Mnogi danas polaze od pretpostavke da će usklađivanje s normom ISO/IEC 42001, prvim međunarodnim standardom za upravljanje umjetnom inteligencijom, automatski značiti i usklađenost sa zakonskim okvirima poput EU AI Acta.
Međutim, iako ISO 42001 doista pruža snažan organizacijski temelj za odgovorno, transparentno i kontrolirano upravljanje AI sustavima, on ne zamjenjuje pravne obveze koje proizlaze iz EU regulative.
EU AI Act je pravno obvezujući zakon koji propisuje specifične zahtjeve za određene AI sustave uključujući zabrane, stroge obveze za visokorizične sustave i detaljne tehničke, podatkovne i zahtjeve u pogledu transparentnosti koji su izričito definirani u zakonodavnom tekstu .
Iako se ISO/IEC 42001 i EU AI Act međusobno nadopunjuju i ISO može poslužiti kao pomoć pri usklađivanju sa zakonom, između njih postoje važne razlike koje organizacije moraju uzeti u obzir kako ne bi pogrešno zaključile da je certifikat ujedno i dokaz pune zakonske usklađenosti.
Usporedba AI Acta i ISO/IEC 42001
Svrha
AI Act je pravno obvezujući zakon EU-a koji uređuje razvoj, stavljanje na tržište i korištenje AI sustava u EU.
Cilj mu je osigurati sigurnost, zaštitu temeljnih prava, transparentnost, i upravljivost rizicima, te zabraniti određene prakse.
ISO/IEC 42001 je prvi međunarodni standard za AI Management System (AIMS) i daje okvir za upravljanje AI rizicima, transparentnost, odgovornost i integraciju etičkih načela u procese.
Cilj je pomoći organizacijama da održivo i odgovorno upravljaju AI sustavima kroz politiku, procese i kontrole.
Područje primjene
AI Act regulira AI sustave i njihove operatore te ih moraju primijeniti sve organizacije koje stavljaju AI na tržište EU ili ga koriste u EU te nema potpunu tehnološku neutralnost.
ISO/IEC 42001 regulira organizacijske procese upravljanja AI-jem, standard je dobrovoljan te ga može primijeniti bilo koja organizacija koja želi odgovoran AI i ima potpunu tehnološku neutralnost.
Fokus
EU AI Act ima fokus na reguliranju AI sustava prema razini rizika:
- Zabranjene prakse (npr. manipulativni AI, socijalni scoring)
- Visokorizični AI sustavi podliježu najstrožim zahtjevima (npr. AI u zdravstvu, zapošljavanju, kritičnoj infrastrukturi)
- Posebna regulacija za general-purpose AI modele (GPAI), uključujući generativni AI
ISO/IEC 42001 ima fokus na organizaciji, ne na pojedinom AI sustavu:
- Upravljanje rizicima
- Definiranje odgovornosti
- Politike i procedure
- Kvaliteta podataka
- Transparentnost i etičnost
- Kontinuirano poboljšavanje AIMS-a
- Postavlja upravljanje kao proces, bez propisivanja tehničkog dizajna AI sustava
Kontrole
EU AI Act za visokorizične AI sustave zahtijeva:
- Sustav upravljanja rizicima (čl. 9)
- Kvalitetu i upravljanje podacima (čl. 10)
- Tehničku dokumentaciju (čl. 11)
- Vođenje evidencija (čl. 12)
- Transparentnost prema korisnicima (čl. 13)
- Ljudski nadzor (čl. 14)
- Sigurnost, robusnost i kibernetičku sigurnost (čl. 15)
ISO/IEC 42001 zahtijeva implementaciju sustava upravljanja (AIMS) koji uključuje:
- Kontekst organizacije
- Leadership & odgovornosti
- AI risk assessment i impact assessment
- Policije i procedure za AI
- Upravljanje ciklusom razvoja i uporabe AI
- Kontinuirano praćenje i poboljšavanje sustava
- Integracija s drugim ISO standardima (ISO 9001, ISO 27001…)
Sličnosti
I AI Act i ISO/IEC 42001 se bave:
- rizicima,
- transparentnošću,
- odgovornošću,
- upravljanjem podacima,
- ljudskim nadzorom,
- sigurnošću i robusnošću.
- promicanjem trustworthy AI i etičkih načela
ISO/IEC 42001 pomaže organizacijama da lakše ispune zahtjeve AI Acta iako ga ne zamjenjuje.
Međusobno su komplementarna.
Ključne razlike
| EU AI Act | ISO/IEC 42001 | |
| Priroda | Zakon | Standard |
| Razina | Regulira pojedine AI sustave | Regulira organizacijski sustav upravljanja |
| Obveznost | Obvezan u EU | Dobrovoljan globalno |
| Rizik pristup | Kategorizacija AI sustava | Procjena rizika na razini organizacije |
| Cilj | Zaštititi građane i tržište EU | Povećati organizacijsku sposobnost upravljanja AI |
| Kazne | Da | Ne |
Zaključak
Iako se EU AI Act i ISO/IEC 42001 često se spominju u istom kontekstu, no njihova uloga u upravljanju umjetnom inteligencijom bitno je različita.
EU AI Act predstavlja obvezujući zakonski okvir koji regulira AI sustave prema razinama rizika te propisuje jasne zahtjeve, ograničenja i sankcije za neusklađenost. Njegova je svrha zaštititi korisnike, društvo i tržište kroz strogo definirana pravila.
S druge strane, ISO/IEC 42001 donosi organizacijski, upravljački okvir namijenjen poduzećima koja žele uspostaviti odgovoran, siguran i transparentan pristup razvoju i primjeni AI-ja. Standard ne propisuje zakonske obveze, već daje strukturirane smjernice i procese koji pomažu organizacijama da dosljedno upravljaju rizicima i kvalitetom svojih AI sustava.
U kombinaciji, ova dva okvira čine snažnu cjelinu: EU AI Act određuje što mora biti postignuto, dok ISO/IEC 42001 daje smjernice kako to postići kroz sustavno upravljanje, dokumentiranje i kontrolu. Organizacije koje ih promatraju komplementarno mogu istovremeno zadovoljiti regulatorne zahtjeve i izgraditi održiv, pouzdan sustav upravljanja umjetnom inteligencijom.
