AI Act compliance a CIS Benchmark – dvě novinky, které ocení management
AI Act compliance a CIS Benchmark – dvě novinky, které ocení management
Umělá inteligence se rychle přesunula z pilotů do běžných procesů – v zákaznické podpoře, marketingu, HR i kyberbezpečnosti. Současně roste tlak regulátorů a partnerů: chtějí vidět, že AI používáte bezpečně, transparentně a s jasnou odpovědností. BDO proto rozšiřuje portfolio o dvě praktické služby, které překládají „compliance“ do jazyka vedení: AI Act compliance a CIS Benchmark assessment.
AI Act: proč to není jen téma pro právníky a IT
EU AI Act je první komplexní rámec pro regulaci umělé inteligence a staví na řízení rizik. AI systémy rozděluje podle míry rizika a u vysoce rizikových řešení klade důraz na řízení rizik, testování, transparentnost a auditovatelnost. Důležité je, že dopadá nejen na firmy, které AI vyvíjejí nebo dodávají, ale i na organizace, které AI „jen“ používají – například v HR, v kritické infrastruktuře nebo v nástrojích bezpečnostního dohledu.
Pro management jsou klíčové termíny a sankce. Povinnosti nabíhají postupně v letech 2025–2027 a nedodržení se může prodražit – BDO uvádí sankce až 35 milionů EUR nebo 7 % z obratu. AI governance se tak stává tématem pro board – podobně jako kybernetická bezpečnost v posledních letech.
Bez ohledu na regulaci by managementy firem měli mít nastavený jasný rámec a procesy, aby efektivně a bezpečně využívali nástroje AI, ať již vlastní nebo v rámci produktů třetích stran po celou dobu jejich životního cyklu – od onboardingu, přes běžné používání, rozvoj až po generační obměnu.
Novinka: BDO AI Act compliance – z regulace udělat řiditelný projekt
BDO pojímá AI Act compliance tak, aby šla uchopit jako manažersky řiditelný program, ne jako nekonečná právní debata. Prakticky to začíná rychlým „AI Act compliance checkem“ – ověřením, zda jste v rozsahu regulace, v jaké roli v hodnotovém řetězci vystupujete (např. provider/deployer) a jaké typy AI ve firmě reálně používáte. Tam, kde AI Act nedává jasné otázky nebo není z našeho pohledu dostatečný, inspirujeme se mezinárodně uznávaným rámcem pro řízení bezpečnosti AI od organizace NIST.
Na check navazuje strukturovaný postup, který typicky zahrnuje:
-
vymezení scope a rolí (kde AI vzniká, kde ji nakupujete, kde ji nasazujete)
-
klasifikaci AI systémů dle rizika
-
nastavení dokumentace a procesů tak, aby obstály u regulátora i u klientů
-
školení („AI literacy“) a nastavení odpovědností, aby pravidla nezůstala jen na papíře
CIS Benchmarks: bezpečnostní baseline, kterou lze měřit
Zatímco AI Act řeší governance a odpovědnost u AI, CIS Benchmarks míří na jednu z nejčastějších příčin incidentů: špatně nastavené systémy. CIS Benchmarks jsou preskriptivní doporučení bezpečné konfigurace, vznikající konsenzem odborníků; CIS je popisuje jako doporučení pro více než 25+ produktových rodin.
Pro vedení je klíčové, že CIS Benchmarking dává kyberbezpečnosti měřítko: místo pocitů získáte jasný obraz o shodě, kritických odchylkách a prioritách nápravy (včetně možnosti ověřovat konformitu pomocí specializovaných nástrojů).
CIS Benchmark od BDO vám dá „tvrdý důkaz“ bezpečnosti – rychle odhalí největší konfigurační rizika v klíčových systémech a přetaví je do prioritní roadmapy, kterou lze hned řídit a obhájit před auditem i boardem.
Novinka: BDO CIS Benchmark assessment – diagnostika i plán nápravy
V rámci BDO Digital v ČR už dnes najdete služby zaměřené na řízení kybernetických rizik a jejich dopad na byznys (např. bezpečnostní health-check, CISO as a Service, testování zranitelností či penetrační testy). CIS Benchmark assessment do tohoto portfolia zapadá jako rychlý, velmi konkrétní start nebo „reset“ bezpečnostní hygieny.
Typický výstup pro management je navržený tak, aby se podle něj dalo rozhodovat:
-
board-ready report: co je v rozsahu, celkový stav/shoda a kritické odchylky
-
prioritizace: „quick wins“ vs. strukturální změny
-
roadmapa a odpovědnosti: kdo, co a do kdy – včetně doporučeného kontrolního rytmu
Proč řešit AI Act compliance a CIS Benchmark společně
Obě novinky mají společný jmenovatel: důvěru a odolnost. AI Act tlačí na transparentnost, řízení rizik a schopnost prokázat „jak a proč“ AI rozhoduje. CIS Benchmarking dává pevný základ pro bezpečný provoz infrastruktury, na které AI (a vaše klíčové systémy) běží.
Jak začít bez velkých projektů
Nejrychlejší cesta je krátký vstupní workshop: AI Act quick check + návrh scope pro CIS Benchmark assessment. Výsledkem je jednoduchý plán pro management: co udělat, v jakém pořadí, kdo je vlastníkem rizika a jaký je dopad na byznys.