Skip to content

Ład w zakresie AI od pierwszego dnia: koszt nadrabiania zgodności w MŚP

Przepisy o AI zbiegną ku sobie — akt w sprawie SI (sierpień 2026), prawo stanowe w USA, Azja. MŚP, które budują ład od pierwszego dnia, unikają pułapki kosztów doposażenia znanej z RODO.

Ład w zakresie AI od pierwszego dnia: koszt nadrabiania zgodności w MŚP
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

W czerwcu 2020 r. brytyjski dystrybutor zatrudniający 180 osób, który nazwiemy Northbridge Trading, zapłacił 142 000 GBP za nadrobienie zgodności z RODO: rejestr czynności przetwarzania, trzy oceny skutków dla ochrony danych, plan reagowania na naruszenia, sześć umów z dostawcami i przebudowę CRM w duchu privacy by design — przedsięwzięcie, które ci sami konsultanci wycenili na 28 000 GBP, gdyby zaprojektowano je dwa lata wcześniej. Dyrektor operacyjny, który podpisywał wówczas faktury, stoi dziś nad tą samą przepaścią — tym razem z AI.

Faktura za doposażenie, której nikt nie zaplanował

Northbridge Trading to postać złożona, zszyta z czterech rzeczywistych projektów z lat 2019–2021. Zmieniliśmy nazwy; liczby są prawdziwe. Liczy się wzorzec, bo właśnie ma się powtórzyć.

W maju 2018 r. Northbridge „wdrożył" RODO za pomocą szablonu polityki za 200 GBP i z przekonaniem, że temat jest zamknięty. W maju 2020 r. wpłynął pierwszy wniosek o dostęp do danych; w integracji z systemem płacowym doszło do incydentu o włos od naruszenia; dwa tygodnie później przyszła skarga do ICO. Do III kw. 2020 r. firma zatrudniła zewnętrznego prawnika i inżyniera ds. prywatności, by zbudować rejestr czynności przetwarzania, trzy oceny skutków dla ochrony danych, plan reagowania na incydenty, sześć umów powierzenia z dostawcami oraz przebudowę CRM z mechanizmami privacy by design doposażonymi w już działające przepływy danych. Rachunek sięgnął około pięciokrotności bazowego kosztu projektowania od razu, który ta sama firma doradcza wyliczyła wobec architektury z 2017 r. — i to pod presją regulacyjną.

Sześć lat później ten sam dyrektor operacyjny prowadzi trzy narzędzia AI wdrożone w ciągu 2025 r.: asystenta do selekcji CV, narzędzie streszczające rozmowy handlowe i chatbota obsługi klienta. Brak rejestru AI, brak klasyfikacji ryzyka zastosowań, brak dokumentacji z art. 26, brak programu kompetencji z art. 4. Akt w sprawie sztucznej inteligencji wszedł w życie 1 sierpnia 2024 r. [1]; harmonogram Komisji wyznacza pełne stosowanie, w tym większość obowiązków wobec systemów wysokiego ryzyka, na 2 sierpnia 2026 r. [2]. Narzędzie do selekcji CV to system AI wysokiego ryzyka z załącznika III. Wytyczne ICO dotyczące AI wiążą brytyjskie MŚP na gruncie UK GDPR od 2023 r. [7]. „Odmawiam", mówi nam, „wypisania tego czeku po raz drugi."

Zbieżność: dlaczego „poczekajmy i zobaczmy" przestało być rozsądne w 2024 r.

„Globalna zbieżność", która napędza argument za projektowaniem od razu, to nie marketingowy slogan. W 2024 r. wolumen regulacji stał się mierzalny, a wspólny techniczny kręgosłup — widoczny.

Liczby, które regulatorzy chcieliby, żeby Państwo przeoczyli

AI Index 2025 ze Stanford HAI odnotowuje 59 federalnych regulacji AI wydanych w USA w 2024 r. — ponad dwukrotnie więcej niż w 2023 r. i w dwukrotnie większej liczbie agencji [3]. Stany USA uchwaliły 131 ustaw o AI w jednym roku, wobec 49 łącznie do 2023 r. [3]. Wzmianki o AI w pracach legislacyjnych wzrosły o 21,3 % w 75 krajach w 2024 r. [3]. Dla dyrektora operacyjnego ważącego, czy działać teraz, czy czekać, ten wolumen nie jest szumem w tle. Jest sygnałem.

Rozporządzenie (UE) 2024/1689 zaczęło obowiązywać 1 sierpnia 2024 r. [1]. Etapowy harmonogram Komisji to najjaśniejsza opublikowana mapa drogowa: zakazane praktyki obowiązują od 2 lutego 2025 r.; obowiązki dotyczące modeli AI ogólnego przeznaczenia od 2 sierpnia 2025 r.; pełne stosowanie wobec systemów wysokiego ryzyka od 2 sierpnia 2026 r.; reguły dla wbudowanych produktów wysokiego ryzyka przesunięte na 2 sierpnia 2027 r. [2]. To nie jeden uskok. To schody. MŚP, które czekają do ostatniego stopnia, dwa pierwsze już minęły.

Wspólna kotwica: OECD, NIST, ISO/IEC 42001

Pod wolumenem leży wspólny kręgosłup, dzięki któremu ład zaprojektowany wcześnie pozostaje trwały w różnych jurysdykcjach. Zasady OECD dotyczące AI, zaktualizowane w maju 2024 r., przyjęło co najmniej 47 krajów [4]. Stanowią jawną podstawę dopasowania UE, Wielkiej Brytanii, USA i G7. NIST AI Risk Management Framework 1.0 porządkuje obowiązki wokół czterech funkcji: Govern, Map, Measure i Manage [5]. Program normalizacyjny aktu w sprawie SI odwołuje się do tego rdzenia; brytyjski AI Playbook (luty 2025) kodyfikuje 10 zasad rządowego AI i zapowiada równoważne standardy dla swojego łańcucha dostaw [6].

ISO/IEC 42001 stała się certyfikacją na poziomie zamówień, której teraz oczekują nabywcy z segmentu średnich firm. Ład zaprojektowany wobec przecięcia zasad OECD, funkcji NIST i wymogów ICO przetrwa zacieśnienie dowolnego pojedynczego reżimu. Wspólny kręgosłup absorbuje zmienność.

Harmonogram aktu w sprawie SI: wejście w życie sierpień 2024; zakazane praktyki i obowiązki w zakresie kompetencji w zakresie AI luty 2025; reguły dla modeli AI ogólnego przeznaczenia sierpień 2025; pełne obowiązki wobec systemów wysokiego ryzyka sierpień 2026; wbudowane produkty wysokiego ryzyka sierpień 2027.
Harmonogram aktu w sprawie SI, od wejścia w życie po pełne obowiązki wobec systemów wysokiego ryzyka w sierpniu 2026 r.

Dlaczego „zgodnością zajmie się dostawca" rozsypuje się w starciu z art. 26?

Najtrudniejsze zdanie do napisania na stronie marketingowej któregokolwiek dostawcy brzmi: „Nie możemy przejąć od Państwa zadania podmiotu stosującego". Na gruncie aktu w sprawie SI granica między dostawcą a podmiotem stosującym jest wyraźna i nie przesuwa się dlatego, że wykupili Państwo wariant dla przedsiębiorstw.

Model współdzielonej odpowiedzialności wprost

Art. 16 określa, co musi zrobić dostawca: ocena zgodności, dokumentacja techniczna, monitorowanie po wprowadzeniu do obrotu [1]. Art. 26 określa, co musi zrobić podmiot stosujący: używać systemu zgodnie z instrukcją, zapewnić nadzór ze strony człowieka, dbać o adekwatność danych wejściowych, przechowywać rejestry zastosowań wysokiego ryzyka co najmniej sześć miesięcy oraz informować pracowników i klientów [1]. Art. 4 nakłada na każdego członka personelu korzystającego z AI obowiązek kompetencji w zakresie AI, proporcjonalny do jego roli, niezależnie od tego, jaki model działa pod spodem [1]. Art. 50 wymaga, by użytkownicy wiedzieli, kiedy mają do czynienia z AI, we wszystkich poziomach ryzyka [1].

Te cztery artykuły opisują obowiązki spoczywające na MŚP. Umowa powierzenia, którą podpisuje dostawca, ich nie przenosi.

Czego ChatGPT Enterprise i Copilot nie zdejmują z Państwa barków

Gdy brytyjskie MŚP wkleja CV do ChatGPT, by selekcjonować kandydatów, staje się podmiotem stosującym system wysokiego ryzyka według załącznika III [1]. Ta klasyfikacja zastosowania należy do podmiotu stosującego. Strona OpenAI poświęcona prywatności w wariancie Enterprise obejmuje gwarancje po stronie modelu: brak trenowania na danych firmowych, szyfrowanie, dzienniki audytowe. Nie klasyfikuje ona Państwa zastosowania, nie pisze Państwa protokołu nadzoru ze strony człowieka, nie szkoli Państwa personelu ani nie prowadzi Państwa rejestrów zdarzeń podmiotu stosującego z art. 26 ust. 6. MŚP zatrudniające 40 osób i korzystające z AI do selekcji CV ma te same obowiązki z art. 26 co pracodawca z indeksu FTSE 100. Wielkość firmy nie wchodzi do reguły klasyfikacji.

Na gruncie UK GDPR relacja administratora danych podlega tej samej logice. Dane osobowe w promptcie czynią MŚP administratorem. Prawa osoby, której dane dotyczą, nie są scedowalne na dostawcę.

ICO mówi to jasno od 2023 r.

Wytyczne ICO dotyczące AI obejmują sposób, w jaki zasady UK GDPR mają zastosowanie do AI przetwarzającego dane osobowe, w tym wymogi oceny skutków dla ochrony danych, ograniczanie stronniczości i zautomatyzowane podejmowanie decyzji [7]. Wytyczne są w przeglądzie po wejściu w życie Data (Use and Access) Act 2025, który zaczął obowiązywać 19 czerwca 2025 r. [7]. Zestaw narzędzi ICO do audytu AI dostarcza konkretnych list kontrolnych w obszarach ładu, rozliczalności, przejrzystości i praw jednostki [8]. Te listy opisują, czego podmiot stosujący potrzebuje, zanim ICO przyjdzie z wizytą, a nie po niej. Trzy narzędzia Northbridge nie mają nic z tego. Umowa powierzenia dostawcy chroni dostawcę. Luka należy do podmiotu stosującego.

Dowody na koszt doposażenia RODO: co wiemy empirycznie

Argument empiryczny za wczesnym projektowaniem ładu nie opiera się na intuicji. Opiera się na tym, co spotkało firmy w UE, które potraktowały RODO jako dodatek po fakcie w 2018 r.

MIT Sloan / Bessen i in. — jedyne duże badanie doposażenia, jakim dysponujemy

Badanie MIT Sloan autorstwa Bessena, Janßena, Peukerta i Seamansa porównało firmy z UE i spoza UE po rozpoczęciu egzekwowania w maju 2018 r. Wyniki są jednoznaczne: firmy z UE ograniczyły przechowywane dane o 26 %, a wykorzystanie obliczeń o 15 % względem grup kontrolnych spoza UE [9]. Spadek skoncentrował się w grupie, która nie zaprojektowała ochrony prywatności od początku — w grupie nadrabiającej. Nie były to kary ani koszty prawne. Były to zakłócenia operacyjne: wycofane produkty, wyczyszczone zbiory marketingowe, integracje budowane od zera. Firmy, które zaprojektowały prywatność już od 2016 r., przyjęły to samo rozporządzenie bez takich cięć.

Northbridge Trading poszedł ścieżką nadrabiania. „Wdrożył" zgodność z RODO w 2018 r. za pomocą szablonu polityki za 200 GBP i odkrył rzeczywisty koszt dwa lata później. Dane MIT Sloan opisują dokładnie to, za co zapłacił: przebudowę architektury, która przychodzi wtedy, gdy wciska się obowiązki zgodności w system nieprzystosowany do ich udźwignięcia.

Mnożnik doposażenia 2,4x

Branżowe wskaźniki kosztów doposażenia prowadzą do tego samego wniosku od strony kosztowej: MŚP wdrażające z opóźnieniem płaciły około 2,4 raza tyle, co konkurenci projektujący od razu — w zakresie rejestru czynności przetwarzania, ocen skutków dla ochrony danych, rejestrów podstaw prawnych, procesów naruszeń, renegocjacji umów powierzenia i przebudowy CRM.

Każda z tych kategorii RODO ma bezpośredni odpowiednik w akcie w sprawie SI. Rejestr AI zastępuje rejestr czynności przetwarzania. Ocena skutków dla praw podstawowych z art. 27 zastępuje ocenę skutków dla ochrony danych z RODO. Rejestrowanie zdarzeń podmiotu stosującego z art. 26 ust. 6 zastępuje dziennik naruszeń. Kategorie są te same; splątanie jest głębsze. Modele AI, prompty i przepływy pracy są architektonicznie sprzężone w sposób, w jaki przepływy danych nigdy nie były. Wyrwanie haków rejestrowania lub mechanizmów nadzoru z wdrożonego potoku AI to przepisanie kodu, nie dokument polityki. Dlatego mnożnik Northbridge na poziomie około 5x mieści się dobrze w przedziale, jaki dane branżowe przewidują pod presją egzekwowania.

Arytmetyka kosztów dla MŚP: projektowanie od razu kontra doposażenie, pozycja po pozycji

Mnożnik doposażenia i operacyjne dane MIT Sloan to przydatne kotwice, ale dyrektor operacyjny potrzebuje liczb, które wpisze do materiału na zarząd. Oto arytmetyka dla MŚP zatrudniającego 180 osób i prowadzącego trzy narzędzia AI.

Baza projektowania od razu dla MŚP zatrudniającego 180 osób z 3 narzędziami AI

Zaprojektowanie ładu w zakresie AI od początku, rozłożone na dwanaście tygodni, kosztuje według naszego doświadczenia projektowego:

  • Rejestr AI i klasyfikacja ryzyka zastosowań: 4–6 dni pracy wewnętrznej plus przegląd konsultanta za 2 000–4 000 GBP
  • Program kompetencji z art. 4 (90-minutowa baza dla całego personelu; pełny dzień dla właścicieli AI): 3 000–5 000 GBP
  • Protokół nadzoru ze strony człowieka i rejestrowanie zdarzeń z art. 26 ust. 6 wbudowane w architekturę: 4 000–6 000 GBP prac inżynierskich plus 2-dniowy przegląd prawny
  • Pakiet badania dostawców obejmujący umowy powierzenia, karty modeli i ślad ujawnień modelu AI ogólnego przeznaczenia: 2 000–3 000 GBP

Orientacyjny koszt całkowity projektowania od razu: 18 000–32 000 GBP w ciągu dwunastu tygodni.

Budżet doposażenia pod presją egzekwowania (III kw. 2026 r.)

Nadrobienie tego samego pod presją III kw. 2026 r. kosztuje istotnie więcej:

  • Zewnętrzny prawnik określający ekspozycję z załącznika III po incydencie: 15 000–25 000 GBP
  • FRIA (art. 27) i aktualizacja oceny skutków dla ochrony danych dla trzech już wdrożonych narzędzi: 20 000–35 000 GBP
  • Doposażenie rejestrowania i przebudowa przepływu nadzoru ze strony człowieka: 40 000–70 000 GBP
  • Konsultacje z pracownikami, informacje o przejrzystości i ujawnienia wobec klientów: 8 000–12 000 GBP

Orientacyjny koszt całkowity doposażenia: 85 000–145 000 GBP w sześć–dwanaście tygodni ściśniętej naprawy. Stosunek wynosi od około 2,7x do 5,1x, odtwarzając dolną granicę branżowego punktu odniesienia i sięgając górnej granicy Northbridge.

Dlaczego mnożnik jest gorszy niż przy RODO

Trzy strukturalne powody wynoszą mnożnik doposażenia AI ponad poziom RODO. Po pierwsze, przepływy pracy AI są splątane: prompty, wersje modeli i wynikające z nich działania zautomatyzowane są sprzężone z założenia, więc powierzchnia refaktoryzacji jest większa niż przy przekładaniu przepływów danych. Po drugie, przebudowy zakupowe biegną równolegle do terminu regulatora. MŚP tracące przetargi w trakcie naprawy płaci oba koszty jednocześnie. Po trzecie, pułap kary jest wyższy. Art. 99 ustanawia kary w wysokości do 7 % całkowitego rocznego światowego obrotu lub 35 mln EUR za zakazane praktyki [1]. Dyrektywa w sprawie odpowiedzialności za AI dodaje ekspozycję na roszczenia cywilne, jakiej RODO nie generowało.

Dla brytyjskiego MŚP o rocznym obrocie 25 mln GBP zachowawcze wyliczenie bazowe (przed ulgami dla MŚP) sięga 750 000 EUR [1]. Koszt projektowania od razu to nie narzut zgodności. To zabezpieczenie przed karą wielokrotnie go przewyższającą.

Zaprojektowanie ładu od początku kosztuje przykładowo od 18 000 do 32 000 funtów w ciągu 12 tygodni; doposażenie go później kosztuje od 85 000 do 145 000 funtów, czyli mnożnik mniej więcej od 2,7 do 5,1 raza.
Projektowanie ładu od razu kontra doposażenie go później — przykładowy mnożnik kosztu od 2,7x do 5,1x.

Które siedem artefaktów składa się na ład w zakresie AI od pierwszego dnia?

Ład w zakresie AI od pierwszego dnia dla MŚP zatrudniającego 50–500 osób nie jest abstrakcją. To siedem artefaktów do uruchomienia w dwa tygodnie.

1–3: Inwentaryzacja i klasyfikacja

Artefakt 1 — rejestr AI. Jednostronicowy schemat: nazwa systemu, dostawca, model, zastosowanie, klasy danych, poziom ryzyka, właściciel, protokół nadzoru i data przeglądu. Jego budowa nie wymaga konsultanta; jego utrzymanie wymaga dyscypliny.

Artefakt 2 — drzewo decyzyjne klasyfikacji ryzyka zastosowań. Odwzorowane na kategorie z załącznika III: selekcja w zatrudnieniu, ocena zdolności kredytowej, dostęp do edukacji, identyfikacja biometryczna i infrastruktura krytyczna [1]. Jeśli narzędzie dotyka któregokolwiek z tych przepływów, uruchamia obowiązki dla wysokiego ryzyka.

Artefakt 3 — pakiet badania dostawców. Umowa powierzenia, karta modelu, ujawnienie modelu AI ogólnego przeznaczenia, podsumowanie oceny zgodności i lista podwykonawców przetwarzania. Liczy się tu status sygnatariusza GPAI Code of Practice po stronie dostawcy bazowego [13].

4–5: Działanie i ochrona

Artefakt 4 — protokół nadzoru ze strony człowieka. Art. 26 ust. 5 wymaga wskazania osoby, która może zweryfikować i uchylić każdą zautomatyzowaną decyzję [1]. Protokół precyzuje, kim jest ta osoba, jak przebiega tryb uchylenia, jakie są kryteria eskalacji i rytm przeglądu.

Artefakt 5 — program kompetencji w zakresie AI z art. 4. 90-minutowa baza dla całego personelu, pół dnia dla zaawansowanych użytkowników i pełny dzień dla właścicieli AI, odświeżany corocznie [1]. Art. 4 stosuje się do wszystkich podmiotów stosujących niezależnie od dostawcy, a proporcjonalność skaluje się z rolą, nie z liczbą zatrudnionych.

6–7: Dokumentowanie i reagowanie

Artefakt 6 — proces rejestrowania zdarzeń i incydentów. Rejestry zdarzeń podmiotu stosującego z art. 26 ust. 6, monitorowanie dryfu modelu oraz mechanizmy kontroli cyklu życia bezpieczeństwa z wytycznych NCSC dotyczących bezpiecznego rozwoju systemów AI — wspólnych wytycznych z CISA i 21 międzynarodowymi agencjami ds. cyberbezpieczeństwa [10]. Wbudujcie Państwo rejestr w architekturę; dokumenty polityk bez haków inżynierskich nie przechodzą audytu.

Artefakt 7 — pakiet przejrzystości i informacji dla pracowników. Informacje dla użytkowników z art. 50 dla AI kontaktującego się z klientem, informacje dla pracowników z art. 26 ust. 7 dla każdego AI monitorującego pracowników oraz jasna ścieżka skarg [1].

Zakotwiczone w ramach pobłogosławionych przez regulatora

Każdy artefakt odwzorowuje się na listy kontrolne ładu i rozliczalności z ram audytu AI ICO [8] oraz na rdzeń NIST AI RMF: Govern, Map, Measure i Manage [5]. ISO/IEC 42001 odwzorowuje się na ten sam zestaw siedmiu artefaktów. Zbudujcie je Państwo raz, a spełnią wiele reżimów jednocześnie.

Zakupy to mechanizm egzekwowania, który Państwa klienci wprowadzili wcześniej

Każdy wynik w wyszukiwarce ujmuje egzekwowanie aktu w sprawie SI przez pryzmat kar regulatora. Żaden nie wspomina o tym, co brytyjskie MŚP sprzedające do segmentu średnich firm i do dużych przedsiębiorstw już odkrywają w 2026 r.: kwestionariusz nabywcy dotarł pierwszy.

Czego żądają teraz nabywcy z segmentu średnich firm i dużych przedsiębiorstw

Kwestionariusze dla dostawców w późnych etapach brytyjskich przetargów odwołują się dziś do rodzin mechanizmów kontrolnych ISO/IEC 42001 i czterofunkcyjnego rdzenia NIST AI RMF [5]. Żądają dowodu na rejestr AI i klasyfikację ryzyka zastosowań, udokumentowanego protokołu nadzoru ze strony człowieka wobec art. 26 ust. 5 [1] oraz ujawnienia podwykonawców przetwarzania wraz z pochodzeniem modelu AI ogólnego przeznaczenia: który model bazowy, który dostawca, który sygnatariusz Code of Practice [13]. Zespoły zakupowe nie czekają na wytyczne dotyczące egzekwowania. Chronią własne łańcuchy dostaw przed odpowiedzialnością, która płynie w górę, gdy narzędzie AI dostawcy wywoła incydent.

Siedem artefaktów z poprzedniej sekcji to dokładnie to, o co pyta kwestionariusz dostawcy w sekcji 9.

Northbridge przegrywa przetarg w II kw. 2026 r.

Northbridge Trading przystąpił do przetargu na trzyletni kontrakt o wartości 420 000 GBP z regulowanym klientem z segmentu średnich firm w II kw. 2026 r. Sekcja 9 brzmiała: „Prowadzić rejestr AI, proces FRIA i protokół nadzoru ze strony człowieka — przedstawić dowody". Northbridge nie potrafił odpowiedzieć. Kontrakt trafił do konkurenta z jednostronicowym rejestrem i stosem polityk ukształtowanym na wzór NIST. Przebudowa wymuszona przez zakupy nakłada się teraz na termin regulatora. Oba zegary tykają.

Dziedziczenie z sektora publicznego

Brytyjskie MŚP sprzedające administracji stają wobec tego samego standardu, tyle że innym kanałem. Rządowy AI Playbook opublikowany w lutym 2025 r. wyznacza 10 zasad obejmujących etyczne użycie, rozliczalność, przejrzystość i zarządzanie cyklem życia, a dostawcy dziedziczą je jako warunki umowne [6]. DSIT AI Opportunities Action Plan, przyjęty w całości w styczniu 2025 r., wzmacnia odpowiedzialne wdrażanie AI jako oczekiwanie wobec łańcucha dostaw [11]. CMA AI Foundation Models Initial Report dodaje pryzmat ochrony konsumentów i konkurencji, który nakłada się na każde wdrożenie modelu bazowego [12].

Pozostawanie poza zasięgiem radaru regulatora nie chroni przed kwestionariuszem nabywcy. Northbridge przekonał się o tym drogą najdroższą z możliwych.

Co Digital Omnibus odracza — a czego NIE odracza

Nagłówek Digital Omnibus z listopada 2025 r. („UE opóźnia akt w sprawie SI") nie przetrwa uważnej lektury samego projektu. Pomyłkę da się zrozumieć. Nagłówek jest nieścisły.

Co już obowiązuje i pozostaje nienaruszone

Cztery obowiązki już obowiązują i żaden wynik prac nad Omnibusem ich nie dotyka. Zakaz zakazanych praktyk obowiązuje od 2 lutego 2025 r. [2]. Obowiązek kompetencji w zakresie AI z art. 4 obowiązuje od 2 lutego 2025 r. [1]. Obowiązki dostawców modeli AI ogólnego przeznaczenia oraz reżim Code of Practice weszły w życie 2 sierpnia 2025 r. [2]. A UK GDPR już wiąże każdą brytyjską organizację przetwarzającą dane osobowe, w tym MŚP; wytyczne ICO dotyczące AI i ochrony danych to interpretacja regulatora dotycząca tego, jak ta ustawa stosuje się do systemów AI — nie kodeks ustawowy, lecz praktyczna baza zgodności, wobec której ICO będzie oceniać [7].

Co Digital Omnibus faktycznie proponuje

Omnibus proponuje wąskie odroczenie reżimu oceny zgodności systemów wysokiego ryzyka z załącznika III oraz wymogów dokumentacji technicznej i rejestracji w bazie danych UE dla dostawców określonych kategorii systemów AI wysokiego ryzyka. Nie proponuje odroczenia obowiązków podmiotów stosujących z art. 26, wymogów przejrzystości z art. 50, obowiązków kompetencyjnych z art. 4 ani dyscypliny dokumentowania FRIA. Te obowiązki pozostają w opublikowanym harmonogramie.

Rozmowy trójstronne utknęły 28 kwietnia 2026 r. Nowy termin pozostawał nieustalony w chwili pisania tego tekstu. Opublikowany termin Komisji pozostaje zatem prawnie wiążącym domyślnym stanem [2]. MŚP, które odczytały „przesunięte na 2027 r." i na tej podstawie odłożyły projektowanie ładu, już są w tyle za obowiązkami po stronie podmiotu stosującego, które nigdy się nie przesunęły.

Stabilny rdzeń, którego żaden wynik Omnibusa nie dotyka

Ład zaprojektowany wobec stabilnego rdzenia (klasyfikacja ryzyka według zastosowania, nadzór ze strony człowieka, rejestrowanie zdarzeń podmiotu stosującego, dokumentowanie FRIA i oceny skutków dla ochrony danych, szkolenia z kompetencji w zakresie AI, ujawnianie w ramach przejrzystości) przetrwa którąkolwiek wersję Omnibusa, jaka ostatecznie wejdzie. Między wersjami Omnibusa zmienia się to, w którym załączniku znajdzie się dane zastosowanie, a nie to, czy MŚP potrzebuje rejestru, protokołu nadzoru i procesu incydentów. „Mamy czas do 2027 r." to nie jest odczyt, który tekst potwierdza.

Jak MŚP może zbudować ład w zakresie AI w 90 dni?

Dwanaście tygodni wystarcza, by dostarczyć ład zaprojektowany od początku, jeśli prace są ułożone w sekwencji. Oto plan tydzień po tygodniu dla MŚP zatrudniającego 50–500 osób, startującego od zera.

Tygodnie 1–3 — inwentaryzacja i klasyfikacja

Wykryjcie Państwo każde używane narzędzie AI, w tym shadow AI: Copilot wbudowany w Microsoft 365, AI z rozszerzeń przeglądarki, niszowe moduły SaaS z funkcjami AI, których Państwa zespół zakupowy nigdy wprost nie oceniał. Uruchomcie rejestr AI i przypiszcie właściciela do każdego systemu. Przejdźcie drzewo klasyfikacji ryzyka zastosowań wobec załącznika III i oznaczcie wszelką ekspozycję w selekcji w HR, ocenie zdolności kredytowej, edukacji, identyfikacji biometrycznej lub infrastrukturze krytycznej [1]. Przeprowadźcie szybki przegląd podstaw prawnych na gruncie UK GDPR dla każdego systemu przetwarzającego dane osobowe [7].

Tygodnie 4–7 — działanie i dokumentowanie

Opracujcie protokół nadzoru ze strony człowieka dla każdego systemu wysokiego i ograniczonego ryzyka: wskazana osoba, tryb uchylenia, kryteria eskalacji, rytm przeglądu (Artefakt 4). Wdróżcie rejestrowanie zdarzeń z art. 26 ust. 6 wszędzie tam, gdzie platforma to wspiera; w pozostałych przypadkach zbudujcie rejestr po stronie podmiotu stosującego. Nie pozostawiajcie tego dokumentom polityk [8]. Przeprowadźcie program kompetencji w zakresie AI z art. 4: najpierw 90-minutowa baza dla całego personelu, potem pogłębione sesje dla zaawansowanych użytkowników i właścicieli AI [1]. Zaktualizujcie oceny skutków dla ochrony danych i FRIA wobec zestawu narzędzi ICO dla każdego systemu wysokiego ryzyka [8].

Tygodnie 8–12 — gotowość zakupowa i przegląd

Zbudujcie pakiet badania dostawców: umowy powierzenia, karty modeli, pochodzenie modelu AI ogólnego przeznaczenia, listy podwykonawców przetwarzania i status sygnatariusza Code of Practice dla każdego dostawcy modelu bazowego [13]. Opublikujcie informacje o przejrzystości z art. 50 dla AI kontaktującego się z klientem; poinformujcie pracowników, których to dotyczy, na podstawie art. 26 ust. 7 [1]. Odwzorujcie siedem artefaktów na format kwestionariusza zakupowego, który wysyłają nabywcy z segmentu średnich firm: rodziny mechanizmów kontrolnych ISO/IEC 42001 i funkcje NIST AI RMF [5]. Zaplanujcie pierwszy kwartalny przegląd ładu i wyznaczcie osobę odpowiedzialną z najwyższego kierownictwa zgodnie z wymogiem zestawu narzędzi ICO [8].

Dwa antywzorce, których należy unikać

Pierwszy: zakup subskrypcji narzędziowej za 40 000 GBP, zanim rejestr zostanie wypełniony. Narzędzia bez zakresu ładu to teatr. Narzędzie ujawnia ryzyka, których MŚP jeszcze nie zdefiniowało.

Drugi: traktowanie kompetencji z art. 4 jako jednorazowego webinaru. Obowiązek jest ciągły i proporcjonalny do roli [1]. 90-minutowa sesja startowa spełnia bazę; nie spełnia corocznego odświeżenia ani pogłębionych sesji dla właścicieli AI. Przebudowa architektury, za którą zapłacili nadrabiający RODO, wzięła się stąd, że dokumenty polityk napisano, a inżynierię pominięto. Ten sam wzorzec, zastosowany do AI, daje ten sam wynik.

Wyciągnięta lekcja

Lekcja, za którą Northbridge już zapłacił

W czerwcu 2020 r. dyrektor operacyjny Northbridge podpisał faktury na 142 000 GBP za nadrobienie RODO wobec bazy projektowania od razu wynoszącej 28 000 GBP. To nie była porażka zakupów. To jest to, co się dzieje, gdy kompetentny menedżer traktuje zgodność jako coś, co dokłada się po tym, jak produkt już działa. Dane MIT Sloan zamieniają to doświadczenie we wzorzec: firmy z UE ograniczyły po 2018 r. przechowywane dane o 26 % i obliczenia o 15 %, przy czym wpływ był najcięższy wśród firm, które nie wbudowały prywatności od pierwszego dnia [9]. Akt w sprawie SI ma za chwilę nauczyć tej lekcji po raz drugi.

Doposażenie ładu w zakresie AI wypada gorzej, bo rejestrowanie zdarzeń, nadzór ze strony człowieka i prompty są splątane z architekturą przepływów pracy. Zakupy egzekwują akt, zanim zrobią to regulatorzy. Siedem artefaktów kosztuje 18 000–32 000 GBP, gdy projektuje się je od razu; kosztuje 85 000–145 000 GBP, gdy nadrabia się je pod presją egzekwowania i zakupów naraz. Ta arytmetyka nie jest subtelna.

Podsumowanie

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Powiązane materiały

Frequently Asked Questions

Od kiedy akt w sprawie SI obowiązuje brytyjskie MŚP i które obowiązki działają już teraz?
To schody, nie jeden uskok. Akt wszedł w życie 1 sierpnia 2024 r. Zakazane praktyki obowiązują od 2 lutego 2025 r.; obowiązki w zakresie kompetencji w zakresie AI z art. 4 od tej samej daty; obowiązki dostawców modeli AI ogólnego przeznaczenia od 2 sierpnia 2025 r.; pełne stosowanie wobec systemów wysokiego ryzyka od 2 sierpnia 2026 r.; reguły dla wbudowanych produktów wysokiego ryzyka od 2 sierpnia 2027 r. Brytyjskie MŚP obsługujące klientów w UE są objęte zakresem eksterytorialnie, a wytyczne ICO dotyczące AI wiążą na gruncie UK GDPR od 2023 r.
Ile kosztuje nadrobienie ładu w zakresie AI po fakcie, a ile zaprojektowanie go od razu w MŚP liczącym 180 osób?
Zaprojektowanie od razu w ciągu dwunastu tygodni to 18 000–32 000 GBP: rejestr AI, program kompetencji z art. 4, protokół nadzoru ze strony człowieka z rejestrowaniem zdarzeń z art. 26 ust. 6, pakiet badania dostawców. Nadrobienie tego samego pod presją egzekwowania i zakupów w III kw. 2026 r. to 85 000–145 000 GBP w sześć–dwanaście ściśniętych tygodni — mnożnik 2,7–5,1x. Precedens RODO w Northbridge kosztował około 5x, a MIT Sloan wykazał, że firmy w UE po 2018 r. ograniczyły przechowywane dane o 26 % i obliczenia o 15 % — głównie w grupie nadrabiającej.
Czy zakup ChatGPT Enterprise lub Microsoft Copilot przenosi zgodność z aktem w sprawie SI na dostawcę?
Nie. Art. 16 określa, co musi zrobić dostawca: ocena zgodności, dokumentacja techniczna, monitorowanie po wprowadzeniu do obrotu. Art. 26 określa, co musi zrobić podmiot stosujący: używać systemu zgodnie z instrukcją, zapewnić nadzór ze strony człowieka, dbać o adekwatność danych wejściowych, przechowywać rejestry zastosowań wysokiego ryzyka co najmniej sześć miesięcy, informować pracowników i klientów. Gdy brytyjskie MŚP wkleja CV do ChatGPT, by selekcjonować kandydatów, staje się podmiotem stosującym system wysokiego ryzyka według załącznika III. Wielkość firmy nie wchodzi do reguły klasyfikacji.
Jak w praktyce wygląda ład w zakresie AI od pierwszego dnia w MŚP?
Siedem artefaktów do uruchomienia w dwa tygodnie: rejestr AI z dostawcą, modelem, zastosowaniem, poziomem ryzyka i właścicielem dla każdego systemu; drzewo klasyfikacji zastosowań odwzorowane na załącznik III; pakiet badania dostawców obejmujący umowę powierzenia, kartę modelu i pochodzenie modelu AI ogólnego przeznaczenia; protokół nadzoru ze strony człowieka wskazujący osobę odpowiedzialną z art. 26 ust. 5; program kompetencji w zakresie AI z art. 4; rejestrowanie zdarzeń i proces incydentów według art. 26 ust. 6; informacje o przejrzystości dla AI kontaktującego się z klientem oraz pakiety informacji dla pracowników.
Czy Digital Omnibus z listopada 2025 r. odracza akt w sprawie SI na tyle, by MŚP mogło zaczekać?
Nie. Omnibus proponuje wąskie odroczenie wyłącznie reżimu oceny zgodności systemów wysokiego ryzyka z załącznika III dla dostawców. Nie odracza obowiązków podmiotów stosujących z art. 26, wymogów przejrzystości z art. 50, obowiązków kompetencyjnych z art. 4 ani dyscypliny dokumentowania oceny skutków dla praw podstawowych. Zakazane praktyki, obowiązki dotyczące modeli AI ogólnego przeznaczenia oraz wytyczne ICO na gruncie UK GDPR już obowiązują i pozostają nienaruszone. Rozmowy trójstronne utknęły 28 kwietnia 2026 r., więc opublikowany termin Komisji pozostaje prawnie wiążącym domyślnym stanem. „Mamy czas do 2027 r." to nie jest odczyt, który tekst potwierdza.
Czym jest ocena skutków dla praw podstawowych (FRIA) z art. 27 aktu w sprawie SI i kto musi ją przeprowadzić?
FRIA to obowiązek z art. 27 nakładający na niektóre podmioty stosujące — organy publiczne oraz prywatnych operatorów systemów wysokiego ryzyka z załącznika III w funkcjach regulowanych, takich jak ocena zdolności kredytowej i wycena ubezpieczeń — obowiązek oceny wpływu na prawa podstawowe przed pierwszym użyciem i aktualizacji jej przy istotnej zmianie warunków. Zakres obejmuje osoby, których to dotyczy, częstotliwość i czas użycia, rodzaje szkód, środki nadzoru ze strony człowieka oraz mechanizmy skarg. Brytyjskie MŚP obsługujące klientów w UE są objęte eksterytorialnie. Digital Omnibus nie odracza dyscypliny FRIA; zaprojektowanie jej wraz z rejestrem AI omija mnożnik doposażenia.
Czy certyfikacja ISO 42001 pomoże w gotowości na akt w sprawie SI, czy to odrębne ścieżki zgodności?
ISO 42001 i akt w sprawie SI uzupełniają się, nie dublują. ISO 42001 określa system zarządzania AI — role w ładzie, rejestr AI, identyfikację ryzyka, audyt wewnętrzny — co wprost przyspiesza ścieżkę projektowania od razu: rejestr AI, pakiet badania dostawców, program kompetencji z art. 4, rejestrowanie zdarzeń z art. 26 ust. 6. Sama w sobie nie spełnia jednak oceny zgodności dostawcy z art. 16, FRIA z art. 27 ani przejrzystości z art. 50. ISO 42001 to kręgosłup zarządzania, a akt to warstwa prawna; potrzebne są oba.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.