Szkolenia ISO/IEC 42001: Przewodnik po systemie zarządzania sztuczną inteligencją

Sztuczna inteligencja przestała być eksperymentalną technologią – jest dziś integralnym elementem procesów biznesowych, systemów rekrutacyjnych, narzędzi medycznych, algorytmów kredytowych i systemów bezpieczeństwa. Wraz z tym rozwojem pojawiły się pytania o odpowiedzialność, przejrzystość i ryzyko: kto odpowiada gdy algorytm podejmie błędną decyzję? Jak zarządzać ryzykiem systemów AI? Jak udowodnić klientom i regulatorom że organizacja korzysta z AI w sposób odpowiedzialny? Odpowiedzią jest ISO/IEC 42001:2023 – pierwsza na świecie międzynarodowa norma certyfikacyjna dla Systemu Zarządzania Sztuczną Inteligencją (AIMS – Artificial Intelligence Management System), opublikowana w grudniu 2023 roku. Szkolenia z ISO/IEC 42001 to jeden z najszybciej rosnących segmentów rynku szkoleń systemów zarządzania w Polsce i na świecie.

Portal centrum.jakosci.pl agreguje oferty od blisko 4000 firm szkoleniowych. Nie jesteśmy jednostką certyfikującą ani nie prowadzimy własnych szkoleń. Naszym celem jest dostarczenie menedżerom ds. AI, specjalistom IT, audytorom i osobom odpowiedzialnym za compliance rzetelnej wiedzy, która pozwoli wybrać właściwe szkolenie ISO/IEC 42001 i skutecznie przygotować organizację do certyfikacji.

ISO/IEC 42001 a AI Act – dwie regulacje, jeden cel

Nie można dziś mówić o ISO/IEC 42001 bez kontekstu rozporządzenia UE o sztucznej inteligencji (AI Act), które wchodzi w życie stopniowo do 2027 roku i jest najobszerniejszą regulacją AI na świecie.

AI Act (Rozporządzenie 2024/1689) klasyfikuje systemy AI według poziomu ryzyka:

• Niedopuszczalne ryzyko – zakazane (np. systemy oceniania społecznego, manipulacja podprogowa)
• Wysokie ryzyko – ścisłe wymogi (systemy w rekrutacji, kredytowaniu, ochronie zdrowia, infrastrukturze krytycznej, edukacji, wymiarze sprawiedliwości)
• Ograniczone ryzyko – obowiązki przejrzystości (chatboty, deepfakes)
• Minimalne ryzyko – bez szczególnych wymagań

ISO/IEC 42001 i AI Act są komplementarne. Komisja Europejska uznaje normy zharmonizowane jako dowód spełnienia wymagań regulacyjnych – wdrożenie ISO/IEC 42001 jest jednym z najskuteczniejszych sposobów wykazania zgodności z AI Act. Organizacje certyfikowane na ISO/IEC 42001 mają znacząco ułatwione wykazanie zgodności z wymaganiami AI Act dla systemów wysokiego ryzyka.

Harmonogram AI Act:

• Od lutego 2025 – zakaz systemów AI niedopuszczalnego ryzyka
• Od sierpnia 2025 – wymagania dotyczące modeli AI ogólnego przeznaczenia (GPAI)
• Od sierpnia 2026 – pełne wymagania dla systemów wysokiego ryzyka
• Od 2027 – wymagania dla systemów AI wbudowanych w produkty regulowane innymi dyrektywami

Czym jest AIMS i co norma ISO/IEC 42001 wymaga

AIMS (Artificial Intelligence Management System) to system zarządzania oparty na strukturze HLS (High Level Structure), co umożliwia integrację z ISO 9001, ISO 27001, ISO 14001 i innymi normami zarządzania.

Kluczowe wymagania normy które obejmują szkolenia:

Kontekst organizacji i klasyfikacja AI (punkt 4): Identyfikacja wszystkich systemów AI stosowanych lub rozwijanych przez organizację, klasyfikacja ich według poziomu ryzyka (własna klasyfikacja normy, zbieżna z AI Act), analiza stron zainteresowanych i ich oczekiwań dotyczących odpowiedzialnego AI.

Polityka AI i cele zarządzania (punkt 5–6): Polityka AI definiująca zasady odpowiedzialnego rozwijania i stosowania systemów AI, cele AIMS i plany ich osiągania, wymagania dotyczące wpływu AI na społeczeństwo i środowisko.

Zarządzanie ryzykiem AI (załącznik C): Norma zawiera obszerny załącznik C poświęcony wyłącznie zarządzaniu ryzykiem systemów AI – znacznie bardziej szczegółowy niż ogólne wymagania punktu 6. Obejmuje identyfikację ryzyk związanych z danymi treningowymi, działaniem modelu, wpływem na osoby, bezpieczeństwem i prywatnością.

Cykl życia systemu AI (punkt 8): Wymagania dotyczące planowania, projektowania, testowania, wdrożenia, monitorowania i wycofania systemu AI. To jeden z najbardziej unikalnych elementów normy – brak odpowiednika w innych normach zarządzania.

Zarządzanie danymi: Jakość danych treningowych i testowych, reprezentatywność zbiorów danych, dokumentowanie pochodzenia danych (data lineage), zapobieganie stronniczości (bias) w danych i modelach.

Przejrzystość i wyjaśnialność (Explainability): Wymagania dotyczące dokumentowania jak systemy AI podejmują decyzje, informowania użytkowników o stosowaniu AI, prawa do wyjaśnienia decyzji algorytmicznych.

Kto powinien certyfikować się na ISO/IEC 42001

Norma adresowana jest do dwóch grup:

Dostawcy systemów AI – firmy rozwijające, trenujące lub wdrażające systemy AI dla klientów. ISO/IEC 42001 staje się dla nich wymogiem rynkowym – podobnie jak ISO 27001 jest dziś standardem oczekiwanym od dostawców usług IT.

Użytkownicy systemów AI – organizacje stosujące gotowe systemy AI (np. narzędzia rekrutacyjne, systemy scoringowe, narzędzia wspierające decyzje medyczne). Norma pomaga zarządzać ryzykiem stosowania AI zewnętrznych dostawców.

Szczególne znaczenie certyfikacja ma dla firm:

• Działających w sektorach regulowanych przez AI Act (finanse, ochrona zdrowia, rekrutacja, edukacja)
• Świadczących usługi dla podmiotów publicznych (przetargi coraz częściej wymagają udokumentowanego zarządzania AI)
• Eksportujących produkty i usługi AI na rynki UE i globalne
• Przetwarzających dane osobowe w systemach AI (AI + RODO = podwójne ryzyko)

Ścieżki szkoleniowe ISO/IEC 42001

1. Wymagania ISO/IEC 42001 – szkolenie wprowadzające

Kurs dla osób chcących zrozumieć normę przed podjęciem decyzji o wdrożeniu.

• Czas trwania: 1–2 dni (8–16 godzin)
• Charakterystyka: Omówienie wszystkich wymagań normy, relacja z AI Act i innymi regulacjami AI, klasyfikacja systemów AI według ryzyka, kluczowe pojęcia (AIMS, dane treningowe, bias, explainability), integracja z innymi systemami zarządzania (ISO 27001, ISO 9001).
• Dla kogo: Menedżerowie IT i AI, dyrektorzy operacyjni, compliance officerowie, prawnicy, osoby odpowiedzialne za wdrożenie AIMS.

2. Pełnomocnik AIMS / Wdrożenie ISO/IEC 42001

Szkolenie dla osoby odpowiedzialnej za wdrożenie i utrzymanie systemu zarządzania AI.

• Czas trwania: 2–3 dni (16–24 godziny)
• Charakterystyka: Budowanie AIMS od podstaw: inwentaryzacja systemów AI, klasyfikacja ryzyka, polityka AI, zarządzanie cyklem życia systemu AI, zarządzanie danymi treningowymi, dokumentacja systemu, przygotowanie do audytu certyfikującego. Warsztaty z analizy ryzyka AI na przykładach branżowych. Integracja AIMS z ISO 27001 – jak uniknąć duplikowania wysiłków.
• Dla kogo: Pełnomocnicy AIMS, menedżerowie ds. AI i danych, Data Scientists z ambicjami zarządczymi, CISO odpowiedzialni za bezpieczeństwo systemów AI.

3. Audytor Wewnętrzny ISO/IEC 42001

Kwalifikacja dla organizacji certyfikowanych lub przygotowujących się do certyfikacji.

• Czas trwania: 2 dni (16 godzin)
• Charakterystyka: Techniki audytowania AIMS – specyfika audytu systemu zarządzania AI różni się od audytu ISO 9001 czy ISO 27001: audytor musi rozumieć jak działają systemy AI, jak ocenić jakość danych treningowych, jak weryfikować mechanizmy wykrywania stronniczości. Warsztaty z planowania audytów, technik wywiadów z data scientists i inżynierami ML, dokumentowania niezgodności.
• Dla kogo: Audytorzy wewnętrzni systemów zarządzania wchodzący w obszar AI, inżynierowie AI zainteresowani audytowaniem.

4. Audytor Wiodący ISO/IEC 42001 (Lead Auditor)

Najwyższy poziom kwalifikacji, przygotowujący do prowadzenia audytów certyfikujących.

• Czas trwania: 5 dni (40 godzin) z egzaminem
• Charakterystyka: Zaawansowane audytowanie AIMS w różnych branżach i kontekstach AI, zarządzanie programem audytów, audytowanie systemów AI wysokiego ryzyka, klasyfikacja niezgodności, relacja AIMS z AI Act i innymi regulacjami. Kursy z akredytacją CQI/IRCA lub PECB są najczęściej wybierane przez kandydatów na audytorów jednostek certyfikujących.
• Dla kogo: Audytorzy zewnętrzni, osoby planujące pracę w jednostkach certyfikujących dla obszaru AI.

Stan certyfikacji ISO/IEC 42001 w Polsce (2026)

ISO/IEC 42001 jest normą nową – opublikowaną w grudniu 2023 roku. W Polsce certyfikacja jest dostępna przez duże jednostki certyfikujące: BSI, SGS, TÜV, Bureau Veritas. Norma ISO/IEC 42006 (wytyczne akredytacyjne dla jednostek certyfikujących ISO/IEC 42001) jest już aktywna – wiele jednostek uzyskało lub jest w trakcie uzyskiwania akredytacji. Pierwsze polskie organizacje z certyfikatem ISO/IEC 42001 pojawiają się w 2025–2026 roku, głównie w sektorze IT, fintech i ochrony zdrowia.

Przewaga pierwszego ruchującego: organizacje które uzyskają certyfikat ISO/IEC 42001 w 2025–2026 będą miały przewagę konkurencyjną przez kolejne 2–3 lata, zanim certyfikacja stanie się standardem rynkowym – tak jak stało się to z ISO 27001.

Jak wybrać odpowiednie szkolenie ISO/IEC 42001

• Aktualność: Norma jest nowa i dynamicznie interpretowana. Sprawdź czy szkolenie uwzględnia aktualne wytyczne AI Act i ich relację z ISO/IEC 42001. Unikaj szkoleń opartych wyłącznie na tekście normy bez kontekstu regulacyjnego.
• Doświadczenie trenera w AI: Audytowanie i wdrażanie AIMS wymaga rozumienia jak działają systemy uczenia maszynowego – trener bez wiedzy technicznej o AI nie jest w stanie przełożyć wymagań normy na praktyczne działania.
• Integracja z ISO 27001: Większość organizacji wdrażających ISO/IEC 42001 ma już ISO 27001. Szkolenie powinno pokazywać jak zintegrować oba systemy i uniknąć duplikowania dokumentacji.