Kompleksowe ramy zarządzania sztuczną inteligencją w Polsce
Odkryj jak prawidłowo wdrażać, zarządzać i nadzorować systemy AI w organizacji zgodnie z nowymi regulacjami, najlepszymi praktykami i standardami etycznymi.
Poznaj najważniejsze przepisy, które kształtują podejście do sztucznej inteligencji
W najnowszej wersji projektu ustawy o systemach sztucznej inteligencji ograniczono skład KRiBSI do 7 osób (z wcześniej planowanych 16). W skład Komisji mają wejść m.in. reprezentanci Prezesa Urzędu Rejestracji Produktów Leczniczych i Wyrobów Medycznych oraz Państwowej Inspekcji Pracy. Dodano również cały rozdział o piaskownicach regulacyjnych AI.
Zaczynają obowiązywać pierwsze przepisy rozporządzenia AI Act, przede wszystkim rozdz. I-II (definicje, praktyki zakazane) oraz obowiązek AI Literacy (art. 4). Za złamanie zakazu praktyk wysokiego ryzyka grożą kary do 35 mln euro lub 7% rocznego obrotu. Kolejne fazy wdrożenia to 2 sierpnia 2025, 2 sierpnia 2026 i 2 sierpnia 2027.
DORA (Rozporządzenie UE 2022/2554) zaczyna obowiązywać, wymagając od instytucji finansowych wdrożenia kompleksowego zarządzania ryzykiem ICT, w tym testowania odporności systemów, zarządzania incydentami i nadzoru nad dostawcami usług. Wymusza przegląd umów z dostawcami IT i wdrożenie polityk zarządzania ICT na poziomie zarządów.
Termin transpozycji Dyrektywy NIS2 (UE 2022/2555) do prawa krajowego przez państwa członkowskie upłynął w październiku 2024. W Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (implementująca NIS2) jest na finiszu prac legislacyjnych – projekt drugiej nowelizacji opublikowano 3.10.2024.
AI Act (Akt w sprawie SI, rozp. 2024/1689) wszedł w życie 1 sierpnia 2024 (20 dni po publikacji w Dzienniku Urz. UE). Pełna implementacja większości przepisów nastąpi 2 sierpnia 2026, a dodatkowy termin dla niektórych obowiązków upływa 2 sierpnia 2027.
Data Act wszedł w życie w styczniu 2024, a jego stosowanie zacznie się 12 września 2025 roku. Akt ma na celu uczynienie danych przemysłowych bardziej dostępnymi, przyznając użytkownikom produktów IoT większą kontrolę nad danymi, które generują oraz regulując udostępnianie danych między przedsiębiorstwami oraz organom publicznym.
Rozporządzenie wprowadza podejście oparte na ryzyku – zakazuje wprost pewnych najbardziej niebezpiecznych zastosowań (np. masowej inwigilacji biometrycznej), a dla innych, wysokiego ryzyka, nakłada surowe wymogi.
Systemy AI podejmujące decyzje na podstawie danych osobowych muszą być przejrzyste i rozliczalne. Dla operacji wysokiego ryzyka wymagana jest Data Protection Impact Assessment (DPIA). Brak DPIA może skutkować karą do 10 mln EUR.
KRiBSI nie zastąpi UODO, lecz będzie z nim współpracować. W najnowszej wersji projektu z lutego 2025 ograniczono skład do 7 osób (z wcześniej planowanych 16).
W skład Komisji mają wejść m.in. reprezentanci Prezesa Urzędu Rejestracji Produktów Leczniczych i Wyrobów Medycznych oraz Państwowej Inspekcji Pracy, nie będzie zaś przedstawicieli m.in. Ministra Cyfryzacji, służb specjalnych, Prezesa UODO ani Rzecznika Praw Obywatelskich.
KRiBSI będzie centralnym punktem kontaktowym dla spraw AI w Polsce – będzie odpowiadać za wydawanie interpretacji (ogólnych i indywidualnych) dot. stosowania przepisów AI Act, rozpatrywanie skarg, współpracę z unijnym European AI Board oraz z EU AI Office.
Uzupełnia AI Act, koncentrując się na dostępie do danych i ich udostępnianiu. Wszedł w życie 11 stycznia 2024, a jego stosowanie zacznie się 12 września 2025 roku.
Data Act ma na celu uczynienie danych przemysłowych bardziej dostępnymi i użytecznymi, promując innowacje oparte na danych. Przyznaje użytkownikom produktów połączonych większą kontrolę nad danymi, które generują, umożliwiając im dostęp do tych danych i udostępnianie ich stronom trzecim. Reguluje również udostępnianie danych między przedsiębiorstwami (business-to-business) oraz między przedsiębiorstwami a organami publicznymi (business-to-government), ustalając warunki dostępu i użytkowania danych w różnych scenariuszach, w tym w sytuacjach zagrożenia publicznego.
Rozszerza wymagania w zakresie cyberbezpieczeństwa, obejmując także systemy AI. Termin transpozycji do prawa krajowego upłynął 17 października 2024.
NIS2 dotyczy ogólnych środków cyberbezpieczeństwa dla systemów sieciowych i informacyjnych, w tym tych wykorzystujących AI. W Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (implementująca NIS2) jest na finiszu prac legislacyjnych – projekt drugiej nowelizacji opublikowano 3.10.2024.
Obowiązuje od 17 stycznia 2025 r. dla sektora finansowego. Nakazuje testy odporności systemów AI używanych w usługach finansowych.
Kluczowe elementy DORA to zarządzanie ryzykiem ICT, zarządzanie ryzykiem związanym z usługami ICT świadczonymi przez strony trzecie, testowanie odporności operacyjnej, zarządzanie incydentami związanymi z ICT, wymiana informacji oraz nadzór nad krytycznymi dostawcami usług ICT. DORA zmusza instytucje finansowe do przeglądu umów z dostawcami IT, wdrożenia polityk zarządzania ICT na poziomie zarządów oraz podniesienia świadomości cyber w całej organizacji.
Kluczowe praktyki efektywnego zarządzania sztuczną inteligencją w organizacjach
Organizacje skutecznie wdrażające zarządzanie AI w Polsce koncentrują się na kilku kluczowych obszarach, niezależnie od branży:
Klasyfikacja systemów AI według poziomu ryzyka i stosowanie odpowiednich procedur nadzoru i kontroli w zależności od potencjalnego wpływu systemów.
Powoływanie zespołów ds. AI łączących ekspertów technicznych, etycznych, prawnych i biznesowych, co zapewnia kompleksowe podejście do wdrożeń.
Tworzenie i egzekwowanie wewnętrznych standardów dotyczących rozwoju, testowania i monitorowania systemów AI, zgodnych z regulacjami i wartościami organizacji.
Stosowanie technik wyjaśnialnej AI (XAI) i jasna komunikacja z użytkownikami na temat tego, jak działa system i na jakiej podstawie podejmuje decyzje.
Organizacje powinny równolegle rozwijać dojrzałość w zakresie zarządzania danymi (Data Governance) i AI. Wskaźniki dojrzałości obejmują: poziom standaryzacji metadanych, automatyzację pipeline'ów danych dla AI, zdolność do mierzenia jakości danych w czasie rzeczywistym oraz zintegrowane systemy monitorowania zgodności (AI Act + Data Act + RODO).
Kluczowe zasady budowania godnej zaufania sztucznej inteligencji
AI ma wspierać decyzje ludzi, a nie je autonomicznie zastępować bez kontroli (human-in-the-loop). Systemy powinny wzmacniać zdolności człowieka, nie je zastępować.
Algorytmy muszą być odporne na awarie, błędy i ataki, zapewniać dokładność i możliwość auditowania wyników. Systemy AI powinny działać niezawodnie i bezpiecznie.
Pełna zgodność z przepisami o ochronie danych, zapewnienie jakości i integralności danych. Systemy AI muszą respektować prawo do prywatności i ochrony danych osobowych.
Działanie systemów AI powinno być zrozumiałe – należy dążyć do wyjaśnialności modeli i jawności co do wykorzystania AI. Użytkownicy powinni wiedzieć, że mają do czynienia z AI.
AI ma unikać stronniczości i służyć wszystkim grupom społecznym – ważne są procedury wykrywania i korygowania biasów. Systemy nie powinny dyskryminować żadnych grup.
AI powinna służyć pozytywnie społeczeństwu i środowisku, np. poprzez zrównoważony rozwój, nie pogłębiać negatywnych zjawisk. Powinna wspierać cele społeczne i środowiskowe.
Konieczne są mechanizmy audytu, możliwość sprawdzenia i pociągnięcia do odpowiedzialności za decyzje podjęte przez AI. Za każdą decyzją AI powinna stać odpowiedzialna osoba lub organizacja.
OECD sformułowało Zasady AI, podkreślające bezpieczeństwo, prawa człowieka, przejrzystość i odpowiedzialność – Polska jako członek OECD je poparła.
Wytyczne etyczne dotyczące godnej zaufania AI opracowane przez unijną grupę ekspertów (High-Level Expert Group on AI) z 7 kluczowymi wymaganiami.
UNESCO przyjęło Rekomendację w sprawie etyki AI. Polska wstrzymała się od głosu, argumentując, że dokument nie uwzględnia w pełni unijnych ram prawnych, takich jak AI Act.
W 2023 r. opublikowano kluczowe standardy, m.in. ISO/IEC 42001 (zarządzanie AI) i ISO/IEC 23053 (monitorowanie modeli). Polskie firmy mogą już uzyskać certyfikację w tych ramach poprzez PCA.
Dostawcy technologii i stowarzyszenia branżowe publikują zbiory zasad dla rozwoju i użycia AI w konkretnych sektorach.
Komisja Europejska opublikowała wytyczne łączące wymogi Data Act z AI Act, promując modele dojrzałości danych (np. DMBOK 2.0 czy DCAM). Certyfikacja danych dla AI obejmuje teraz ocenę kompletności, pochodzenia (data lineage) i zgodności z zasadami FAIR.
Główne bariery we wdrażaniu AI Governance i kierunki rozwoju
Firmy obawiają się, czy ich rozwiązania spełnią nadchodzące wymogi AI Act, jak udokumentować algorytmy czy uzyskać wymagane certyfikacje. Implementacja pełnego modelu governance dla AI jest postrzegana jako proces czasochłonny – blisko 70% organizacji szacuje, że zajmie to co najmniej rok działań.
Firmy zmagają się z jakością danych – dane treningowe mogą być stronnicze, niepełne lub rozproszone, co utrudnia budowanie sprawiedliwych modeli. Integracja AI z istniejącymi procesami też bywa trudna – większość firm ma trudności z przeniesieniem pilotażowych projektów AI do codziennych operacji.
Poważnym zagadnieniem jest brak zaufania – zarówno ze strony konsumentów, jak i menedżerów. Jeśli AI działa jak "czarna skrzynka" i nie wiadomo, jak dochodzi do decyzji, łatwo o utratę zaufania. Firmy wskazują utratę zaufania do technologii jako istotne ryzyko przy wdrażaniu AI.
Nakładanie się wymogów AI Act, Data Act, NIS2 i DORA tworzy kompleksowy obowiązek compliance. Przykład: system AI w banku musi jednocześnie spełniać wymóg wyjaśnialności z AI Act, zasady udostępniania danych z Data Act, testy odporności operacyjnej z DORA oraz standardy cyberbezpieczeństwa z NIS2.
Firmy będą musiały stworzyć zintegrowane systemy compliance łączące monitorowanie zgodności z wszystkimi tymi regulacjami, co jest szczególnie trudne dla mniejszych podmiotów. Przy wdrażaniu AI governance konieczne będzie uwzględnienie tych nakładających się ram prawnych i stworzenie kompleksowego podejścia z wykorzystaniem narzędzi klasy Integrated Risk Management (IRM).
Kierunki rozwoju AI governance najpewniej będą koncentrować się na dalszym wzmacnianiu nadzoru nad algorytmami i wbudowywaniu etyki "w DNA" organizacji. Można spodziewać się wzrostu roli nowych stanowisk, takich jak oficer ds. etyki AI czy komitetów etycznych czuwających nad projektami.
Trendem globalnym jest rozwój narzędzi AI auditing – niezależnego audytu algorytmów pod kątem zgodności i etyczności. Rząd i regulatorzy zapowiadają tworzenie infrastruktury certyfikacji i testowania AI (np. ośrodki oceny zgodności wysokiego ryzyka AI, piaskownice regulacyjne, certyfikaty "AI Ethics" dla produktów).
Polskie piaskownice regulacyjne będą działać w modelu zgłoszeniowym – firmy dostaną 12-24 miesięcy na testy, pod warunkiem udostępniania raportów z postępów i współpracy z UODO. W UE działa już sandbox AI w Hiszpanii, który może służyć jako wzór dla polskiego rozwiązania.
W najnowszej wersji projektu polskiej ustawy o AI (luty 2025) dodano cały rozdział o piaskownicach regulacyjnych AI. Zgodnie z nim, dostęp do piaskownicy ma być przyznawany przez Przewodniczącego KRiBSI w drodze konkursu – czyli zainteresowane firmy będą aplikować ze swoimi projektami AI, a najlepsze otrzymają możliwość testów w sandboxie. Dla MŚP udział w sandboxie ma być bezpłatny, co ma zachęcić startupy i małe firmy do korzystania. AI Act w art. 57 przewiduje, że każde państwo członkowskie do 2 sierpnia 2026 r. ustanowi co najmniej jedną piaskownicę regulacyjną AI.
Przygotowujemy zbiór case studies polskich firm (m.in. PZU, PKO BP) wdrażających AI Governance, prezentujący konkretne rozwiązania i dobre praktyki.
Wdrożenie skutecznego ładu dla AI to inwestycja w przyszłość. Firmy, które strategicznie podejdą do kwestii regulacji i ryzyka AI, budując odpowiednie fundamenty od początku pracy z AI, będą lepiej przygotowane na nadchodzące zmiany.
Poznaj praktyczne rekomendacjeJak skutecznie wdrożyć ramy zarządzania AI w organizacji
Upewnij się, że znasz obowiązujące i nadchodzące przepisy (AI Act, RODO, prawa sektorowe) oraz wytyczne branżowe dotyczące AI. Przeprowadź wewnętrzny audyt wykorzystania AI i zidentyfikuj potencjalne ryzyka związane z projektami.
Określ, kto w organizacji nadzoruje kwestie związane ze sztuczną inteligencją. Może to być powołany komitet ds. AI/etyki złożony z przedstawicieli różnych działów, który będzie oceniał projekty AI przed wdrożeniem.
Spisz wewnętrzne zasady korzystania z AI. Taka polityka powinna obejmować m.in. wymagania co do danych treningowych, standardy projektowania modeli, procedury walidacji i zasady monitorowania modeli w działaniu.
Upewnij się, że posiadasz procedury zapewniania jakości danych oraz unikania stronniczości w zbiorach uczących. W miarę możliwości anonimizuj lub pseudonimizuj dane osobowe używane w AI, by chronić prywatność.
Wybieraj takie architektury rozwiązań, które umożliwiają interpretację decyzji. Stosuj techniki XAI (explainable AI) i przygotuj jasne komunikaty, gdy użytkownicy mają do czynienia z AI.
Zainwestuj w szkolenia pracowników dotyczące zarówno samych narzędzi AI, jak i zasad etycznych. Program AI Literacy (świadomości AI) jest już obowiązkiem prawnym – AI Act nakłada na firmy wymóg zapewnienia pracownikom wiedzy o AI.
Ustanów mechanizmy ciągłego monitorowania działania systemów AI: śledź kluczowe wskaźniki jakości decyzji, częstość błędów, sygnały potencjalnej dyskryminacji czy skarg użytkowników.
Włączaj interesariuszy zewnętrznych w procesy governance. Rozważ udział w inicjatywach branżowych dotyczących etyki AI. Pokazuj, że Twoja firma poważnie traktuje odpowiedzialność.
Stwórz platformę łączącą monitorowanie zgodności z AI Act, Data Act i NIS2. Wykorzystaj narzędzia klasy Integrated Risk Management (IRM).
Wprowadź role Data Stewardów odpowiedzialnych za jakość danych dla AI. Wdroż systemy data lineage śledzące pochodzenie danych od czujnika do modelu AI.
Dla systemów AI w finansach: przeprowadź symulację awarii algorytmu scoringowego i zmierz czas przywracania funkcjonalności (obowiązkowy parametr RTO < 4h).
Przygotowujemy zbiór szablonów dokumentów i narzędzi, które pomogą we wdrażaniu AI Governance, w tym template Model Cards, AI Impact Assessment i przykładowe polityki AI.
Framework umiejętności potrzebnych w organizacji wdrażającej sztuczną inteligencję
Przeprowadź wewnętrzny audyt istniejących umiejętności związanych z AI w organizacji. Zidentyfikuj luki kompetencyjne w odniesieniu do wymagań technicznych, prawnych, etycznych i zarządczych.
Wyznacz interdyscyplinarny zespół osób odpowiedzialnych za wdrażanie i nadzorowanie AI w organizacji. Zapewnij im zaawansowane szkolenia z zakresu AI Governance.
Opracuj wielopoziomowy program szkoleń dla różnych grup pracowników - od podstawowej świadomości AI (wymaganej przez AI Act), przez szkolenia dla użytkowników rozwiązań AI, aż po zaawansowane kursy dla specjalistów.
Nawiąż współpracę z uczelniami, organizacjami branżowymi i dostawcami szkoleń specjalizującymi się w AI. Rozważ staże, programy mentorskie i wymianę wiedzy.
Stwórz wewnętrzne centrum wiedzy o AI z dostępem do zasobów edukacyjnych, best practices i wskazówek dotyczących zgodności z regulacjami. Prowadź regularne warsztaty i sesje dzielenia się wiedzą.
Interaktywny glosariusz terminów związanych z ramami zarządzania sztuczną inteligencją
Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie sztucznej inteligencji. Pierwsze na świecie kompleksowe ramy prawne dla AI, które wprowadzają podejście oparte na ryzyku i klasyfikują systemy AI według czterech poziomów ryzyka, od niedopuszczalnego do minimalnego.
Komisja Rozwoju i Bezpieczeństwa SI - planowany w polskim prawie organ nadzoru nad systemami sztucznej inteligencji, mający uprawnienia kontrolne w zakresie zgodności z AI Act i innymi regulacjami. KRiBSI będzie współpracować z UODO, ale nie zastąpi go.
Kontrolowane środowisko testowe umożliwiające eksperymentowanie z innowacyjnymi rozwiązaniami AI w bezpiecznych warunkach, pod nadzorem regulatorów, z czasowym wyłączeniem niektórych wymogów regulacyjnych. Polskie piaskownice będą działać w modelu zgłoszeniowym.
Dokumentacja modelu AI zawierająca kluczowe informacje o jego przeznaczeniu, architekturze, danych treningowych, metrykach wydajności, ograniczeniach i potencjalnych ryzykach. Wspiera przejrzystość i odpowiedzialność.
Wyjaśnialna sztuczna inteligencja - zestaw metod i technik pozwalających na interpretację i wyjaśnienie decyzji podejmowanych przez modele AI, szczególnie ważne w przypadku czarnych skrzynek, jak głębokie sieci neuronowe.
Systematyczne i nieuzasadnione faworyzowanie lub dyskryminowanie określonych grup przez algorytmy AI. Może być wynikiem stronniczości w danych treningowych, projektowaniu algorytmu lub interpretacji wyników.
Ocena wpływu AI - systematyczny proces analizy potencjalnych skutków wdrożenia systemu AI, obejmujący aspekty etyczne, społeczne, prawne i ekonomiczne. Pomaga identyfikować i minimalizować ryzyka przed wdrożeniem.
Ramy organizacyjne, procesy i zasady zapewniające, że systemy AI są projektowane, wdrażane i używane w sposób zgodny z prawem, etyczny, bezpieczny i zgodny z wartościami organizacji oraz społeczeństwa.
Kategoria systemów AI zdefiniowana w AI Act, obejmująca aplikacje w krytycznych obszarach (np. edukacja, zatrudnienie, wymiar sprawiedliwości), które podlegają szczególnym wymogom dotyczącym jakości danych, dokumentacji, nadzoru ludzkiego i oceny zgodności.
Unijne rozporządzenie regulujące dostęp do danych przemysłowych i IoT. Nakazuje udostępnianie danych na żądanie (m.in. dla organów nadzoru) oraz wymusza interoperacyjność między systemami. Kluczowe dla projektów AI opartych na danych z czujników.
Dyrektywa o bezpieczeństwie sieci i systemów informatycznych. Obowiązuje od 2024 r., nakłada na firmy sektorów krytycznych wymóg ochrony systemów AI przed cyberatakami oraz zgłaszania incydentów w ciągu 24h.
Rozporządzenie o cyberodporności operacyjnej w sektorze finansowym. Wymaga od instytucji finansowych testowania odporności systemów AI na awarie i ataki, z obowiązkowymi scenariuszami recovery.
Standard opisowy (framework) dotyczący sztucznej inteligencji opartej na uczeniu maszynowym. Norma ta tworzy ramy opisu i kategoryzacji systemów AI/ML – definiuje ogólne komponenty systemu AI, ich funkcje i relacje. Jest to standard informacyjny, niecertyfikowalny – służy jako wspólny język i model referencyjny dla projektantów, audytorów i regulatorów, aby jednoznacznie opisać architekturę i elementy systemów AI.
Podejście projektowe zakładające aktywny udział człowieka w cyklu działania systemu AI, szczególnie przy podejmowaniu lub zatwierdzaniu decyzji. Ma na celu zapewnienie nadzoru ludzkiego i minimalizację błędów algorytmicznych.
Rozliczalność - zasada, zgodnie z którą organizacje i osoby odpowiedzialne za tworzenie i wdrażanie systemów AI powinny być identyfikowalne i mogą zostać pociągnięte do odpowiedzialności za ich działanie i skutki.
Przejrzystość algorytmiczna - praktyka ujawniania informacji o działaniu i podejmowaniu decyzji przez algorytmy AI, umożliwiająca użytkownikom zrozumienie, jak działa system i na jakiej podstawie podejmuje decyzje.
Wymóg RODO (art. 35) dla operacji wysokiego ryzyka, takich jak automatyczne podejmowanie decyzji czy profilowanie. Brak DPIA dla systemów AI przetwarzających dane osobowe może skutkować karą do 10 mln EUR.
Pierwszy międzynarodowy standard dotyczący systemów zarządzania sztuczną inteligencją (AI Management System). Zawiera wymagania dla organizacji, które chcą ustanowić, wdrożyć i doskonalić system zarządzania AI w sposób odpowiedzialny i zgodny z najlepszymi praktykami. Norma ta kładzie nacisk m.in. na etykę, transparentność, bezpieczeństwo, niwelowanie uprzedzeń algorytmicznych i odpowiedzialność w cyklu życia systemów AI.