ES DI akto pasirengimo sąrašas vadovams
Iki 2026 m. rugpjūčio 2 d. dauguma ES DI akto III priedo aukšto rizikos sistemų reikalavimų taps privalomi. Įmonėms, kurios diegia DI sprendimuose dėl asmenų (kreditavimas, įdarbinimas, draudimas, sveikatos priežiūra, teisės administravimas, kritinių paslaugų teikimas, valstybinė nauda), liko mažiau nei pusantrų metų. Šis 12 elementų sąrašas pateikia minimalius pasirengimo žingsnius vyriausiajam informacijos pareigūnui ir vyriausiajam atitikties pareigūnui.
1. DI sistemų inventorizacija
Sąrašas visų DI sistemų, naudojamų organizacijoje, įskaitant trečiųjų šalių paslaugas, kuriose yra DI komponentas (CRM su DI, marketingo automatizacija, ataskaitų rengimas, generatyvinis pokalbių robotas). Inventorizacija - pirmasis žingsnis bet kokiai atitikties veiklai.
2. Klasifikavimas pagal rizikos klases
Kiekvienai sistemai - klasifikavimo lentelė: draudžiama (5 str.), aukšto rizikos pagal III priedą, riboto rizikos (50 str. - skaidrumo prievolės), minimalaus rizikos. Aukštos rizikos sistemos reikalauja pilno atitikties paketo iki 2026 m. rugpjūčio.
3. Teikėjo arba diegėjo statuso fiksavimas
Akto pareigos skiriasi pagal vaidmenį. Teikėjas (provider) - tas, kuris kuria sistemą savo vardu. Diegėjas (deployer) - tas, kuris naudoja sistemą savo veikloje. Trečiosios šalies DI paslauga, naudojama jūsų darbo srautuose, daro jus diegėju, ne teikėju, bet su tam tikromis prievolėmis.
4. Kokybės valdymo sistema (17 str.)
Privaloma teikėjams, rekomenduojama diegėjams. ISO 42001 sertifikavimas yra paprasčiausias kelias. Per 2026 m. minimaliai - dokumentuota DI politika, atsakingi asmenys, rizikos valdymo procesas, periodinė peržiūra.
5. Rizikos valdymo sistema (9 str.)
Rizikos identifikavimo, vertinimo, mažinimo procesas. NIST AI RMF arba ISO 42001 6 punktas yra natūralūs karkasai. Dokumentuojama rizikos klasių lentelė ir kontrolinės priemonės.
6. Mokymo duomenų valdymo sistema (10 str.)
Aukšto rizikos sistemoms - duomenų aktualumas, reprezentatyvumas, klaidų aptikimas, šališkumo įvertinimas. Pamatinių modelių atveju - susijusi su modelio tiekėju ir jo atitikties dokumentais.
7. Techninė dokumentacija (11 str. ir IV priedas)
DI sistemos aprašymas, projektavimo dokumentacija, mokymo metodologija, vertinimo rezultatai, rizikos valdymo sistema, žmogaus priežiūros priemonės. ISO 42001 dokumentų paketas šiuos elementus padengia.
8. Įrašų laikymas (12 str.)
Audito žurnalai apie sistemos veikimą, įskaitant užklausas, atsakymus, sprendimo grandinę. Saugomi mažiausiai 6 mėnesius (kai kuriose taikymo srityse - ilgiau).
9. Skaidrumas (13 str.)
Aiškus dokumentas naudotojui apie sistemos pajėgumus, ribotumus, numatomą tikslumą. Diegėjui - vidinis dokumentas, kaip sistema priskiriama veiklos kontekste.
10. Žmogaus priežiūra (14 str.)
Architektūroje fiksuotas žmogaus įsikišimo žingsnis. Mokymai įsikišimo personalui. Kontrolė dėl 'guminio antspaudo' efekto. Sutartys su darbuotojais, kuriose šis vaidmuo aiškus.
11. Tikslumas, atsparumas, kibernetinis saugumas (15 str.)
Vertinimo stendas su matuojamomis ribomis. Periodinis testas. Saugumo audito ataskaitos (SOC 2, ISO 27001 padengia). NIS2 atitiktis svarbioms paslaugoms.
12. Po pateikimo rinkai stebėjimas (72 str.)
Periodinis veiklos peržiūros procesas, dreifo stebėjimas, incidentų pranešimo grandinė kompetentingoms institucijoms (Lietuvos bankas, Valstybinė vartotojų teisių apsaugos tarnyba, Rinkos priežiūros tarnyba pagal sektorinę paskirtį). Sąsajos su DORA ir NIS2 incidentų pranešimo procedūromis.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.