy Northbridge.
Dlaczego mnożnik jest gorszy niż przy RODO
Trzy strukturalne powody wynoszą mnożnik doposażenia AI ponad poziom RODO. Po pierwsze, przepływy pracy AI są splątane: prompty, wersje modeli i wynikające z nich działania zautomatyzowane są sprzężone z założenia, więc powierzchnia refaktoryzacji jest większa niż przy przekładaniu przepływów danych. Po drugie, przebudowy zakupowe biegną równolegle do terminu regulatora. MŚP tracące przetargi w trakcie naprawy płaci oba koszty jednocześnie. Po trzecie, pułap kary jest wyższy. Art. 99 ustanawia kary w wysokości do 7 % całkowitego rocznego światowego obrotu lub 35 mln EUR za zakazane praktyki [1]. Dyrektywa w sprawie odpowiedzialności za AI dodaje ekspozycję na roszczenia cywilne, jakiej RODO nie generowało.
Dla brytyjskiego MŚP o rocznym obrocie 25 mln GBP zachowawcze wyliczenie bazowe (przed ulgami dla MŚP) sięga 750 000 EUR [1]. Koszt projektowania od razu to nie narzut zgodności. To zabezpieczenie przed karą wielokrotnie go przewyższającą.

Które siedem artefaktów składa się na ład w zakresie AI od pierwszego dnia?
Ład w zakresie AI od pierwszego dnia dla MŚP zatrudniającego 50–500 osób nie jest abstrakcją. To siedem artefaktów do uruchomienia w dwa tygodnie.
1–3: Inwentaryzacja i klasyfikacja
Artefakt 1 — rejestr AI. Jednostronicowy schemat: nazwa systemu, dostawca, model, zastosowanie, klasy danych, poziom ryzyka, właściciel, protokół nadzoru i data przeglądu. Jego budowa nie wymaga konsultanta; jego utrzymanie wymaga dyscypliny.
Artefakt 2 — drzewo decyzyjne klasyfikacji ryzyka zastosowań. Odwzorowane na kategorie z załącznika III: selekcja w zatrudnieniu, ocena zdolności kredytowej, dostęp do edukacji, identyfikacja biometryczna i infrastruktura krytyczna [1]. Jeśli narzędzie dotyka któregokolwiek z tych przepływów, uruchamia obowiązki dla wysokiego ryzyka.
Artefakt 3 — pakiet badania dostawców. Umowa powierzenia, karta modelu, ujawnienie modelu AI ogólnego przeznaczenia, podsumowanie oceny zgodności i lista podwykonawców przetwarzania. Liczy się tu status sygnatariusza GPAI Code of Practice po stronie dostawcy bazowego [13].
4–5: Działanie i ochrona
Artefakt 4 — protokół nadzoru ze strony człowieka. Art. 26 ust. 5 wymaga wskazania osoby, która może zweryfikować i uchylić każdą zautomatyzowaną decyzję [1]. Protokół precyzuje, kim jest ta osoba, jak przebiega tryb uchylenia, jakie są kryteria eskalacji i rytm przeglądu.
Artefakt 5 — program kompetencji w zakresie AI z art. 4. 90-minutowa baza dla całego personelu, pół dnia dla zaawansowanych użytkowników i pełny dzień dla właścicieli AI, odświeżany corocznie [1]. Art. 4 stosuje się do wszystkich podmiotów stosujących niezależnie od dostawcy, a proporcjonalność skaluje się z rolą, nie z liczbą zatrudnionych.
6–7: Dokumentowanie i reagowanie
Artefakt 6 — proces rejestrowania zdarzeń i incydentów. Rejestry zdarzeń podmiotu stosującego z art. 26 ust. 6, monitorowanie dryfu modelu oraz mechanizmy kontroli cyklu życia bezpieczeństwa z wytycznych NCSC dotyczących bezpiecznego rozwoju systemów AI — wspólnych wytycznych z CISA i 21 międzynarodowymi agencjami ds. cyberbezpieczeństwa [10]. Wbudujcie Państwo rejestr w architekturę; dokumenty polityk bez haków inżynierskich nie przechodzą audytu.
Artefakt 7 — pakiet przejrzystości i informacji dla pracowników. Informacje dla użytkowników z art. 50 dla AI kontaktującego się z klientem, informacje dla pracowników z art. 26 ust. 7 dla każdego AI monitorującego pracowników oraz jasna ścieżka skarg [1].
Zakotwiczone w ramach pobłogosławionych przez regulatora
Każdy artefakt odwzorowuje się na listy kontrolne ładu i rozliczalności z ram audytu AI ICO [8] oraz na rdzeń NIST AI RMF: Govern, Map, Measure i Manage [5]. ISO/IEC 42001 odwzorowuje się na ten sam zestaw siedmiu artefaktów. Zbudujcie je Państwo raz, a spełnią wiele reżimów jednocześnie.
Zakupy to mechanizm egzekwowania, który Państwa klienci wprowadzili wcześniej
Każdy wynik w wyszukiwarce ujmuje egzekwowanie aktu w sprawie SI przez pryzmat kar regulatora. Żaden nie wspomina o tym, co brytyjskie MŚP sprzedające do segmentu średnich firm i do dużych przedsiębiorstw już odkrywają w 2026 r.: kwestionariusz nabywcy dotarł pierwszy.
Czego żądają teraz nabywcy z segmentu średnich firm i dużych przedsiębiorstw
Kwestionariusze dla dostawców w późnych etapach brytyjskich przetargów odwołują się dziś do rodzin mechanizmów kontrolnych ISO/IEC 42001 i czterofunkcyjnego rdzenia NIST AI RMF [5]. Żądają dowodu na rejestr AI i klasyfikację ryzyka zastosowań, udokumentowanego protokołu nadzoru ze strony człowieka wobec art. 26 ust. 5 [1] oraz ujawnienia podwykonawców przetwarzania wraz z pochodzeniem modelu AI ogólnego przeznaczenia: który model bazowy, który dostawca, który sygnatariusz Code of Practice [13]. Zespoły zakupowe nie czekają na wytyczne dotyczące egzekwowania. Chronią własne łańcuchy dostaw przed odpowiedzialnością, która płynie w górę, gdy narzędzie AI dostawcy wywoła incydent.
Siedem artefaktów z poprzedniej sekcji to dokładnie to, o co pyta kwestionariusz dostawcy w sekcji 9.
Northbridge przegrywa przetarg w II kw. 2026 r.
Northbridge Trading przystąpił do przetargu na trzyletni kontrakt o wartości 420 000 GBP z regulowanym klientem z segmentu średnich firm w II kw. 2026 r. Sekcja 9 brzmiała: „Prowadzić rejestr AI, proces FRIA i protokół nadzoru ze strony człowieka — przedstawić dowody". Northbridge nie potrafił odpowiedzieć. Kontrakt trafił do konkurenta z jednostronicowym rejestrem i stosem polityk ukształtowanym na wzór NIST. Przebudowa wymuszona przez zakupy nakłada się teraz na termin regulatora. Oba zegary tykają.
Dziedziczenie z sektora publicznego
Brytyjskie MŚP sprzedające administracji stają wobec tego samego standardu, tyle że innym kanałem. Rządowy AI Playbook opublikowany w lutym 2025 r. wyznacza 10 zasad obejmujących etyczne użycie, rozliczalność, przejrzystość i zarządzanie cyklem życia, a dostawcy dziedziczą je jako warunki umowne [6]. DSIT AI Opportunities Action Plan, przyjęty w całości w styczniu 2025 r., wzmacnia odpowiedzialne wdrażanie AI jako oczekiwanie wobec łańcucha dostaw [11]. CMA AI Foundation Models Initial Report dodaje pryzmat ochrony konsumentów i konkurencji, który nakłada się na każde wdrożenie modelu bazowego [12].
Pozostawanie poza zasięgiem radaru regulatora nie chroni przed kwestionariuszem nabywcy. Northbridge przekonał się o tym drogą najdroższą z możliwych.
Co Digital Omnibus odracza — a czego NIE odracza
Nagłówek Digital Omnibus z listopada 2025 r. („UE opóźnia akt w sprawie SI") nie przetrwa uważnej lektury samego projektu. Pomyłkę da się zrozumieć. Nagłówek jest nieścisły.
Co już obowiązuje i pozostaje nienaruszone
Cztery obowiązki już obowiązują i żaden wynik prac nad Omnibusem ich nie dotyka. Zakaz zakazanych praktyk obowiązuje od 2 lutego 2025 r. [2]. Obowiązek kompetencji w zakresie AI z art. 4 obowiązuje od 2 lutego 2025 r. [1]. Obowiązki dostawców modeli AI ogólnego przeznaczenia oraz reżim Code of Practice weszły w życie 2 sierpnia 2025 r. [2]. A UK GDPR już wiąże każdą brytyjską organizację przetwarzającą dane osobowe, w tym MŚP; wytyczne ICO dotyczące AI i ochrony danych to interpretacja regulatora dotycząca tego, jak ta ustawa stosuje się do systemów AI — nie kodeks ustawowy, lecz praktyczna baza zgodności, wobec której ICO będzie oceniać [7].
Co Digital Omnibus faktycznie proponuje
Omnibus proponuje wąskie odroczenie reżimu oceny zgodności systemów wysokiego ryzyka z załącznika III oraz wymogów dokumentacji technicznej i rejestracji w bazie danych UE dla dostawców określonych kategorii systemów AI wysokiego ryzyka. Nie proponuje odroczenia obowiązków podmiotów stosujących z art. 26, wymogów przejrzystości z art. 50, obowiązków kompetencyjnych z art. 4 ani dyscypliny dokumentowania FRIA. Te obowiązki pozostają w opublikowanym harmonogramie.
Rozmowy trójstronne utknęły 28 kwietnia 2026 r. Nowy termin pozostawał nieustalony w chwili pisania tego tekstu. Opublikowany termin Komisji pozostaje zatem prawnie wiążącym domyślnym stanem [2]. MŚP, które odczytały „przesunięte na 2027 r." i na tej podstawie odłożyły projektowanie ładu, już są w tyle za obowiązkami po stronie podmiotu stosującego, które nigdy się nie przesunęły.
Stabilny rdzeń, którego żaden wynik Omnibusa nie dotyka
Ład zaprojektowany wobec stabilnego rdzenia (klasyfikacja ryzyka według zastosowania, nadzór ze strony człowieka, rejestrowanie zdarzeń podmiotu stosującego, dokumentowanie FRIA i oceny skutków dla ochrony danych, szkolenia z kompetencji w zakresie AI, ujawnianie w ramach przejrzystości) przetrwa którąkolwiek wersję Omnibusa, jaka ostatecznie wejdzie. Między wersjami Omnibusa zmienia się to, w którym załączniku znajdzie się dane zastosowanie, a nie to, czy MŚP potrzebuje rejestru, protokołu nadzoru i procesu incydentów. „Mamy czas do 2027 r." to nie jest odczyt, który tekst potwierdza.
Jak MŚP może zbudować ład w zakresie AI w 90 dni?
Dwanaście tygodni wystarcza, by dostarczyć ład zaprojektowany od początku, jeśli prace są ułożone w sekwencji. Oto plan tydzień po tygodniu dla MŚP zatrudniającego 50–500 osób, startującego od zera.
Tygodnie 1–3 — inwentaryzacja i klasyfikacja
Wykryjcie Państwo każde używane narzędzie AI, w tym shadow AI: Copilot wbudowany w Microsoft 365, AI z rozszerzeń przeglądarki, niszowe moduły SaaS z funkcjami AI, których Państwa zespół zakupowy nigdy wprost nie oceniał. Uruchomcie rejestr AI i przypiszcie właściciela do każdego systemu. Przejdźcie drzewo klasyfikacji ryzyka zastosowań wobec załącznika III i oznaczcie wszelką ekspozycję w selekcji w HR, ocenie zdolności kredytowej, edukacji, identyfikacji biometrycznej lub infrastrukturze krytycznej [1]. Przeprowadźcie szybki przegląd podstaw prawnych na gruncie UK GDPR dla każdego systemu przetwarzającego dane osobowe [7].
Tygodnie 4–7 — działanie i dokumentowanie
Opracujcie protokół nadzoru ze strony człowieka dla każdego systemu wysokiego i ograniczonego ryzyka: wskazana osoba, tryb uchylenia, kryteria eskalacji, rytm przeglądu (Artefakt 4). Wdróżcie rejestrowanie zdarzeń z art. 26 ust. 6 wszędzie tam, gdzie platforma to wspiera; w pozostałych przypadkach zbudujcie rejestr po stronie podmiotu stosującego. Nie pozostawiajcie tego dokumentom polityk [8]. Przeprowadźcie program kompetencji w zakresie AI z art. 4: najpierw 90-minutowa baza dla całego personelu, potem pogłębione sesje dla zaawansowanych użytkowników i właścicieli AI [1]. Zaktualizujcie oceny skutków dla ochrony danych i FRIA wobec zestawu narzędzi ICO dla każdego systemu wysokiego ryzyka [8].
Tygodnie 8–12 — gotowość zakupowa i przegląd
Zbudujcie pakiet badania dostawców: umowy powierzenia, karty modeli, pochodzenie modelu AI ogólnego przeznaczenia, listy podwykonawców przetwarzania i status sygnatariusza Code of Practice dla każdego dostawcy modelu bazowego [13]. Opublikujcie informacje o przejrzystości z art. 50 dla AI kontaktującego się z klientem; poinformujcie pracowników, których to dotyczy, na podstawie art. 26 ust. 7 [1]. Odwzorujcie siedem artefaktów na format kwestionariusza zakupowego, który wysyłają nabywcy z segmentu średnich firm: rodziny mechanizmów kontrolnych ISO/IEC 42001 i funkcje NIST AI RMF [5]. Zaplanujcie pierwszy kwartalny przegląd ładu i wyznaczcie osobę odpowiedzialną z najwyższego kierownictwa zgodnie z wymogiem zestawu narzędzi ICO [8].
Dwa antywzorce, których należy unikać
Pierwszy: zakup subskrypcji narzędziowej za 40 000 GBP, zanim rejestr zostanie wypełniony. Narzędzia bez zakresu ładu to teatr. Narzędzie ujawnia ryzyka, których MŚP jeszcze nie zdefiniowało.
Drugi: traktowanie kompetencji z art. 4 jako jednorazowego webinaru. Obowiązek jest ciągły i proporcjonalny do roli [1]. 90-minutowa sesja startowa spełnia bazę; nie spełnia corocznego odświeżenia ani pogłębionych sesji dla właścicieli AI. Przebudowa architektury, za którą zapłacili nadrabiający RODO, wzięła się stąd, że dokumenty polityk napisano, a inżynierię pominięto. Ten sam wzorzec, zastosowany do AI, daje ten sam wynik.
Wyciągnięta lekcja
Lekcja, za którą Northbridge już zapłacił
W czerwcu 2020 r. dyrektor operacyjny Northbridge podpisał faktury na 142 000 GBP za nadrobienie RODO wobec bazy projektowania od razu wynoszącej 28 000 GBP. To nie była porażka zakupów. To jest to, co się dzieje, gdy kompetentny menedżer traktuje zgodność jako coś, co dokłada się po tym, jak produkt już działa. Dane MIT Sloan zamieniają to doświadczenie we wzorzec: firmy z UE ograniczyły po 2018 r. przechowywane dane o 26 % i obliczenia o 15 %, przy czym wpływ był najcięższy wśród firm, które nie wbudowały prywatności od pierwszego dnia [9]. Akt w sprawie SI ma za chwilę nauczyć tej lekcji po raz drugi.
Doposażenie ładu w zakresie AI wypada gorzej, bo rejestrowanie zdarzeń, nadzór ze strony człowieka i prompty są splątane z architekturą przepływów pracy. Zakupy egzekwują akt, zanim zrobią to regulatorzy. Siedem artefaktów kosztuje 18 000–32 000 GBP, gdy projektuje się je od razu; kosztuje 85 000–145 000 GBP, gdy nadrabia się je pod presją egzekwowania i zakupów naraz. Ta arytmetyka nie jest subtelna.
Podsumowanie
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Powiązane materiały
- Bezpieczeństwo danych w lokalnym LLM kontra LLM w chmurze: błędne pytanie (2026)EN — zestaw mechanizmów klasyfikacji danych i DLP, który siedem artefaktów ładu zakłada jako już wdrożony.
- „Human-in-the-loop" to nie nadzór. To dyscyplina projektowa. — jak obowiązek nadzoru ze strony człowieka z art. 26 staje się działającym systemem progów, a nie rytuałem zatwierdzania.
- 50 pytań, które warto zadać przed wdrożeniem AI: przewodnik nabywcy w MŚPEN — należyta staranność na etapie zakupu, która ujawnia luki w artefaktach ładu przed podpisem, a nie po nim.
Frequently Asked Questions
Od kiedy akt w sprawie SI obowiązuje brytyjskie MŚP i które obowiązki działają już teraz?
Ile kosztuje nadrobienie ładu w zakresie AI po fakcie, a ile zaprojektowanie go od razu w MŚP liczącym 180 osób?
Czy zakup ChatGPT Enterprise lub Microsoft Copilot przenosi zgodność z aktem w sprawie SI na dostawcę?
Jak w praktyce wygląda ład w zakresie AI od pierwszego dnia w MŚP?
Czy Digital Omnibus z listopada 2025 r. odracza akt w sprawie SI na tyle, by MŚP mogło zaczekać?
Czym jest ocena skutków dla praw podstawowych (FRIA) z art. 27 aktu w sprawie SI i kto musi ją przeprowadzić?
Czy certyfikacja ISO 42001 pomoże w gotowości na akt w sprawie SI, czy to odrębne ścieżki zgodności?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.