AI Act i kompetencje zespołów - jak przygotować firmę

Sztuczna inteligencja przestała być domeną laboratoriów badawczych czy gigantów technologicznych. Dziś systemy AI przetwarzają wnioski kredytowe w bankach, wspomagają decyzje lekarzy, rekrutują pracowników, optymalizują łańcuchy dostaw i podejmują setki innych krytycznych decyzji w życiu gospodarczym i społecznym. Ta błyskawiczna ekspansja AI niesie ze sobą ogromne możliwości, ale także realne ryzyka – od dyskryminacji algorytmicznej przez naruszenia prywatności, aż po zagrożenia bezpieczeństwa publicznego. W odpowiedzi na te wyzwania Unia Europejska uchwaliła AI Act – pierwszą na świecie kompleksową regulację prawną systemów sztucznej inteligencji.

Dla polskich firm, niezależnie od ich wielkości czy branży, AI Act to nie odległa perspektywa, lecz realna konieczność przygotowań już teraz. Regulacja ta nie dotyczy wyłącznie firm tworzących systemy AI. Obejmuje także tych, którzy je wdrażają, integrują z własnymi procesami biznesowymi lub po prostu wykorzystują w codziennej działalności. Kluczowe pytanie, jakie powinieneś sobie zadać, brzmi: czy Twój zespół posiada kompetencje niezbędne do zapewnienia zgodności z AI Act?

Ten artykuł stanowi praktyczny przewodnik, który wyjaśni, czym jest AI Act, jakiego rodzaju kompetencje są niezbędne w organizacji na różnych szczeblach – od kadry zarządzającej po zespoły techniczne – oraz jak skutecznie przygotować plan szkoleniowy, który pozwoli Twojej firmie nie tylko uniknąć surowych kar (do 35 mln EUR!), ale także wykorzystać tę transformację jako szansę na budowę przewagi konkurencyjnej.

Na skróty

• AI Act w pigułce: pierwsza globalna regulacja systemów AI i timeline wdrożenia
• Klasyfikacja ryzyka AI – jak określić, czy Twoje systemy podlegają regulacji?
• Art. 4 AI Act: obowiązek AI literacy dla wszystkich pracowników
• Kompetencje techniczne zespołów: bias testing, explainability, data governance
• Co musi wiedzieć kadra zarządzająca i compliance?
• Roadmapa szkoleń: jak skutecznie przygotować zespół do AI Act
• Surowe kary za niezgodność i jak ich uniknąć
• Relacja AI Act z NIS2, RODO i DORA
• Jak EITT przygotowuje firmy do zgodności z AI Act
• FAQ: odpowiedzi na najczęstsze pytania

Czym jest AI Act i kiedy wchodzi w życie?

AI Act (Artificial Intelligence Act) to rozporządzenie Parlamentu Europejskiego i Rady UE przyjęte w maju 2024 roku, które ustanawia pierwszy na świecie kompleksowy system prawny regulujący rozwój, wprowadzanie na rynek i wykorzystywanie systemów sztucznej inteligencji. Regulacja ta opiera się na podejściu opartym na ryzyku (risk-based approach), co oznacza, że im wyższe ryzyko związane z konkretnym systemem AI dla zdrowia, bezpieczeństwa czy praw podstawowych obywateli, tym bardziej rygorystyczne wymogi musi spełnić. Timeline wdrożenia AI Act jest stopniowy:

• Luty 2025 (6 miesięcy od wejścia w życie) – zakaz stosowania systemów AI wysokiego ryzyka uznanych za niedopuszczalne (np. social scoring przez władze publiczne, biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej bez wyjątków).
• Sierpień 2025 (12 miesięcy) – wymogi dotyczące modeli AI ogólnego przeznaczenia (GPAI – General Purpose AI, takich jak GPT-4, Claude, Gemini).
• Sierpień 2026 (24 miesiące) – pełne wymogi dla systemów AI wysokiego ryzyka, w tym obowiązki dostawców i wdrażających.
• Sierpień 2027 (36 miesięcy) – wymogi dla systemów AI wysokiego ryzyka już będących w użyciu (legacy systems).

Kluczowym aspektem AI Act jest eksterytorialność – regulacja dotyczy nie tylko firm z siedzibą w UE, ale także tych spoza UE, które oferują systemy AI na rynku unijnym lub których systemy wywołują skutki na terytorium UE. Jeśli więc Twoja firma wykorzystuje narzędzia AI amerykańskich czy azjatyckich dostawców, regulacja nadal Cię dotyczy jako “wdrażającego” (deployer).

Jak klasyfikacja ryzyka AI wpływa na Twoją firmę?

AI Act dzieli systemy AI na cztery kategorie ryzyka, a od tej kategoryzacji zależy, jakie wymogi musisz spełnić:

1. Systemy AI o niedopuszczalnym ryzyku (zakazane)

Całkowicie zakazane w UE. Przykłady:

• Systemy social scoringu przez władze publiczne
• Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami dla ścigania przestępstw)
• Manipulacja podprogowa zachowaniem ludzi
• Wykorzystywanie podatności konkretnych grup (np. dzieci, osoby niepełnosprawne)

2. Systemy AI wysokiego ryzyka

To serce regulacji. Systemy te mogą być używane, ale tylko po spełnieniu rygorystycznych wymogów. AI Act definiuje dwie grupy:

Grupa A: Systemy AI wykorzystywane jako elementy bezpieczeństwa produktów objętych unijnym prawem harmonizacyjnym (np. zabawki, urządzenia medyczne, pojazdy, maszyny przemysłowe). Grupa B: Samodzielne systemy AI w ośmiu obszarach wysokiego ryzyka:

• Biometria – identyfikacja i kategoryzacja osób
• Zarządzanie infrastrukturą krytyczną – transport, energia, woda
• Edukacja i szkolenia zawodowe – ocena uczniów, dostęp do instytucji edukacyjnych
• Zatrudnienie – rekrutacja, ocena pracowników, monitorowanie wydajności
• Dostęp do usług – ocena zdolności kredytowej, punktacja ryzyka ubezpieczeniowego, pomocy publicznej
• Egzekwowanie prawa – ocena ryzyka popełnienia przestępstwa, wykrywanie kłamstw, profilowanie przestępców
• Zarządzanie migracją – weryfikacja autentyczności dokumentów, ocena ryzyka nielegalnej migracji
• Wymiar sprawiedliwości – wspomaganie interpretacji prawa, stosowania prawa do faktów

Czy Twoja firma używa systemów AI do rekrutacji, oceny pracowników, scoringu kredytowego, predykcyjnej konserwacji infrastruktury krytycznej? Jeśli tak, prawdopodobnie działasz w strefie wysokiego ryzyka.

3. Systemy AI ograniczonego ryzyka

Wymagają przejrzystości. Przykłady:

• Chatboty (użytkownik musi wiedzieć, że rozmawia z AI)
• Systemy rozpoznawania emocji
• Systemy biometrycznej kategoryzacji
• Deepfakes (muszą być oznaczone)

4. Systemy AI minimalnego ryzyka

Bez szczególnych wymogów (np. filtry spamu, gry wideo). Większość systemów AI zalicza się do tej kategorii, ale warto przeprowadzić właściwą ocenę.

Praktyczne pytania do samooceny:

• Czy wykorzystujemy AI w procesach HR (rekrutacja, ocena, monitoring)?
• Czy stosujemy scoring kredytowy lub ryzyka wspomagany AI?
• Czy używamy rozpoznawania twarzy lub innych systemów biometrycznych?
• Czy AI wspomaga decyzje dotyczące dostępu do usług lub świadczeń?

Odpowiedź “tak” na którekolwiek z tych pytań oznacza, że prawdopodobnie działasz w strefie wysokiego ryzyka i potrzebujesz zaawansowanych kompetencji compliance.

Art. 4 AI Act: dlaczego każdy pracownik musi rozumieć AI?

Jednym z najbardziej przełomowych, a zarazem często pomijanych wymogów AI Act jest Artykuł 4 – AI Literacy. Stanowi on, że:

“Dostawcy i wdrażający systemy AI podejmują środki mające na celu zapewnienie wystarczającego poziomu umiejętności korzystania z AI (AI literacy) w odniesieniu do tych systemów, w szczególności personelowi zajmującemu się obsługą i stosowaniem systemów AI oraz osobom, których dotyczy stosowanie systemów AI.”

Co to oznacza w praktyce? AI literacy to nie jest opcjonalne szkolenie dla działów IT. To obowiązkowy program uświadamiający dla wszystkich pracowników, który powinien obejmować: Dla pracowników operacyjnych:

• Podstawy działania AI – czym jest uczenie maszynowe, algorytm, model predykcyjny
• Zrozumienie ograniczeń AI – gdzie AI może się mylić, co to jest “halucynacja” modelu
• Odpowiedzialne korzystanie z narzędzi AI – jak prawidłowo formułować zapytania, weryfikować wyniki
• Rozpoznawanie potencjalnych błędów i stronniczości – jak wykryć, że AI może dyskryminować

Dla menedżerów:

• Zrozumienie wpływu AI na procesy decyzyjne w zespole
• Odpowiedzialność za decyzje wspierane przez AI
• Zasady nadzoru nad systemami AI
• Gdy i jak eskalować problemy

Dla kadry kierowniczej wyższego szczebla:

• Strategiczne implikacje AI Act dla modelu biznesowego
• Ryzyka prawne i reputacyjne związane z AI
• Zasady ładu korporacyjnego AI (AI governance)
• Relacja AI Act z innymi regulacjami (RODO, NIS2, DORA)

Brak programu AI literacy to nie tylko narażenie na kary. To przede wszystkim realne ryzyko, że pracownicy będą niewłaściwie korzystać z narzędzi AI, nie zauważą błędów systemów lub naruszą prawa osób, których dane są przetwarzane.

Jakie kompetencje techniczne są niezbędne w zespołach IT i Data Science?

Zespoły techniczne stoją przed najgłębszą transformacją kompetencyjną. AI Act wprowadza wymogi, które wymagają nowych, specjalistycznych umiejętności wykraczających daleko poza tradycyjny software engineering czy data science.

1. Bias Testing i Fairness Assessment

Co to jest: Zdolność do wykrywania i mierzenia stronniczości (bias) w systemach AI – sytuacji, gdzie algorytm dyskryminuje określone grupy (np. ze względu na płeć, wiek, pochodzenie etniczne). Wymagane umiejętności:

• Znajomość metryk fairness (demographic parity, equalized odds, calibration)
• Umiejętność przeprowadzania testów na reprezentatywnych próbkach
• Analiza wyników pod kątem protected attributes (chronione cechy)
• Dokumentowanie rezultatów testów dla celów compliance

Narzędzia: Fairlearn, AI Fairness 360 (IBM), What-If Tool (Google), Aequitas AI Act wymaga: Dla systemów wysokiego ryzyka – systematycznego testowania pod kątem stronniczości przed wdrożeniem i podczas eksploatacji.

2. Explainability i Interpretability (XAI)

Co to jest: Zdolność do wyjaśnienia, dlaczego system AI podjął konkretną decyzję. Dla “czarnych skrzynek” (np. głębokie sieci neuronowe) to poważne wyzwanie techniczne. Wymagane umiejętności:

• Techniki model-agnostic (LIME, SHAP)
• Techniki model-specific (attention mechanisms, saliency maps)
• Tworzenie raportów wyjaśniających decyzje AI dla użytkowników nietechnicznych
• Balansowanie trade-off: accuracy vs interpretability

AI Act wymaga: Dla systemów wysokiego ryzyka – zdolność do dostarczenia wyjaśnień decyzji osobom dotkniętym tymi decyzjami (prawo do wyjaśnienia).

3. Data Governance i Data Quality Management

Co to jest: Zapewnienie, że dane treningowe są wysokiej jakości, reprezentatywne, odpowiednio zanonimizowane i zgodne z RODO. Wymagane umiejętności:

• Data lineage tracking – śledzenie pochodzenia i transformacji danych
• Data quality assessment – ocena kompletności, spójności, aktualności danych
• Zarządzanie próbkami treningowymi, walidacyjnymi, testowymi
• Techniki anonimizacji i pseudonimizacji zgodne z RODO
• Zarządzanie wersjami zbiorów danych (data versioning)

AI Act wymaga: Szczegółową dokumentację data governance, w tym pochodzenia danych, ich reprezentatywności i metodologii przygotowania zbiorów treningowych.

4. Risk Management Framework dla AI

Co to jest: Systematyczne podejście do identyfikacji, oceny, mitygacji i monitorowania ryzyk związanych z systemami AI. Wymagane umiejętności:

• Przeprowadzanie AI Risk Assessments (AIRA)
• Mapowanie ryzyk w kontekście AI Act, RODO, bezpieczeństwa cyfrowego
• Tworzenie planów mitygacji ryzyka
• Implementacja mechanizmów monitoringu i alarmowania

AI Act wymaga: Dla systemów wysokiego ryzyka – system zarządzania ryzykiem przez cały cykl życia systemu.

5. Comprehensive Documentation i Audit Trail

Co to jest: Utrzymywanie pełnej, szczegółowej dokumentacji technicznej systemu AI oraz logów pozwalających na audyt decyzji. Wymagane umiejętności:

• Dokumentowanie architektury modelu, hiperparametrów, procedur trenowania
• Prowadzenie logów wszystkich wersji modelu (MLOps)
• Automatyzacja generowania dokumentacji compliance
• Zarządzanie technical documentation zgodnie z wymogami AI Act

AI Act wymaga: Dla systemów wysokiego ryzyka – szczegółową dokumentację techniczną dostępną dla organów nadzorczych oraz prowadzenie logów przez minimum 10 lat (dla niektórych kategorii).

6. Human Oversight Mechanisms

Co to jest: Projektowanie systemów AI z wbudowanymi mechanizmami nadzoru ludzkiego (human-in-the-loop, human-on-the-loop). Wymagane umiejętności:

• Projektowanie interfejsów umożliwiających efektywny nadzór
• Implementacja progów confidence score wymagających interwencji człowieka
• Mechanizmy override – umożliwiające człowiekowi odrzucenie decyzji AI
• Projektowanie workflow hybrydowych (AI + human)

AI Act wymaga: Dla systemów wysokiego ryzyka – zapewnienie, że ludzie mogą nadzorować działanie AI i interweniować, gdy jest to konieczne.

Czego potrzebuje kadra zarządzająca i dział compliance?

AI Act wprowadza osobistą odpowiedzialność menedżerów za zapewnienie zgodności systemów AI. To nie jest tylko zadanie dla działów IT czy prawnych – to strategiczny priorytet na poziomie zarządu.

Kompetencje dla kadry C-level (CEO, COO, CTO, CFO)

1. Strategiczne rozumienie AI Act

• Wpływ regulacji na model biznesowy i strategie produktowe
• Ocena, które procesy biznesowe wymagają przekwalifikowania z uwagi na AI Act
• Decyzje build vs buy vs abstain dla systemów AI wysokiego ryzyka
• Budżetowanie inwestycji w compliance (personel, szkolenia, audyty, certyfikacje)

2. AI Risk Governance

• Ustanowienie struktury nadzoru nad AI (AI Governance Board)
• Definicja risk appetite dla systemów AI
• Eskalacja incydentów związanych z AI
• Integracja AI risk management z enterprise risk management (ERM)

3. Świadomość kar i konsekwencji prawnych

• Kary za niezgodność: do 35 mln EUR lub 7% globalnego obrotu (w zależności od tego, co jest wyższe)
• Odpowiedzialność cywilna za szkody wyrządzone przez systemy AI
• Ryzyko reputacyjne i wpływ na ESG rating

Kompetencje dla działów Legal i Compliance

1. Interpretacja przepisów AI Act

• Szczegółowa znajomość definicji systemu AI według AI Act
• Kryteria klasyfikacji ryzyka
• Obowiązki dostawców (providers) vs wdrażających (deployers) vs importerów
• Procedury zgłaszania incydentów (serious incidents) do organów nadzorczych
• Wymogi notyfikacji do baz danych UE (EU Database for High-Risk AI Systems)

2. Gap Analysis i Action Plans

• Audyt wszystkich systemów AI używanych w organizacji
• Ocena luki między stanem obecnym a wymogami AI Act
• Priorytetyzacja działań według ryzyka prawnego i biznesowego
• Harmonogram działań dostosowawczych z milestones

3. Zarządzanie dokumentacją compliance

• Prowadzenie rejestru systemów AI (AI registry)
• Gromadzenie dokumentacji technicznej dla systemów wysokiego ryzyka
• Zarządzanie deklaracjami zgodności (Declaration of Conformity)
• Przygotowanie do audytów organów nadzorczych

4. Relacje z dostawcami AI

• Negocjowanie umów z dostawcami systemów AI (SLA, liability clauses)
• Weryfikacja zgodności dostawców z AI Act
• Zapisy kontraktowe dotyczące dostępu do dokumentacji i wsparcia audytowego
• Procedury vendor risk assessment dla systemów AI

Kompetencje dla Data Protection Officers (DPO)

AI Act i RODO są ściśle powiązane. DPO muszą rozumieć:

• Relację między DPIA (Data Protection Impact Assessment) a AIRA (AI Risk Assessment)
• Zasady RODO w kontekście zbiorów treningowych AI
• Prawo do wyjaśnienia decyzji automatycznych (art. 22 RODO)
• Wymogi consent management dla systemów AI przetwarzających dane osobowe

Jak zbudować skuteczny plan szkoleniowy AI Act – roadmapa?

Przygotowanie zespołu do zgodności z AI Act to proces wieloetapowy, który powinien być dostosowany do specyfiki organizacji. Oto przetestowana roadmapa:

Faza 1: Assessment i Priorytetyzacja (Miesiąc 1-2)

Działania:

• Przeprowadź inwentaryzację wszystkich systemów AI używanych w firmie
• Sklasyfikuj je według kategorii ryzyka AI Act
• Zidentyfikuj role i zespoły krytyczne dla compliance
• Przeprowadź kompetencje gap analysis dla tych zespołów
• Ustal priorytety szkoleń według pilności compliance i ryzyka prawnego

Wynik: AI Systems Inventory + Training Needs Assessment Report

Faza 2: Szkolenia Awareness – poziom podstawowy (Miesiąc 2-3)

Grupa docelowa: Wszyscy pracownicy (wymaganie Art. 4 AI Act) Program:

• Czym jest AI Act i dlaczego obowiązuje w Twojej firmie (2h)
• Podstawy AI literacy – jak działa AI, czym są modele ML (2h)
• Odpowiedzialne korzystanie z narzędzi AI w pracy (2h)
• Rozpoznawanie ryzyk i stronniczości AI (2h)
• Case studies: błędy AI i ich konsekwencje (1h)

Format: E-learning + warsztaty online Wynik: Certyfikat AI Literacy + test wiedzy

Faza 3: Szkolenia dla kadry zarządzającej (Miesiąc 3-4)

Grupa docelowa: C-level, VP, Senior Management Program:

• Strategiczne implikacje AI Act dla biznesu (pół dnia)
• AI Risk Governance – jak nadzorować AI (pół dnia)
• Kary, odpowiedzialność prawna i ryzyko reputacyjne (pół dnia)
• Warsztaty: AI Governance Framework dla Twojej firmy (1 dzień)

Format: Warsztat stacjonarny z case studies Wynik: AI Governance Policy Draft + Action Plan

Faza 4: Szkolenia techniczne – poziom średniozaawansowany (Miesiąc 4-6)

Grupa docelowa: Zespoły IT, Data Science, ML Engineering Program:

• AI Act Technical Requirements Deep Dive (1 dzień)
• Bias Testing i Fairness Assessment (2 dni, hands-on)
• Explainable AI (XAI) – narzędzia i techniki (2 dni, hands-on)
• Data Governance dla AI – RODO + AI Act (1 dzień)
• Risk Management Framework dla AI (1 dzień)
• Dokumentacja techniczna zgodna z AI Act (1 dzień)

Format: Warsztaty praktyczne + lab exercises Wynik: Certyfikat AI Act Technical Compliance + portfolio projektów

Faza 5: Szkolenia dla Legal i Compliance (Miesiąc 5-6)

Grupa docelowa: Zespoły prawne, compliance, DPO, audytorzy wewnętrzni Program:

• AI Act Legal Framework – szczegółowa analiza przepisów (2 dni)
• Gap Analysis Methodology (1 dzień, praktyczny)
• Vendor Management dla systemów AI (1 dzień)
• Przygotowanie do audytów organów nadzorczych (1 dzień)
• Dokumentacja compliance i procedury zgłaszania incydentów (1 dzień)

Format: Warsztaty stacjonarne + case studies prawne Wynik: Compliance Playbook + procedury operacyjne

Faza 6: Advanced Specialization (Miesiąc 7-12)

Grupa docelowa: Role specjalistyczne (AI Ethics Officer, AI Risk Manager, AI Auditor) Program:

• Zaawansowane techniki XAI i bias mitigation (certyfikacja zewnętrzna)
• AI Security i Adversarial ML (certyfikacja zewnętrzna)
• AI Auditing Standards (ISO/IEC 42001, IEEE 7000) (certyfikacja zewnętrzna)
• Ethical AI Design (certyfikacja zewnętrzna)

Format: Kursy certyfikacyjne + konferencje branżowe Wynik: Certyfikaty międzynarodowe

Faza 7: Continuous Learning i Update Training (Ongoing)

AI Act to żywa regulacja – technical standards i guidance notes będą publikowane przez najbliższe lata.

Działania:

• Kwartalny newsletter AI Act Updates
• Webinary na temat nowych wytycznych regulatorów
• Roczny refresher training dla wszystkich pracowników
• Specjalistyczne warsztaty follow-up dla zespołów technicznych

Jakie kary grożą za niezgodność z AI Act?

AI Act przewiduje jedne z najsurowszych kar administracyjnych w historii regulacji UE. System kar jest stopniowany według wagi naruszenia:

Tier 1: Najpoważniejsze naruszenia – do 35 mln EUR lub 7% globalnego rocznego obrotu

• Stosowanie zakazanych systemów AI (niedopuszczalne ryzyko)
• Naruszenie obowiązków dotyczących modeli AI ogólnego przeznaczenia (GPAI)

Tier 2: Poważne naruszenia – do 15 mln EUR lub 3% globalnego rocznego obrotu

• Naruszenie wymogów dla systemów AI wysokiego ryzyka
• Naruszenie obowiązków wdrażających (deployers)

Tier 3: Pozostałe naruszenia – do 7,5 mln EUR lub 1,5% globalnego rocznego obrotu

• Dostarczanie nieprawdziwych informacji organom nadzorczym
• Naruszenie wymogów transparentności (np. dla chatbotów, deepfakes)

Dodatkowe konsekwencje:

• Odpowiedzialność cywilna: Osoby poszkodowane przez systemy AI wysokiego ryzyka mogą dochodzić odszkodowań
• Zakaz wprowadzania produktów: Organy nadzorcze mogą zakazać wprowadzania na rynek lub wycofać z rynku niezgodne systemy AI
• Ryzyko reputacyjne: Publiczne ujawnienie naruszeń może poważnie zaszkodzić wizerunkowi firmy
• Wpływ na ESG rating: Niezgodność z AI Act wpływa na ocenę governance w ratingu ESG Prawdopodobieństwo egzekucji: Organy nadzorcze (w Polsce: Prezes Urzędu Ochrony Danych Osobowych i branżowe organy regulacyjne) będą miały rozległe uprawnienia:
• Przeprowadzanie audytów i kontroli
• Żądanie dostępu do kodu źródłowego i dokumentacji technicznej
• Żądanie wyjaśnień i dokumentów
• Wydawanie nakazów wstrzymania działalności systemów AI

Pamiętaj: kary są obliczane od globalnego obrotu grupy kapitałowej, nie tylko polskiego oddziału.

Jak AI Act współgra z NIS2, RODO i DORA?

AI Act nie działa w próżni prawnej. Firmy muszą zapewnić zgodność z całym ekosystemem regulacji UE, z którymi AI Act się przecina:

AI Act + RODO (General Data Protection Regulation)

Przecięcia:

• Wiele systemów AI przetwarza dane osobowe – wymaga zgody/podstawy prawnej RODO
• Art. 22 RODO (zautomatyzowane podejmowanie decyzji) vs wymogi AI Act
• DPIA (Data Protection Impact Assessment) powinien być zintegrowany z AIRA (AI Risk Assessment)
• Prawo do wyjaśnienia decyzji automatycznych (RODO) + obowiązek explainability (AI Act)

Kluczowa zasada: AI Act nakłada dodatkowe wymogi na systemy AI przetwarzające dane osobowe, ale nie zastępuje RODO. Praktyczne działanie: DPO i AI Compliance Officer muszą ściśle współpracować. Procedury privacy by design powinny obejmować AI-specific requirements.

AI Act + NIS2 (Network and Information Security Directive)

Przecięcia:

• Bezpieczeństwo systemów AI stanowi część szerszej strategii cyberbezpieczeństwa
• Incydenty security związane z systemami AI wysokiego ryzyka mogą wymagać zgłoszenia zarówno w ramach AI Act, jak i NIS2
• Wymogi zarządzania ryzykiem (risk management) są obecne w obu regulacjach

Kluczowa zasada: Systemy AI, zwłaszcza w infrastrukturze krytycznej, muszą spełniać wymogi zarówno AI Act, jak i NIS2. Praktyczne działanie: Integruj AI security z corporate cybersecurity framework. CISO powinien być zaangażowany w nadzór nad systemami AI.

AI Act + DORA (Digital Operational Resilience Act)

Przecięcia:

• DORA dotyczy sektora finansowego – jednego z kluczowych obszarów zastosowania systemów AI wysokiego ryzyka
• Wymogi operational resilience obejmują systemy AI wspierające krytyczne procesy biznesowe
• Zarządzanie ryzykiem ICT (DORA) musi uwzględniać specyficzne ryzyka AI

Kluczowa zasada: Instytucje finansowe wdrażające systemy AI muszą zapewnić zgodność z obydwoma regulacjami jednocześnie. Praktyczne działanie: Audyty DORA powinny obejmować ocenę systemów AI. Testing operacyjnej odporności musi uwzględniać scenariusze awarii AI.

Strategia zintegrowanej zgodności

Zamiast traktować każdą regulację oddzielnie, skuteczne firmy budują zintegrowany framework compliance obejmujący:

• Wspólny rejestr ryzyk (AI Act + RODO + NIS2 + DORA)
• Skoordynowane programy szkoleniowe
• Unified governance structure z jasnym podziałem odpowiedzialności
• Zintegrowany system dokumentacji i raportowania

Jak EITT przygotowuje firmy do zgodności z AI Act?

W EITT wierzymy, że technologia jest tylko narzędziem – prawdziwą przewagę budują kompetencje ludzi. AI Act to nie tylko wymóg prawny, to szansa na transformację organizacji i zbudowanie kultury odpowiedzialnego wykorzystania AI. Nasza misja to wspieranie polskich firm w tej transformacji przez rozwijanie kompetencji na każdym poziomie organizacji.

Nasze podejście: od assessment do certyfikacji

1. AI Act Readiness Assessment Rozpoczynamy od kompleksowej oceny:

• Inwentaryzacja systemów AI w organizacji
• Klasyfikacja ryzyka według AI Act
• Gap analysis – co macie, czego brakuje
• Priorytetyzacja działań według ryzyka prawnego i biznesowego
• Roadmapa dostosowawcza z timelinami i budżetem

2. Programy szkoleniowe dostosowane do ról Oferujemy pełne spektrum szkoleń, od awareness po deep technical:

Dla wszystkich pracowników:

• AI Literacy Program (Art. 4 compliance)
• Format: e-learning + warsztaty, 8h
• Certyfikat ukończenia

Dla kadry zarządzającej:

• AI Act Strategic Leadership
• Format: warsztat 2-dniowy, case studies, board simulation
• AI Governance Framework Workshop

Dla zespołów technicznych:

• AI Act Technical Compliance (5 dni)
• Bias Testing & Fairness Engineering (3 dni, hands-on)
• Explainable AI Workshop (2 dni, narzędzia XAI)
• Secure AI Development (DevSecOps dla AI, 3 dni)
• Risk Management for AI Systems (2 dni)

Dla Legal & Compliance:

• AI Act Legal Framework (3 dni)
• AI Compliance Auditor Training (4 dni)
• Vendor Risk Management for AI (1 dzień)

3. Praktyczne narzędzia i szablony Nie tylko uczymy teorii – dostarczamy gotowe do użycia:

• Szablony dokumentacji technicznej zgodnej z AI Act
• Procedury AI risk assessment
• Checklisty audytowe dla systemów wysokiego ryzyka
• Wzory polityk AI governance
• Narzędzia bias testing

4. Continuous support i advisory

• Dostęp do naszych ekspertów AI Act przez 12 miesięcy
• Webinary update: nowe wytyczne regulatorów
• Helpdesk compliance: odpowiedzi na bieżące pytania
• Roczny audit follow-up

Dlaczego EITT?

• 500+ ekspertów z doświadczeniem w IT, cyberbezpieczeństwie, compliance, Data Science
• 2500+ przeprowadzonych szkoleń dla wiodących polskich i międzynarodowych firm
• 4.8/5 średnia ocena od uczestników szkoleń
• Praktyczne podejście: case studies z polskiego rynku, real-world scenarios
• Certyfikowani trenerzy: nasi eksperci posiadają międzynarodowe certyfikacje (CIPP/E, CISSP, CISA, Data Science certifications) Nie czekaj do 2026 roku. Firmy, które już dziś inwestują w kompetencje AI Act, będą liderami jutrzejszego rynku. Skontaktuj się z nami, aby omówić plan przygotowania Twojej organizacji.

👉 Sprawdź nasze szkolenia z AI i compliance 👉 Skontaktuj się z ekspertem EITT

FAQ – najczęstsze pytania o AI Act i kompetencje zespołów

Czy AI Act dotyczy tylko firm, które tworzą systemy AI?

Nie. AI Act dotyczy trzech głównych grup:

• Dostawcy (providers) – tworzą lub rozwijają systemy AI
• Wdrażający (deployers) – wykorzystują systemy AI w swojej działalności (np. dział HR używający AI do rekrutacji)
• Importerzy i dystrybutorzy – wprowadzają systemy AI na rynek UE

Jeśli Twoja firma używa chatbota AI, systemu scoringu kredytowego, narzędzi AI do rekrutacji czy analizy CV, jesteś “wdrażającym” i podlegasz AI Act. Nie musisz tworzyć AI, aby być objętym regulacją.

Jak długo mamy na przygotowanie się do AI Act?

Timeline jest stopniowy:

• Luty 2025 – zakaz systemów niedopuszczalnych (jeśli używasz – musisz przestać natychmiast)
• Sierpień 2026 – pełne wymogi dla nowych systemów wysokiego ryzyka (zostało 18 miesięcy)
• Sierpień 2027– wymogi dla systemów już działających (legacy systems) Wniosek: Jeśli planujesz wdrożyć nowy system AI wysokiego ryzyka, masz około 18 miesięcy na zapewnienie pełnej zgodności. Jeśli już używasz takich systemów, masz 3 lata. Jednak budowanie kompetencji zespołu zajmuje czas – zaczynaj już teraz.

Ile kosztuje przeszkolenie zespołu pod AI Act?

Koszt zależy od wielkości firmy i zakresu użycia AI. Przykładowy szacunek dla firmy 200 osób:

• AI Literacy dla wszystkich (200 osób × 8h): 50-80 tys. PLN
• Szkolenia techniczne dla zespołów IT/Data (20 osób × 40h): 80-120 tys. PLN
• Szkolenia dla compliance/legal (5 osób × 24h): 25-40 tys. PLN
• Warsztaty dla zarządu (10 osób × 16h): 30-50 tys. PLN

Razem: 185-290 tys. PLN na kompleksowy program roczny.

Dla porównania: minimalna kara za niezgodność to 7,5 mln EUR (ok. 32 mln PLN). ROI szkolenia jest oczywisty.

Co to znaczy “AI literacy” i kto musi ją posiadać?

AI literacy (umiejętność korzystania z AI) to zrozumienie:

• Jak działają systemy AI, ich możliwości i ograniczenia
• Jakie ryzyka wiążą się z wykorzystaniem AI (błędy, stronniczość)
• Jak odpowiedzialnie korzystać z narzędzi AI
• Jak rozpoznać problematyczne decyzje AI i kiedy eskalować

Kto musi posiadać AI literacy według AI Act?

• Wszyscy pracownicy bezpośrednio wykorzystujący systemy AI
• Wszyscy pracownicy, których dotyczą decyzje systemów AI
• Osoby nadzorujące systemy AI
• Kadra zarządzająca odpowiedzialna za systemy AI

W praktyce: jeśli Twoja firma używa systemów AI – wszyscy pracownicy powinni przejść podstawowe szkolenie AI literacy.

Czy mogę polegać na zapewnieniach dostawcy AI o zgodności z AI Act?

Częściowo, ale z dużą ostrożnością. Jako “wdrażający” (deployer) masz własne obowiązki, których nie możesz w pełni przenieść na dostawcę:

• Weryfikacja, czy system jest odpowiedni do Twojego przypadku użycia
• Przeprowadzenie własnego AI risk assessment
• Zapewnienie nadzoru ludzkiego (human oversight)
• Monitorowanie działania systemu w Twojej organizacji
• Szkolenie pracowników (AI literacy)
• Zgłaszanie incydentów

Co możesz wymagać od dostawcy:

• Deklarację zgodności (Declaration of Conformity)
• Dokumentację techniczną
• Instrukcję użytkowania (instructions for use)
• Dostęp do logów i danych do audytu
• Wsparcie w razie kontroli organu nadzorczego

Kluczowa zasada: W umowie z dostawcą AI jasno określ podział odpowiedzialności i wymogi wsparcia compliance. Dział legal i procurement muszą znać specyfikę umów AI.

Jak AI Act wpłynie na projekty innowacyjne z AI – czy hamuje innowacje?

To częsta obawa, ale AI Act przewiduje mechanizmy wspierania innowacji:

AI Regulatory Sandboxes Regulatorzy utworzą “piaskownice regulacyjne” – kontrolowane środowiska, gdzie firmy mogą testować innowacyjne systemy AI pod nadzorem, ale z większą elastycznością interpretacji przepisów. Idealne dla startupów i projektów R&D.

Wsparcie dla SME (małych i średnich firm)

• Priorytetowy dostęp do sandboxów
• Obniżone opłaty za certyfikację
• Wsparcie konsultacyjne organów nadzorczych

Co ważne: Firmy inwestujące w responsible AI from the start (bezpieczeństwo, fairness, transparentność wbudowane w projekt) zyskają przewagę konkurencyjną. AI Act to nie bariera – to standard jakości, który buduje zaufanie klientów. Perspektywa długoterminowa: Podobnie jak RODO, AI Act może być krótkoterminowym wyzwaniem, ale długoterminowo tworzy równe warunki gry i podnosi ogólny poziom rynku.

Kto w organizacji powinien być odpowiedzialny za zgodność z AI Act?

AI Act wymaga wielodyscyplinarnego podejścia. Typowa struktura odpowiedzialności: Poziom strategiczny:

• Zarząd/CEO – ostateczna odpowiedzialność, zatwierdzanie strategii AI i budżetów
• AI Governance Board (komitet) – nadzór nad wszystkimi inicjatywami AI, koordynacja między działami Poziom operacyjny:
• AI Compliance Officer (nowa rola) – koordynacja działań compliance, kontakt z regulatorami
• CTO/Head of Data Science – odpowiedzialność za aspekty techniczne, quality assurance
• CISO – bezpieczeństwo systemów AI, ochrona przed atakami
• DPO (Data Protection Officer) – zgodność z RODO w kontekście AI
• Legal/Compliance Team– interpretacja przepisów, umowy z dostawcami, zarządzanie ryzykiem prawnym Poziom wykonawczy:
• Data Scientists/ML Engineers – implementacja wymogów technicznych (bias testing, XAI)
• Risk Managers – prowadzenie AI risk assessments
• Internal Auditors– audyty zgodności systemów AI W małych firmach: Funkcje mogą być łączone (np. DPO + AI Compliance Officer), ale podstawowa wiedza musi być obecna.

---

Wniosek: AI Act to nie sprawa działu IT ani tylko legal – to transformacja całej organizacji, wymagająca zaangażowania od zarządu po zespoły operacyjne. Inwestycja w kompetencje ludzi to inwestycja w przyszłość Twojej firmy. Gotowy na AI Act? Skontaktuj się z EITT, aby otrzymać spersonalizowaną ofertę szkoleń i doradztwa dla Twojej organizacji.

👉 Sprawdź nasze szkolenia z AI, Machine Learning i Compliance 👉 Umów się na konsultację z ekspertem

Przeczytaj również

• Etyka i regulacje AI (AI Act): jak przygotować firmę na nadchodzące zmiany?
• Jak zbudować model kompetencji wspierający nową strategię firmy?
• PRINCE2 7th Edition: Co Nowego i Dlaczego Warto Zaktualizować Kompetencje Zespołu?

Rozwijaj swoje kompetencje

Chcesz pogłębić wiedzę z tego obszaru? Sprawdź nasze szkolenie prowadzone przez doświadczonych trenerów EITT.

➡️ Regulacje AI Act w praktyce biznesowej — szkolenie EITT