5 kroků, jak připravit firmu na AI Act ještě dnes

Proč je příprava na AI Act klíčová a neodkladná?

Evropská unie schválila průkopnické Nařízení o umělé inteligenci, známé jako AI Act (Nařízení EU 2024/1689). Jedná se o první komplexní zákon na světě, který reguluje vývoj a používání umělé inteligence. Ačkoliv plná platnost pro většinu ustanovení nastane až v průběhu roku 2026, některá pravidla, jako jsou zákazy určitých AI systémů, začínají platit již letos. To znamená, že čas na přípravu se rychle krátí a každá firma, která používá nebo vyvíjí AI, by měla začít s aktivní přípravou na AI Act bezodkladně.

Ignorování AI Actu by mohlo mít pro vaši firmu dalekosáhlé důsledky, včetně astronomických pokut, které mohou dosáhnout až 35 milionů eur nebo 7 % celkového ročního obratu (viz čl. 99 AI Act). Kromě finančních sankcí hrozí také poškození reputace, ztráta důvěry zákazníků a potenciální soudní spory. Klíčem k úspěchu je proaktivní konání a systematická příprava, která zajistí plnou compliance s novými předpisy. Následujících pět kroků vám poskytne jasný akční plán, jak na to.

Krok 1: Kompletní inventura a katalogizace AI systémů

Prvním a zcela zásadním krokem je detailní audit všech AI systémů, které vaše firma používá, vyvíjí nebo plánuje nasadit. Mnohé společnosti si neuvědomují, kolik nástrojů s prvky umělé inteligence již v každodenním provozu využívají – od chytrých chatbotů na zákaznické podpoře, přes algoritmy pro personalizaci obsahu na e-shopech, až po interní analytické nástroje. Cílem je vytvořit komplexní seznam všech relevantních AI aplikací, a to jak těch vyvinutých interně, tak těch dodávaných třetími stranami.

Pro účely AI Actu je důležité pochopit, co přesně je považováno za AI systém. Článek 3, bod 1 definuje AI systém jako softwarový systém vyvinutý s jednou nebo více technikami a přístupy uvedenými v příloze I, který je schopen generovat výstupy, jako je obsah, předpovědi, doporučení nebo rozhodnutí, které ovlivňují prostředí, s nímž interaguje. V rámci inventury byste měli zaznamenat nejen název systému, jeho dodavatele a účel, ale také data a typy vstupních dat, způsoby zpracování a generované výstupy. Tento krok položí základ pro další analýzu a klasifikaci.

Krok 2: Klasifikace rizik AI systémů podle AI Actu

Jakmile máte kompletní inventuru, dalším kritickým krokem je klasifikace každého AI systému podle jeho rizikovosti, což je srdcem celého AI Actu. Nařízení rozlišuje čtyři hlavní kategorie rizika: nepřijatelné riziko (prohibits), vysoké riziko, omezené riziko a minimální riziko. Pro systémy s nepřijatelným rizikem platí okamžitý zákaz (čl. 5), pro vysokorizikové AI systémy pak nejpřísnější požadavky na compliance.

Identifikace vysokorizikových AI systémů je klíčová, neboť pro ně platí specifické povinnosti, včetně posuzování shody (konformitní posouzení), požadavků na řízení kvality, dohled člověka a technickou dokumentaci (čl. 6-51). Příloha III AI Actu detailně vyjmenovává oblasti, ve kterých se AI systémy považují za vysokorizikové, například v oblasti biometrické identifikace, řízení kritické infrastruktury, vzdělávání, zaměstnanosti, vymáhání práva nebo migrace. Správná kategorizace je nezbytná pro určení rozsahu požadovaných opatření a pro efektivní řízení přípravy. Pro hlubší vhled doporučujeme náš článek o /ai-act/rizikove-kategorie.

Krok 3: Gap analýza a vytvoření akčního plánu

Po klasifikaci je nutné provést důkladnou gap analýzu. To znamená porovnat současný stav vašich AI systémů a interních procesů s požadavky AI Actu pro každou relevantní rizikovou kategorii. Identifikujte, kde vaše firma zaostává a jaké konkrétní kroky jsou nutné k dosažení plné compliance. Například pro vysokorizikové AI systémy budete muset zajistit komplexní technickou dokumentaci (čl. 50), zavést systém řízení kvality, zajistit lidský dohled a provést posouzení dopadů na základní práva.

Na základě výsledků gap analýzy vypracujte podrobný akční plán. Ten by měl obsahovat konkrétní úkoly, zodpovědné osoby, termíny a potřebné zdroje. Rozdělte implementaci na menší, zvládnutelné fáze. Prioritizujte úkoly související s vysokorizikovými systémy a systémy s nepřijatelným rizikem. Nezbytnou součástí plánu by měla být i alokace rozpočtu a interních zdrojů, případně zvážení externí expertní podpory. Tento plán je vaším kompasem pro celé konání a přípravu na AI Act.

Krok 4: Implementace opatření a procesů

S hotovým akčním plánem přichází na řadu samotná implementace. To zahrnuje zavedení nových technických a organizačních opatření a úpravu stávajících procesů. Pro vysokorizikové AI systémy budete muset například vytvořit robustní systém řízení kvality (čl. 17), který zahrnuje řízení rizik, správu dat, testování, ověřování a validaci. Dále je nutné zajistit dostatečný lidský dohled (čl. 14) nad AI systémy, aby se předešlo automatizovaným rozhodnutím bez lidské kontroly, zejména v citlivých oblastech.

Klíčovou součástí implementace je také zajištění kybernetické bezpečnosti (čl. 15), transparentnosti (čl. 13) a přesnosti (čl. 10) AI systémů. To znamená implementaci technických řešení pro ochranu před neoprávněným přístupem, manipulací nebo chybami. Rovněž je třeba zajistit, aby technická dokumentace byla pravidelně aktualizována a dostupná pro kontrolní orgány. Pro systémy s omezeným rizikem, jako jsou chatboty, je nutné informovat uživatele, že interagují s AI (čl. 52). Tento krok je o aktivním konání a transformaci vaší firmy, aby byla plně v souladu s AI Act.

Krok 5: Průběžná dokumentace, monitoring a audit

Compliance s AI Actem není jednorázová záležitost, ale kontinuální proces. Posledním krokem, který se však stává trvalou součástí firemní kultury, je průběžná dokumentace, monitoring a pravidelný audit. Veškeré kroky, rozhodnutí, testy a úpravy týkající se vašich AI systémů musí být řádně zaznamenány. Technická dokumentace (čl. 50) musí být živým dokumentem, který odráží aktuální stav systému a jeho soulad s regulací. To zahrnuje záznamy o vývoji, testování, nasazení, monitoringu výkonu a případných úpravách.

Zaveďte systémy pro post-market monitoring (čl. 73), které vám umožní sledovat výkon AI systémů po jejich uvedení na trh, identifikovat případné problémy a zajistit včasné nápravné opatření. Pravidelné interní audity (čl. 17, odst. 1, písm. b) a externí ověřování shody jsou nezbytné pro udržení compliance a pro ověření, že všechny procesy fungují správně a v souladu s AI Actem. Pamatujte, že připravenost na AI Act je neustálý proces, který vyžaduje bdělost a proaktivitu. Včasná příprava a důkladný audit vás ochrání před riziky a posílí vaši pozici na trhu.

Nenechte se zaskočit, začněte s přípravou ještě dnes!

AI Act přináší nové výzvy, ale také příležitosti pro firmy, které se na něj včas a důkladně připraví. Proaktivní přístup k regulaci AI je investicí do budoucnosti vaší firmy, vaší reputace a vaší konkurenceschopnosti. Dodržování těchto pěti kroků vám pomůže zajistit, že vaše AI systémy budou nejen inovativní, ale také etické, bezpečné a plně v souladu s evropskou legislativou.

Neodkládejte přípravu na poslední chvíli. Začněte s inventurou a klasifikací svých AI systémů ještě dnes. Potřebujete rychlý přehled o stavu vašich webových stránek a AI prvků z pohledu AI Actu? Využijte náš bezplatný skener. Zjistěte, jak si vaše firma stojí a kde je potřeba začít s implementací. Klikněte zde a proveďte sken vašeho webu okamžitě: aishield.cz/scan

Související články

• více informací o rizikových kategoriích AI systémů
• detailní článek o technické dokumentaci podle AI Actu
• o monitoringu po uvedení na trh
• jaké pokuty hrozí za nedodržení AI Actu