ISO/IEC 42001 a AI Act – jak przygotować organizację do wymagań UE?
Autor: Karolina Orłowicz, Audytor w zespole bezpieczeństwa informacji DEKRA
12 cze 2026Norma ISO 42001 pomaga organizacjom uporządkować zarządzanie sztuczną inteligencją. Sprawdź, jak norma wspiera przygotowanie do wymagań AI Act i jakie znaczenie może mieć dla wykazania zgodności z nowymi regulacjami.
Czym jest EU AI Act i od kiedy obowiązuje?
EU AI Act to rozporządzenie UE, które nakłada konkretne wymagania na systemy AI w Unii Europejskiej i wpływa na wymagania dotyczące jakości danych, governance oraz przejrzystości w tym regionie. Rozporządzenie weszło w życie w sierpniu 2024 roku, natomiast jego pełne stosowanie dla systemów wysokiego ryzyka rozpocznie się w sierpniu 2026 roku.
AI Act koncentruje się na obowiązkowej zgodności, ocenach zgodności oraz zasadach przetwarzania danych, a także wprowadza wymagania dotyczące przejrzystości i raportowania.
Dla wybranych systemów AI może być wymagana rejestracja w publicznej bazie danych oraz szczegółowa dokumentacja i instrukcje użytkowania. W praktyce organizacje przygotowują się na jego pełne stosowanie w kontekście systemów wysokiego ryzyka, co wymaga uporządkowanego podejścia do zarządzania AI. ISO/IEC 42001 jest natomiast standardem systemu zarządzania AI (AIMS).
Z perspektywy praktycznej: AI Act określa co musi być spełnione regulacyjnie, a ISO/IEC 42001 porządkuje jak organizacja zarządza AI, w sposób transparentny, udokumentowany i możliwy do prześledzenia.
Systemy AI wysokiego ryzyka - które organizacje są dotknięte?
EU AI Act koncentruje się szczególnie na systemach AI wysokiego ryzyka. W tym obszarze organizacje muszą zapewnić m.in.:
- zarządzanie ryzykiem,
- system zarządzania jakością,
- monitorowanie systemów po wdrożeniu.
Nie definiuje się tego wyłącznie przez branżę, ale przez kontekst zastosowania i potencjalny wpływ systemu. Największy wpływ dotyczy organizacji wykorzystujących AI w obszarach:
- bezpieczeństwa,
- przejrzystości,
- rozliczalności.
W praktyce oznacza to konieczność odpowiedzi na kluczowe pytania:
- jak zapewnić przejrzystość działania systemów AI?
- jakie ryzyka należy identyfikować i kontrolować?
- jak udokumentować zgodność z wymaganiami regulacyjnymi?
Jak certyfikacja ISO/IEC 42001 wspiera wymagania AI Act?
Norma ISO/IEC 42001 nie zastępuje EU AI Act, ale stanowi fundament organizacyjny dla jego wdrożenia.
Przykład: Organizacja z sektora finansowego wdrożyła system AI do oceny zdolności kredytowej klientów. System działał poprawnie operacyjnie, jednak w weryfikacji jego zgodności do przepisów AI ACT zidentyfikowano istotne luki:
Przykład: Organizacja z sektora finansowego wdrożyła system AI do oceny zdolności kredytowej klientów. System działał poprawnie operacyjnie, jednak w weryfikacji jego zgodności do przepisów AI ACT zidentyfikowano istotne luki:
- brak pełnej dokumentacji działania modelu,
- niewystarczające informacje dla użytkowników końcowych (przejrzystość),
- brak formalnego procesu monitorowania po wdrożeniu.
Wdrożenie uporządkowanego podejścia opartego o normę ISO/IEC 42001 pozwala uporządkować dokumentację, wdrożyć proces zarządzania ryzykiem, przygotować organizację do oceny zgodności.
Karolina Orłowicz - Zygadło, Audytor w Zespole Certyfikacji Bezpieczeństwa Informacji DEKRA
| Wymaganie AI Act | Wsparcie poprzez certyfikację ISO 42001 |
| Zarządzanie ryzykiem dla systemów wysokiego ryzyka | Ustrukturyzowane procesy identyfikacji, analizy, oceny i postępowania z ryzykiem |
| System zarządzania jakością (art. 17) | Udokumentowany system zarządzania (AIMS), integracja z ISO 9001, kontrola procesów |
| Monitorowanie po wdrożeniu | System monitorowania, analiza danych, działania korygujące |
| Dokumentacja i instrukcje | Udokumentowane procesy, rejestry, możliwość prześledzenia działań |
| Przejrzystość i raportowanie | Governance, przypisanie odpowiedzialności, przeglądy i monitoring |
Kluczowe różnice pomiędzy ISO/IEC 42001 a EU AI Act, które organizacja powinna uwzględnić:
- 1. Podejście do ryzyka
AI Act koncentruje się głównie na ryzykach i potencjalnych szkodach. ISO/IEC 42001 obejmuje zarówno ryzyka, jak i szanse. - 2. Charakter regulacji vs standardu
AI Act to regulacja o charakterze „bezpieczeństwa produktu”, skupiona na systemie AI jako produkcie wprowadzanym na rynek. ISO/IEC 42001 to system zarządzania - obejmuje organizację, procesy i sposób działania. - 3. Cele organizacyjne
Norma ISO 42001 uwzględnia cele organizacyjne jako część systemu zarządzania. AI Act nie buduje zgodności wokół celów biznesowych - koncentruje się na spełnieniu wymagań regulacyjnych.
Certyfikacja ISO 42001 jako element wykazania należytej staranności
Certyfikacja ISO/IEC 42001 stanowi niezależne potwierdzenie wdrożenia systemowego podejścia, że organizacja:
- zarządza AI w sposób systemowy,
- posiada udokumentowane procesy,
- ma przypisane role i odpowiedzialności,
- nadzoruje cykl życia systemów AI.
Certyfikacja nie oznacza automatycznej zgodności z EU AI Act. Może jednak stanowić silny dowód, że organizacja działa w sposób uporządkowany, kontrolowany i zgodny z zasadą należytej staranności.
Co grozi za brak zgodności z AI Act i brak systemowego zarządzania AI
Brak uporządkowanego podejścia do zarządzania AI prowadzi do istotnych ryzyk:
- sankcji prawnych i grzywien,
- problemów z dostępem do rynku,
- awarii systemów i spadku efektywności,
- koniecznością wycofania systemów AI,
- naruszeń bezpieczeństwa i danych.
- utraty reputacji i zaufania.
Chcesz uporządkować zarządzanie AI i przygotować organizację na wymagania regulacyjne? Poznaj proces certyfikacji ISO 42001 w DEKRA!