Kaj je ISO 42001: Novi standard za upravljanje umetne inteligence (AI) | Tečaj kibernetske varnosti in izobraževanje zaposlenih po ZinfV

Kaj je ISO 42001: Novi standard za upravljanje umetne inteligence (AI)

Standardi

• ISO27001 • ISO42001 • STANDARDI • KIBERNETSKA VARNOST • GDPR • NIS-2 •

Umetna inteligenca je v letu 2025 postala nepogrešljiv del delovnega vsakdana. V uredništvih, odvetniških pisarnah, svetovalnih podjetjih, marketinških ekipah ali IT-oddelkih se je generativni AI naselil tiho in naravno: ChatGPT piše osnutke, Claude pripravlja analize, Midjourney ustvarja vizualne predloge, avtomatizirani pomočniki pa urejajo podatke in prihranijo ure dela. Produktivnost raste, naročniki so zadovoljni, delo teče hitreje kot kadar koli prej.

Toda s 1. četrtletjem 2026 se bo slika spremenila. Podjetja, ki sodelujejo v razpisih, javnih naročilih ali mednarodnih projektih, bodo soočena z novimi vprašanji. Naročniki ne bodo več spraševali, ali organizacija uporablja umetno inteligenco, temveč kako zagotavlja nadzor nad njo, predvsem z vidika podatkovne suverenosti, človeškega nadzora in skladnosti z evropskimi predpisi. Odgovor »AI uporabljamo odgovorno« ne bo več dovolj - postal bo rdeči alarm.

Prav v ta trenutek prihaja standard ISO 42001, prvi globalni okvir, ki podjetjem pomaga vzpostaviti sistem odgovornega upravljanja umetne inteligence. Gre za standard, zasnovan podobno kot ISO 27001 za informacijsko varnost, vendar osredotočen na posebnosti AI. Zajema upravljanje tveganj, sledljivost podatkov in modelov, nadzor nad tem, kako in kje se podatki obdelujejo, ter jasno razdelitev odgovornosti pri uporabi generativnih orodij. ISO 42001 podjetjem omogoča, da formalizirajo prakse, ki so jih morda že intuitivno uporabljala, hkrati pa uvaja mehanizme, ki jih večina organizacij sploh še nima.

EU AI Act je že v veljavi

Evropski akt o umetni inteligenci je prvi zakonski okvir na svetu, ki zahteva:

ocenjevanje tveganj,
nadzor nad podatki, ki vstopajo v modele,
dokumentiranje zasnove in uporabe AI,
mehanizme za človeški nadzor,
pojasnljive procese pri uporabi sistemov z visokim tveganjem.

Potreba po takšnem standardu ni teoretična, temveč zelo konkretna. Evropski akt o umetni inteligenci (EU AI Act) je že v veljavi in določa stroge zahteve za ponudnike, ki svoje storitve ponujajo v EU ali obdelujejo podatke evropskih državljanov. Od podjetij zahteva ocenjevanje tveganj, pojasnljivost modelov, dokazljivo dokumentiranje zasnove AI-procesov, nadzor nad podatkovnimi tokovi in človeški nadzor nad sistemi, ki vplivajo na posameznike ali poslovne procese. ISO 42001 je zasnovan kot orodje, ki organizacijam pomaga doseči skladnost z novimi pravili, podobno kot je ISO 27001 postal zlati standard za skladnost z GDPR.

Hkrati se GDPR po osmih letih znova postavlja v ospredje. Umetna inteligenca povzroča vprašanja, ki jih prejšnja orodja niso: kaj se zgodi, ko zaposleni v generativni model vnese osebne podatke? Kdo nosi odgovornost, če model procesira vsebino izven EU ali če dovaja napačne, pristranske ali poslovno občutljive izhode? Ali lahko organizacija dokaže, katere podatke je uporabila, v katerem orodju in kako je bila vsebina kasneje preverjena? GDPR je trd zakon, ki zahteva sledljivost. AI pa je tehnologija, ki brez ustreznih pravil hitro postane črna skrinjica.

»Katere kontrole uporabljate za generativno AI, zlasti glede podatkovne suverenosti, nadzora in skladnosti z zakonodajo EU?«. Odgovor “Uporabljamo jo odgovorno” bo označen kot rdeča zastavica.

Zavarovalnice po svetu že reagirajo na nove rizike. Primer iz Avstralije, ki ga evropski trg pozorno spremlja, kaže, da zavarovalnice vse pogosteje uvajajo izključitve za incidente, ki vključujejo AI. Če podjetje ne more dokazati, da je imelo formalno vzpostavljene kontrole pri uporabi umetne inteligence, odškodninski zahtevki preprosto ne bodo priznani. Ta trend se približuje tudi EU.

Posebej občutljivo področje so razpisi in javna naročila. V letu 2026 bodo naročniki želeli natančne odgovore: katera orodja organizacija uporablja, kako dokumentira uporabo AI v projektih, kako varuje osebne podatke, kako zagotavlja človeški nadzor ter ali lahko dokaže, da se podatki ne obdelujejo izven pooblastil naročnika. Organizacije, ki tega ne bodo znale dokazati, bodo izločene že v zgodnjih fazah postopka.

AI postavi GDPR v čisto novo perspektivo:

Kaj se zgodi, ko zaposleni pošlje osebne podatke v ChatGPT?
Kdo odgovarja, če tretji model iz podatkov sklepa nekaj, česar organizacija ni odobrila?
Kje se podatki obdelujejo - v EU ali ZDA?
Ali lahko organizacija dokaže, katere podatke je uporabila v katerem AI-orodju?

Zato je danes nujno, da ima vsako podjetje v varnostni politiki jasno opredeljeno uporabo umetne inteligence (AI). Ne gre več le za to, katera orodja so dovoljena, temveč tudi za vrste podatkov, ki jih je dopustno obdelovati, za obvezno preverjanje izpisov, za lokacijo hrambe podatkov, za postopke nadzora in za obvezno beleženje primerov uporabe AI v projektih. Ta pravila niso birokratska ovira, temveč zaščita pred kršitvami, regulatornimi postopki in poslovnimi tveganji. Ko pride do spora ali inšpekcijskega nadzora, je dokumentiran proces pogosto edina stvar, ki podjetje reši.

ISO 42001 tako predstavlja konkurenčno prednost. Organizacije, ki bodo pravočasno uredile procese in uvedle formalni sistem upravljanja AI, bodo samozavestno vstopale v razpisne postopke, medtem ko bodo tiste, ki bodo vztrajale pri stihijski uporabi AI, iskale svetovalce zadnji trenutek in izgubljale posle. Razlika med pripravljeno in nepripravljeno organizacijo bo v letu 2026 postala izjemno vidna.

Če AI prinaša hitrost in učinkovitost, potem ISO 42001 prinaša strukturo, ki omogoča, da to hitrost uporabimo varno, zakonito in v svojo poslovno korist. Umetna inteligenca ni več prihodnost - je že jedro današnjega poslovanja. Vprašanje ni, ali jo bomo uporabljali, ampak kako. In v tem »kako« bo ISO 42001 postal ključni del zgodbe o uspehu slovenskih organizacij v naslednjih letih.