Skip to content

Upravljanje UI od prvega dne: koliko stane naknadno doseganje skladnosti

Predpisi o UI se zbližujejo — Akt EU o UI (avgust 2026), zakoni ameriških zveznih držav, Azija. Podjetja, ki upravljanje vzpostavijo od prvega dne, se izognejo dragi pasti naknadnega urejanja, kakršno je prineslo GDPR.

Upravljanje UI od prvega dne: koliko stane naknadno doseganje skladnosti
Methodology by Daniela PiskackovaSoustanoviteljica in vodja revizij UI

Junija 2020 je britanski distributer s 180 zaposlenimi, ki ga bomo poimenovali Northbridge Trading, plačal 142.000 £ za naknadno ureditev GDPR: evidenco dejavnosti obdelave, tri ocene učinka v zvezi z varstvom podatkov, načrt ravnanja ob kršitvah, šest pogodb z dobavitelji in prenovo sistema CRM po načelu vgrajenega varstva, ki so jo isti svetovalci ocenili na 28.000 £, če bi bila zasnovana dve leti prej. Direktor operativnega poslovanja, ki je podpisal tiste račune, zdaj strmi v isti prepad — tokrat z UI.

Račun za naknadno urejanje, ki ga ni nihče načrtoval

Northbridge Trading je sestavljen primer, sešit iz štirih resničnih projektov med letoma 2019 in 2021. Imena smo spremenili; številke so resnične. Vzorec je pomemben, ker se prav zdaj ponavlja.

Maja 2018 je Northbridge GDPR uvedel z 200-£ predlogo politike in občutkom, da je delo opravljeno. Maja 2020 je prispela prva zahteva za dostop posameznika; sledilo je tesno izognjenje kršitvi pri integraciji obračuna plač; štirinajst dni zatem je prišla pritožba na ICO. Do tretjega četrtletja 2020 je podjetje najelo zunanjega odvetnika in inženirja za zasebnost, da so vzpostavili evidenco dejavnosti obdelave, tri ocene učinka v zvezi z varstvom podatkov, načrt odzivanja na incidente, šest pogodb o obdelavi z dobavitelji in prenovo sistema CRM, v katero so kontrole vgrajenega varstva naknadno vrinili v že delujoče tokove podatkov. Račun je dosegel približno petkratnik izhodiščne vrednosti vgradnje, ki jo je ista svetovalna hiša ocenila glede na arhitekturo iz leta 2017, plačan pa je bil pod pritiskom regulatorja.

Šest let pozneje isti direktor operativnega poslovanja vodi tri orodja UI, uvedena v letu 2025: pomočnika za pregledovanje življenjepisov, pripravljavca povzetkov prodajnih klicev in klepetalnega robota za podporo strankam. Brez registra UI, brez razvrstitve tveganja po primerih uporabe, brez dokumentacije po členu 26, brez učnega načrta usposobljenosti iz člena 4. Akt EU o UI je začel veljati 1. avgusta 2024 [1]; časovnica Komisije postavlja polno uporabo, vključno z večino obveznosti za visokotvegane sisteme, na 2. avgust 2026 [2]. Orodje za pregledovanje življenjepisov je visokotvegano po Prilogi III. Smernice urada ICO o UI so za britanska podjetja po britanskem GDPR zavezujoče že od leta 2023 [7]. "Odklanjam," nam pove, "da bi ta ček izstavil še drugič."

Zbliževanje: zakaj je "počakajmo in poglejmo" leta 2024 prenehalo biti razumno

"Globalno zbliževanje", ki poganja argument za vgradnjo, ni marketinški slogan. Leta 2024 je obseg predpisov postal merljiv, skupna tehnična hrbtenica pa vidna.

Številke, ki jih regulatorji ne želijo, da bi jih spregledali

AI Index ustanove Stanford HAI za leto 2025 beleži 59 ameriških zveznih predpisov o UI, izdanih v letu 2024, kar je več kot dvakrat toliko kot leta 2023 in v dvakrat toliko agencijah [3]. Ameriške zvezne države so v enem samem letu sprejele 131 zakonov o UI, kar je skok z 49 skupno do leta 2023 [3]. Zakonodajne omembe UI so leta 2024 v 75 državah narasle za 21,3 % [3]. Za direktorja operativnega poslovanja, ki se odloča, ali ukrepati zdaj ali počakati, ta obseg ni šum v ozadju. Je signal.

Uredba (EU) 2024/1689 je začela veljati 1. avgusta 2024 [1]. Postopna časovnica Komisije je najjasnejši objavljeni načrt, ki je na voljo: prepovedane prakse veljajo od 2. februarja 2025; obveznosti glede modelov UI za splošne namene od 2. avgusta 2025; polna uporaba za visokotvegane sisteme od 2. avgusta 2026; pravila za vgrajene visokotvegane izdelke podaljšana na 2. avgust 2027 [2]. To ni en sam prelom. So stopnice. Podjetja, ki počakajo do zgornje stopnice, sta dve že zamudila.

Skupno sidro: OECD, NIST, ISO/IEC 42001

Pod tem obsegom leži skupna hrbtenica, zaradi katere je zgodaj vgrajeno upravljanje obstojno čez jurisdikcije. Načela OECD o UI, prenovljena maja 2024, je sprejelo 47 ali več držav [4]. Tvorijo izrecno podlago za usklajenost med EU, Združenim kraljestvom, ZDA in skupino G7. Okvir NIST za obvladovanje tveganj UI 1.0 obveznosti organizira okrog štirih funkcij: upravljaj, preslikaj, izmeri in obvladuj [5]. Standardizacijski program Akta EU o UI se sklicuje na to jedro; britanski priročnik AI Playbook (februar 2025) kodificira 10 načel za vladno UI in nakazuje enakovredne standarde za svojo dobavno verigo [6].

ISO/IEC 42001 je postal certifikat naročniške ravni, ki ga kupci na srednjem trgu zdaj zahtevajo. Upravljanje, zasnovano na presečišču načel OECD, funkcij NIST in zahtev ICO, preživi zaostritev katerega koli posameznega režima. Skupna hrbtenica absorbira odstopanja.

Časovnica Akta EU o UI: začetek veljavnosti avgust 2024; prepovedane prakse in obveznosti usposobljenosti za UI februar 2025; pravila za UI za splošne namene avgust 2025; polne obveznosti za visokotvegane sisteme avgust 2026; vgrajeni visokotvegani izdelki avgust 2027.
Časovnica Akta EU o UI, od začetka veljavnosti do polnih obveznosti za visokotvegane sisteme avgusta 2026.

Zakaj se "za skladnost poskrbi dobavitelj" sesuje pod členom 26?

Najtežji stavek, ki ga je treba zapisati na katero koli dobaviteljevo trženjsko stran, je: "Dela uvajalca ne moremo prevzeti namesto vas." Po Aktu EU o UI je meja med ponudnikom in uvajalcem izrecna in se ne premakne, ker ste kupili paket za podjetja.

Model deljene odgovornosti po domače

Člen 16 določa, kaj mora storiti ponudnik: ugotavljanje skladnosti, tehnično dokumentacijo, spremljanje po dajanju na trg [1]. Člen 26 določa, kaj mora storiti uvajalec: uporabljati sistem v skladu z navodili, zagotoviti človeški nadzor, skrbeti za ustreznost vhodnih podatkov, beležiti visokotvegano uporabo vsaj šest mesecev ter obvestiti prizadete delavce in stranke [1]. Člen 4 vsakemu zaposlenemu, ki uporablja UI, nalaga dolžnost usposobljenosti za UI, sorazmerno z njegovo vlogo in ne glede na to, kateri model je v ozadju [1]. Člen 50 zahteva, da ljudje vedo, kdaj komunicirajo z UI, in to v vseh stopnjah tveganja [1].

Ti štirje členi opisujejo obveznosti, ki ležijo na podjetju. Pogodba o obdelavi, ki jo podpiše dobavitelj, jih ne prerazporedi.

Česa ChatGPT Enterprise in Copilot ne prevzameta

V trenutku, ko britansko podjetje prilepi življenjepis v ChatGPT za izbor kandidatov, postane visokotvegani uvajalec po Prilogi III [1]. Ta razvrstitev primera uporabe je odločitev uvajalca. Stran OpenAI o zasebnosti za podjetja pokriva jamstva na strani modela: brez učenja na poslovnih podatkih, šifriranje, revizijske dnevnike. Ne razvrsti vašega primera uporabe, ne napiše vašega protokola človeškega nadzora, ne usposobi vaših zaposlenih in ne vodi vaših dnevnikov uvajalca po členu 26(6). Podjetje s 40 zaposlenimi, ki uporablja UI za pregledovanje življenjepisov, nosi enake obveznosti po členu 26 kot delodajalec z indeksa FTSE 100. Velikost podjetja v pravilu o razvrstitvi ni navedena.

Po britanskem GDPR razmerje upravljavca podatkov sledi isti logiki. Osebni podatki v pozivu naredijo podjetje upravljavca. Pravic posameznika, na katerega se nanašajo osebni podatki, ni mogoče prenesti na dobavitelja.

ICO je jasen že od leta 2023

Smernice ICO o UI obravnavajo, kako se načela britanskega GDPR uporabljajo za UI, ki obdeluje osebne podatke, vključno z zahtevami po oceni učinka v zvezi z varstvom podatkov, blaženjem pristranskosti in avtomatiziranim sprejemanjem odločitev [7]. Smernice so v pregledu po zakonu Data (Use and Access) Act 2025, ki je začel veljati 19. junija 2025 [7]. Revizijski komplet ICO za UI ponuja konkretne kontrolne sezname za upravljanje, odgovornost, preglednost in pravice posameznikov [8]. Ti seznami opisujejo, kaj uvajalec potrebuje, preden pride ICO na obisk, ne pa potem. Tri orodja družbe Northbridge nimajo nič od tega. Dobaviteljeva pogodba o obdelavi pokriva dobavitelja. Vrzel pripada uvajalcu.

Dokazi o stroških naknadnega urejanja GDPR: kaj vemo empirično

Empirični argument za zgodnjo vgradnjo upravljanja ne sloni na intuiciji. Sloni na tem, kaj se je leta 2018 zgodilo podjetjem EU, ki so GDPR obravnavala kot naknadno opravilo.

MIT Sloan / Bessen in drugi — edina obsežna študija naknadnega urejanja

Študija MIT Sloan avtorjev Bessen, Janßen, Peukert in Seamans je primerjala podjetja v EU in zunaj nje po začetku izvrševanja maja 2018. Ugotovitve so neposredne: podjetja EU so shranjene podatke zmanjšala za 26 %, uporabo računanja pa za 15 % v primerjavi s kontrolnimi podjetji zunaj EU [9]. Zmanjšanje se je skoncentriralo v skupini, ki zasebnosti od začetka ni vgradila — v skupini naknadnega urejanja. To niso bile globe ali pravni stroški. Bile so operativne motnje: ukinjeni izdelki, izbrisani trženjski nabori podatkov, integracije, prezidane od temeljev. Podjetja, ki so zasebnost vgradila od leta 2016, so isti predpis absorbirala brez teh rezov.

Northbridge Trading je ubral pot naknadnega urejanja. Skladnost z GDPR je leta 2018 uvedel z 200-£ predlogo politike, resnični strošek pa odkril dve leti pozneje. Podatki MIT Sloan natančno opisujejo, kaj je plačal: arhitekturno predelavo, ki nastopi, ko obveznosti skladnosti vlečete v sistem, ki ni bil zasnovan, da bi jih nosil.

2,4-kratnik naknadnega urejanja

Panožne primerjave stroškov naknadnega urejanja pridejo do istega sklepa s stroškovne strani: podjetja, ki so se priključila pozno, so plačala približno 2,4-kratnik tega, kar so plačala tekmeci, ki so vgradili od začetka — pri evidenci obdelave, ocenah učinka, registrih pravnih podlag, procesih ob kršitvah, ponovnih pogajanjih o pogodbah o obdelavi in predelavi sistema CRM.

Vsaka od teh kategorij GDPR se neposredno preslika na svojo analogijo v Aktu o UI. Register UI nadomesti evidenco dejavnosti obdelave. Ocena učinka na temeljne pravice po členu 27 nadomesti oceno učinka v zvezi z varstvom podatkov iz GDPR. Beleženje uvajalca po členu 26(6) nadomesti dnevnik kršitev. Kategorije so iste; prepletenost je globlja. Modeli UI, pozivi in delovni tokovi so arhitekturno povezani na način, kakršnega tokovi podatkov niso bili. Izvleči priklopne točke za beleženje ali kontrole nadzora iz uvedenega cevovoda UI je inženirska predelava, ne politični dokument. Zato Northbridgeov večkratnik približno 5-krat sedi krepko znotraj razpona, ki ga panožni podatki napovedujejo pod pritiskom izvrševanja.

Računanje stroškov za podjetje: vgradnja proti naknadnemu urejanju, postavko za postavko

Večkratnik naknadnega urejanja in operativni podatki MIT Sloan so koristna sidra, vendar direktorica operativnega poslovanja potrebuje številke, ki jih lahko vnese v gradivo za upravni odbor. Tukaj je izračun za podjetje s 180 zaposlenimi, ki uporablja tri orodja UI.

Izhodišče vgradnje za podjetje s 180 zaposlenimi in 3 orodji UI

Vgradnja upravljanja UI od začetka, razporejena čez dvanajst tednov, glede na naše izkušnje s projekti stane:

  • Register UI in razvrstitev tveganja po primerih uporabe: 4–6 dni notranjega dela ter pregled svetovalca za 2.000–4.000 £
  • Učni načrt usposobljenosti iz člena 4 (90-minutna osnova za vse zaposlene; celodnevni za nosilce UI): 3.000–5.000 £
  • Protokol človeškega nadzora in beleženje po členu 26(6), vgrajena v arhitekturo: 4.000–6.000 £ inženirskega dela ter 2-dnevni pravni pregled
  • Paket skrbnega pregleda dobaviteljev s pogodbami o obdelavi, opisi modelov in sledjo razkritij modelov UI za splošne namene: 2.000–3.000 £

Okvirni skupni znesek vgradnje: 18.000–32.000 £ čez dvanajst tednov.

Proračun za naknadno urejanje pod pritiskom izvrševanja (3. četrtletje 2026)

Naknadno urejanje istega nabora pod pritiskom tretjega četrtletja 2026 stane bistveno več:

  • Zunanji odvetnik za opredelitev izpostavljenosti iz Priloge III po incidentu: 15.000–25.000 £
  • Ocena učinka na temeljne pravice (člen 27) in posodobitev ocen učinka v zvezi z varstvom podatkov za tri že uvedena orodja: 20.000–35.000 £
  • Naknadna vgradnja beleženja in predelava delovnega toka človeškega nadzora: 40.000–70.000 £
  • Posvetovanje z delavci, obvestila o preglednosti in razkritja strankam: 8.000–12.000 £

Okvirni skupni znesek naknadnega urejanja: 85.000–145.000 £ v šestih do dvanajstih tednih stisnjene sanacije. Razmerje sega od približno 2,7-kratnika do 5,1-kratnika in tako ponovi spodnjo mejo panožne primerjave ter doseže zgornjo mejo družbe Northbridge.

Zakaj je večkratnik hujši kot pri GDPR

Trije strukturni razlogi potisnejo večkratnik naknadnega urejanja UI nad številko GDPR. Prvič, delovni tokovi UI so prepleteni: pozivi, različice modelov in posredne avtomatizirane akcije so povezani po zasnovi, zato je površina za predelavo večja kot pri prevezovanju tokov podatkov. Drugič, prenove za potrebe javnih naročil tečejo vzporedno z rokom regulatorja. Podjetje, ki med sanacijo izgublja razpise, plača oba stroška hkrati. Tretjič, zgornja meja kazni je višja. Člen 99 določa globe do 7 % svetovnega letnega prometa ali 35 milijonov EUR za prepovedane prakse [1]. Direktiva o odgovornosti za UI dodaja izpostavljenost civilnim zahtevkom, ki je GDPR ni ustvaril.

Za britansko podjetje s 25 milijoni £ letnega prometa konservativen osnovni izračun (pred znižanji za MSP) doseže 750.000 EUR [1]. Strošek vgradnje ni režijski strošek skladnosti. Je zavarovanje pred globo, ki je njegov večkratnik.

Vgradnja upravljanja od začetka stane ilustrativnih 18.000 do 32.000 funtov v 12 tednih; naknadno urejanje pozneje stane 85.000 do 145.000 funtov, kar je približno 2,7- do 5,1-kratnik.
Vgradnja upravljanja proti poznejšemu naknadnemu urejanju, ilustrativni 2,7- do 5,1-kratnik stroška.

Katerih sedem listin sestavlja upravljanje UI od prvega dne?

Upravljanje UI od prvega dne za podjetje s 50–500 zaposlenimi ni abstraktno. Je sedem listin, ki jih postavite v štirinajstih dneh.

1–3: popis in razvrstitev

Listina 1 — register UI. Enostranska shema: ime sistema, dobavitelj, model, primer uporabe, razredi podatkov, stopnja tveganja, nosilec, protokol nadzora in datum pregleda. Za izdelavo ne potrebuje svetovalca; za vzdrževanje potrebuje disciplino.

Listina 2 — odločitveno drevo za razvrstitev tveganja primerov uporabe. Preslikano na kategorije iz Priloge III: izbor pri zaposlovanju, ocenjevanje kreditne sposobnosti, dostop do izobraževanja, biometrična identifikacija in kritična infrastruktura [1]. Če se orodje dotika katerega koli od teh tokov, sproži obveznosti za visokotvegane sisteme.

Listina 3 — paket skrbnega pregleda dobaviteljev. Pogodba o obdelavi, opis modela, razkritje modela UI za splošne namene, povzetek ugotavljanja skladnosti in seznam drugih obdelovalcev. Tukaj je pomemben status podpisnika kodeksa ravnanja za modele UI za splošne namene pri ponudniku v ozadju [13].

4–5: delovanje in zaščita

Listina 4 — protokol človeškega nadzora. Člen 26(5) zahteva imenovano osebo, ki lahko pregleda in razveljavi vsako avtomatizirano odločitev [1]. Protokol določa, kdo je ta oseba, postopek razveljavitve, merila za eskalacijo in ritem pregledov.

Listina 5 — učni načrt usposobljenosti za UI iz člena 4. 90-minutna osnova za vse zaposlene, poldnevni za napredne uporabnike in celodnevni za nosilce UI, osvežen vsako leto [1]. Člen 4 velja za vse uvajalce ne glede na dobavitelja, sorazmernost pa raste z vlogo, ne s številom zaposlenih.

6–7: dokumentiranje in odzivanje

Listina 6 — beleženje in proces obravnave incidentov. Dnevniki uvajalca po členu 26(6), spremljanje odmika modela in kontrole varnostnega življenjskega cikla iz smernic NCSC za varen razvoj sistemov UI, skupnih smernic z agencijo CISA in 21 mednarodnimi kibernetskimi agencijami [10]. Dnevnik vgradite v arhitekturo; politični dokumenti brez vgrajenih priklopnih točk za beleženje pri reviziji odpovedo.

Listina 7 — paket preglednosti in obveščanja delavcev. Obvestila uporabnikom po členu 50 za UI, namenjeno strankam, obveščanje delavcev po členu 26(7) za vsako UI, ki spremlja zaposlene, in jasna pot za pritožbe [1].

Zasidrano v okvire, ki jih regulatorji blagoslavljajo

Vsaka listina se preslika na kontrolne sezname za upravljanje in odgovornost iz revizijskega okvira ICO za UI [8] ter na jedro NIST za obvladovanje tveganj UI: upravljaj, preslikaj, izmeri in obvladuj [5]. ISO/IEC 42001 se preslika na isti nabor sedmih listin. Vzpostavite jih enkrat in zadovoljijo več režimov hkrati.

Javna naročila so mehanizem izvrševanja, ki so ga predčasno sprožile vaše stranke

Vsak rezultat iskanja uokvirja izvrševanje Akta o UI skozi lečo regulatorskih glob. Nobeden ne omenja tega, kar britanska podjetja, ki prodajajo na srednji trg in podjetjem, leta 2026 že ugotavljajo: kupčev vprašalnik je prišel prej.

Kaj zdaj zahtevajo kupci na srednjem trgu in podjetja

Vprašalniki za dobavitelje v poznih fazah britanskih razpisov se zdaj sklicujejo na družine kontrol ISO/IEC 42001 in na štirifunkcijsko jedro NIST za obvladovanje tveganj UI [5]. Zahtevajo dokazila o registru UI in razvrstitvi tveganja po primerih uporabe, dokumentiran protokol človeškega nadzora glede na člen 26(5) [1] ter razkritje drugih obdelovalcev s poreklom modela UI za splošne namene: kateri temeljni model, kateri ponudnik, kateri podpisnik kodeksa ravnanja [13]. Naročniške ekipe ne čakajo na smernice za izvrševanje. Svoje dobavne verige varujejo pred odgovornostjo, ki teče navzgor, ko dobaviteljevo orodje UI sproži incident.

Sedem listin iz prejšnjega razdelka je natanko to, kar zahteva vprašalnik za dobavitelje iz oddelka 9.

Northbridge izgubi razpis v drugem četrtletju 2026

Northbridge Trading se je v drugem četrtletju 2026 prijavil na 420.000-£ triletno pogodbo z reguliranim naročnikom na srednjem trgu. Oddelek 9 je določal: "Vzdržujte register UI, proces ocene učinka na temeljne pravice in protokol človeškega nadzora — predložite dokazila." Northbridge ni mogel odgovoriti. Pogodbo je dobil tekmec z enostranskim registrom in skladom politik po vzoru NIST. Prenova, ki jo poganjajo javna naročila, zdaj sedi na vrhu roka regulatorja. Tečeta obe uri.

Dedovanje iz javnega sektorja

Britanska podjetja, ki prodajajo vladi, se srečujejo z istim standardom po drugem kanalu. Vladni priročnik AI Playbook, objavljen februarja 2025, določa 10 načel, ki zajemajo etično uporabo, odgovornost, preglednost in upravljanje življenjskega cikla, dobavitelji pa jih podedujejo kot pogodbene pogoje [6]. Akcijski načrt DSIT AI Opportunities Action Plan, v celoti sprejet januarja 2025, utrjuje odgovorno uvajanje UI kot pričakovanje do dobavne verige [11]. Začetno poročilo CMA o temeljnih modelih UI dodaja lečo varstva potrošnikov in konkurence, ki se prekriva z vsako uvedbo temeljnega modela [12].

Da ostanete pod radarjem regulatorja, vas ne reši pred kupčevim vprašalnikom. Northbridge je to spoznal po dragi poti.

Kaj digitalni omnibus odloži — in česa NE

Naslovnica digitalnega omnibusa iz novembra 2025 ("EU odlaga Akt o UI") ne preživi pozornega branja dejanskega predloga. Zmeda je razumljiva. Naslov ni točen.

Kaj že velja in ostaja nedotaknjeno

Štiri obveznosti že veljajo in noben izid omnibusa se jih ne dotakne. Prepoved prepovedanih praks velja od 2. februarja 2025 [2]. Dolžnost usposobljenosti za UI iz člena 4 velja od 2. februarja 2025 [1]. Obveznosti ponudnikov modelov UI za splošne namene in ureditev kodeksa ravnanja sta začeli veljati 2. avgusta 2025 [2]. Britanski GDPR pa je že zavezujoč za vsako britansko organizacijo, ki obdeluje osebne podatke, podjetja vključno; smernice ICO o UI in varstvu podatkov so regulatorjeva razlaga, kako se ta zakon uporablja za sisteme UI — niso zakonski kodeks, so pa praktično izhodišče skladnosti, po katerem bo ICO presojal [7].

Kaj digitalni omnibus dejansko predlaga

Omnibus predlaga ozko odložitev ureditve ugotavljanja skladnosti za visokotvegane sisteme iz Priloge III ter zahtev po tehnični dokumentaciji in vpisu v zbirko podatkov EU za ponudnike določenih kategorij visokotveganih sistemov UI. Ne predlaga odložitve obveznosti uvajalcev iz člena 26, zahtev po preglednosti iz člena 50, dolžnosti usposobljenosti iz člena 4 ali discipline dokumentiranja ocene učinka na temeljne pravice. Te obveznosti ostajajo na objavljenem urniku.

Trialog je 28. aprila 2026 obtičal. Ob pisanju tega besedila je nov termin še v pripravi. Objavljeni rok Komisije zato ostaja pravno veljavna izhodiščna možnost [2]. Podjetja, ki so prebrala "odloženo na 2027" in na podlagi tega branja odložila zasnovo upravljanja, že zaostajajo za obveznostmi na strani uvajalca, ki se nikoli niso premaknile.

Stabilno jedro, ki se ga noben izid omnibusa ne dotakne

Upravljanje, zasnovano na stabilnem jedru (razvrstitev tveganja po primeru uporabe, človeški nadzor, beleženje uvajalca, dokumentiranje ocene učinka na temeljne pravice in ocene učinka v zvezi z varstvom podatkov, usposabljanje za UI, razkrivanje preglednosti), preživi katero koli različico omnibusa, ki nazadnje obvelja. Med različicami omnibusa se spreminja, v katero prilogo sodi posamezen primer uporabe, ne pa, ali podjetje potrebuje register, protokol nadzora in proces obravnave incidentov. "Čas imamo do leta 2027" ni branje, ki bi ga besedilo podpiralo.

Kako lahko podjetje vzpostavi upravljanje UI v 90 dneh?

Dvanajst tednov zadošča za upravljanje, zasnovano od začetka, če je delo zaporedno. Tukaj je načrt po tednih za podjetje s 50–500 zaposlenimi, ki začenja od ničle.

1.–3. teden — popiši in razvrsti

Odkrijte vsako orodje UI v uporabi, vključno s senčno UI: Copilot, vgrajen v Microsoft 365, UI v razširitvah brskalnika, nišne module SaaS z zmožnostmi UI, ki jih vaša naročniška ekipa nikoli ni izrecno ovrednotila. Postavite register UI in vsakemu sistemu dodelite nosilca. Skozi odločitveno drevo za razvrstitev tveganja preverite Prilogo III in označite vsako izpostavljenost pri kadrovskem izboru, ocenjevanju kreditne sposobnosti, izobraževanju, biometrični identifikaciji ali kritični infrastrukturi [1]. Za vsak sistem, ki obdeluje osebne podatke, opravite hiter pregled pravne podlage po britanskem GDPR [7].

4.–7. teden — delovanje in dokumentiranje

Pripravite osnutek protokola človeškega nadzora za vsak visokotvegani in omejeno tvegani sistem: imenovana oseba, postopek razveljavitve, merila za eskalacijo, ritem pregledov (listina 4). Beleženje po členu 26(6) izvedite povsod, kjer ga platforma podpira; sicer vzpostavite dnevnik na strani uvajalca. Tega ne prepustite političnim dokumentom [8]. Izvedite učni načrt usposobljenosti iz člena 4: najprej 90-minutna osnova za vse zaposlene, nato poglobljene seje za napredne uporabnike in nosilce UI [1]. Osvežite ocene učinka v zvezi z varstvom podatkov in ocene učinka na temeljne pravice glede na komplet ICO za vsak visokotvegani sistem [8].

8.–12. teden — pripravljenost na javna naročila in pregled

Sestavite paket skrbnega pregleda dobaviteljev: pogodbe o obdelavi, opise modelov, poreklo modelov UI za splošne namene, sezname drugih obdelovalcev in status podpisnika kodeksa ravnanja za vsakega ponudnika temeljnega modela [13]. Objavite obvestila o preglednosti po členu 50 za UI, namenjeno strankam; obvestite prizadete delavce po členu 26(7) [1]. Preslikajte sedem listin na obliko vprašalnika za javna naročila, ki ga pošiljajo kupci na srednjem trgu: družine kontrol ISO/IEC 42001 in funkcije NIST za obvladovanje tveganj UI [5]. Razpišite prvi četrtletni pregled upravljanja in imenujte odgovornega nosilca iz višjega vodstva v skladu z zahtevo kompleta ICO [8].

Dva vzorca, ki se jima izognite

Prvi: nakup 40.000-£ naročnine na orodje, preden je register izpolnjen. Orodje brez opredeljenega obsega upravljanja je gledališče. Orodje izpostavi tveganja, ki jih podjetje še ni opredelilo.

Drugi: obravnavanje usposobljenosti iz člena 4 kot enkratnega spletnega seminarja. Dolžnost je trajna in sorazmerna z vlogo [1]. 90-minutna uvodna seja zadosti osnovi; ne zadosti letni osvežitvi niti poglobljenim sejam za nosilce UI. Arhitekturna predelava, ki so jo plačali tisti, ki so GDPR urejali naknadno, je nastala zato, ker so bili napisani politični dokumenti, inženiring pa preskočen. Isti vzorec, prenesen na UI, prinese isti rezultat.

Naučena lekcija

Lekcija, ki jo je Northbridge že plačal

Junija 2020 je direktor operativnega poslovanja družbe Northbridge podpisal za 142.000 £ računov za naknadno ureditev GDPR proti 28.000-£ izhodišču vgradnje. To ni bila napaka pri javnih naročilih. To je tisto, kar se zgodi, ko sposoben operativec obravnava skladnost kot nekaj, kar nadgradiš, ko izdelek že deluje. Podatki MIT Sloan to izkušnjo spremenijo v vzorec: podjetja EU so po letu 2018 zmanjšala shranjene podatke za 26 % in računanje za 15 %, učinek pa je bil najtežji pri podjetjih, ki zasebnosti niso vgradila od prvega dne [9]. Akt o UI bo to lekcijo poučil še drugič.

Naknadno urejanje upravljanja UI je hujše, ker so beleženje, človeški nadzor in pozivi prepleteni z arhitekturo delovnih tokov. Javna naročila Akt izvršujejo, preden to storijo regulatorji. Sedem listin stane 18.000–32.000 £ za vgradnjo; stanejo 85.000–145.000 £ za naknadno urejanje pod skupnim pritiskom izvrševanja in javnih naročil. Računica ni subtilna.

Povzetek

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Sorodni vpogledi

Frequently Asked Questions

Kdaj začne Akt EU o UI veljati za britanska srednje velika podjetja in katere obveznosti so že v veljavi?
Gre za stopnice, ne za en sam prelom. Akt je začel veljati 1. avgusta 2024. Prepovedane prakse veljajo od 2. februarja 2025; dolžnosti glede usposobljenosti za UI iz člena 4 od istega datuma; obveznosti ponudnikov modelov UI za splošne namene od 2. avgusta 2025; polna uporaba za visokotvegane sisteme nastopi 2. avgusta 2026; pravila za vgrajene visokotvegane izdelke 2. avgusta 2027. Britanska podjetja, ki strežejo strankam v EU, sodijo v področje uporabe ekstrateritorialno, smernice urada ICO o UI pa so po britanskem GDPR zavezujoče že od leta 2023.
Koliko stane naknadno urejanje upravljanja UI v primerjavi z vgradnjo od začetka za podjetje s 180 zaposlenimi?
Vgradnja v dvanajstih tednih stane 18.000–32.000 £: register UI, učni načrt za usposobljenost iz člena 4, protokol človeškega nadzora z beleženjem po členu 26(6), paket skrbnega pregleda dobaviteljev. Naknadno urejanje istega nabora pod pritiskom izvrševanja in javnih naročil v tretjem četrtletju 2026 stane 85.000–145.000 £ v šestih do dvanajstih stisnjenih tednih, kar je 2,7- do 5,1-kratnik. Precedens GDPR pri družbi Northbridge je stal približno 5-kratnik, MIT Sloan pa je ugotovil, da so podjetja EU po letu 2018 zmanjšala shranjene podatke za 26 % in računanje za 15 % — kar je bilo skoncentrirano v skupini, ki je urejala naknadno.
Ali nakup ChatGPT Enterprise ali Microsoft Copilot prenese skladnost z Aktom EU o UI na dobavitelja?
Ne. Člen 16 določa, kaj mora storiti ponudnik: ugotavljanje skladnosti, tehnično dokumentacijo, spremljanje po dajanju na trg. Člen 26 določa, kaj mora storiti uvajalec: uporabljati sistem v skladu z navodili, zagotoviti človeški nadzor, skrbeti za ustreznost vhodnih podatkov, beležiti visokotvegano uporabo vsaj šest mesecev ter obvestiti prizadete delavce in stranke. V trenutku, ko britansko podjetje prilepi življenjepis v ChatGPT za izbor kandidatov, postane visokotvegani uvajalec po Prilogi III. Velikost podjetja v pravilu o razvrstitvi ni navedena.
Kako je v resnici videti upravljanje UI od prvega dne za srednje veliko podjetje?
Sedem listin, ki jih postavite v štirinajstih dneh: register UI z vsemi sistemi, dobavitelji, modeli, primeri uporabe, stopnjo tveganja in nosilcem; odločitveno drevo za razvrstitev tveganja primerov uporabe, preslikano na Prilogo III; paket skrbnega pregleda dobaviteljev s pogodbo o obdelavi, opisom modela in poreklom modela UI za splošne namene; protokol človeškega nadzora, ki imenuje odgovorno osebo po členu 26(5); učni načrt usposobljenosti iz člena 4; beleženje in proces obravnave incidentov po členu 26(6); obvestila o preglednosti za UI, namenjeno strankam, in informacijske pakete za delavce.
Ali digitalni omnibus iz novembra 2025 odloži Akt EU o UI dovolj, da lahko podjetje počaka?
Ne. Omnibus predlaga ozko odložitev ureditve ugotavljanja skladnosti za visokotvegane sisteme iz Priloge III, ki velja za ponudnike. Ne odloži obveznosti uvajalcev iz člena 26, zahtev po preglednosti iz člena 50, dolžnosti usposobljenosti iz člena 4 ali discipline dokumentiranja ocene učinka na temeljne pravice. Prepovedane prakse, obveznosti glede modelov UI za splošne namene in smernice ICO po britanskem GDPR že veljajo in ostajajo nedotaknjeni. Trialog je 28. aprila 2026 obtičal, zato objavljeni rok Komisije ostaja pravno veljavna izhodiščna možnost. "Čas imamo do leta 2027" ni branje, ki bi ga besedilo podpiralo.
Kaj je ocena učinka na temeljne pravice po členu 27 Akta EU o UI in kdo jo mora opraviti?
Gre za obveznost iz člena 27, ki od nekaterih uvajalcev — javnih organov in zasebnih izvajalcev visokotveganih sistemov iz Priloge III v reguliranih funkcijah, kot sta ocenjevanje kreditne sposobnosti in določanje zavarovalnih premij — zahteva, da ocenijo učinek na temeljne pravice pred prvo uporabo in jo posodobijo ob bistveni spremembi okoliščin. Obseg zajema prizadete osebe, pogostost in trajanje uporabe, vrste škode, ukrepe človeškega nadzora in pritožbene mehanizme. Britanska podjetja, ki strežejo strankam v EU, so zajeta ekstrateritorialno. Digitalni omnibus te discipline ne odloži; vgradnja skupaj z registrom UI se izogne dragemu naknadnemu urejanju.
Ali bo certifikat ISO 42001 pomagal pri pripravljenosti na Akt EU o UI ali sta to ločeni poti k skladnosti?
ISO 42001 in Akt EU o UI se dopolnjujeta, ne podvajata. ISO 42001 določa sistem upravljanja UI — vloge upravljanja, register UI, prepoznavanje tveganj, notranjo revizijo — kar neposredno pospeši pot vgradnje: register UI, paket skrbnega pregleda dobaviteljev, učni načrt iz člena 4, beleženje po členu 26(6). Sam po sebi ne izpolni ugotavljanja skladnosti ponudnika po členu 16, ocene učinka na temeljne pravice po členu 27 ali preglednosti po členu 50. ISO 42001 obravnavajte kot upravljavsko hrbtenico, Akt pa kot pravno plast; potrebna sta oba.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.