ISO/IEC 42001:2023 to pierwsza międzynarodowa norma określająca wymagania dla Systemu Zarządzania Sztuczną Inteligencją (ang. AI Management System, AIMS). Opublikowana w grudniu 2023 roku przez ISO i IEC, norma jest odpowiedzią na rosnące potrzeby organizacji w zakresie odpowiedzialnego, przejrzystego i bezpiecznego wdrażania systemów AI. ISO/IEC 42001 może być stosowana przez każdą organizację — niezależnie od wielkości i branży — która opracowuje, dostarcza lub użytkuje systemy sztucznej inteligencji. W kontekście wchodzącego w życie EU AI Act (Rozporządzenie UE 2024/1689), certyfikacja ISO 42001 stanowi praktyczne narzędzie demonstrowania zgodności z wymogami europejskiego prawa regulującego AI.
Co to jest ISO/IEC 42001 i dlaczego powstała?
Rozwój systemów sztucznej inteligencji stworzył nowe ryzyka: od algorytmicznych uprzedzeń (bias) i naruszenia prywatności, przez brak wyjaśnialności decyzji AI, po zagrożenia dla bezpieczeństwa i praw człowieka. ISO/IEC 42001:2023 dostarcza organizacjom ustrukturyzowanego frameworku do zarządzania tymi ryzykami — analogicznie jak ISO 27001 zarządza ryzykami bezpieczeństwa informacji, a ISO 9001 — ryzykami jakościowymi.
Norma opiera się na strukturze HLS (High Level Structure), co czyni ją w pełni kompatybilną i integrowalną z innymi normami ISO zarządczymi. Oznacza to, że organizacja posiadająca ISO 27001 lub ISO 9001 może stosunkowo sprawnie rozszerzyć swój system zarządzania o wymagania ISO 42001 w ramach Zintegrowanego Systemu Zarządzania (ZSZ).
Kogo dotyczy ISO/IEC 42001?
Norma ma zastosowanie do trzech kategorii organizacji:
- Twórcy AI (AI Developers) — firmy projektujące i budujące systemy AI, algorytmy i modele uczenia maszynowego (startupy AI, działy R&D, firmy technologiczne)
- Dostawcy AI (AI Providers) — organizacje wprowadzające systemy AI na rynek lub udostępniające je jako usługę (SaaS AI, API AI, platformy ML)
- Użytkownicy AI (AI Users/Deployers) — firmy wdrażające i użytkujące systemy AI w swoich procesach biznesowych (np. banki używające AI do oceny kredytowej, szpitale używające AI do diagnozy, firmy produkcyjne używające AI do kontroli jakości)
Zgodnie z EU AI Act, obowiązki dotyczą wszystkich trzech ról — i różnią się zakresem w zależności od poziomu ryzyka systemu AI.
Struktura normy ISO/IEC 42001:2023
ISO/IEC 42001 oparty jest na strukturze HLS z rozdziałami 1–10 identycznymi jak inne normy ISO zarządcze, oraz specyficznymi wymaganiami w rozdziałach 6 i 8 i bogatymi załącznikami normatywnymi i informacyjnymi:
| Rozdział / Załącznik | Zawartość |
|---|---|
| §4 Kontekst organizacji | Rola organizacji w łańcuchu wartości AI, potrzeby stron zainteresowanych, zakres AIMS |
| §5 Przywództwo | Polityka AI, zobowiązania najwyższego kierownictwa, role i odpowiedzialności w AIMS |
| §6 Planowanie | Ocena wpływu systemów AI (AI System Impact Assessment), zarządzanie ryzykiem AI, cele AI |
| §8 Działanie | Cykl życia systemu AI (AI system lifecycle), ocena dostawców AI, zarządzanie danymi AI |
| §9 Ocena wyników | Monitoring, pomiary, audyt wewnętrzny, przegląd zarządzania AIMS |
| §10 Doskonalenie | Niezgodności, działania korygujące, ciągłe doskonalenie AIMS |
| Załącznik A (normatywny) | Kontrole AIMS — 35 kontroli w 9 domenach (cele i polityki AI, zasoby, ocena wpływu, cykl życia AI, …) |
| Załącznik B (informacyjny) | Wytyczne wdrożenia kontroli z Załącznika A |
| Załącznik C (informacyjny) | Uwagi dotyczące przypadków użycia AI dla różnych typów organizacji |
| Załącznik D (informacyjny) | Potencjalne cele organizacyjne i źródła ryzyk związanych z AI |
Kluczowe wymagania specyficzne dla ISO/IEC 42001
1. Polityka AI (AI Policy)
Organizacja musi ustanowić Politykę AI — formalny dokument określający zobowiązania w zakresie odpowiedzialnego opracowywania i użytkowania AI. Polityka powinna adresować m.in.: przejrzystość i wyjaśnialność systemów AI, zarządzanie danymi i ochronę prywatności, odpowiedzialność (accountability) za decyzje AI, nadzór ludzki (human oversight) nad systemami AI, sprawiedliwość i eliminację dyskryminacji algorytmicznej.
2. Ocena Wpływu Systemu AI (AI System Impact Assessment)
Jednym z kluczowych wymagań ISO 42001 (§6.1.4 i Załącznik A §6.1) jest przeprowadzenie oceny wpływu systemu AI — systematycznej analizy potencjalnych pozytywnych i negatywnych skutków wdrożenia systemu AI dla osób, organizacji i społeczeństwa. Ocena powinna obejmować:
- Identyfikację stron zainteresowanych dotkniętych działaniem systemu AI
- Ocenę ryzyk związanych z dyskryminacją, prywatnością, bezpieczeństwem, wyjaśnialnością
- Analizę wpływu na prawa człowieka i wartości etyczne
- Środki kontroli i mitygacji zidentyfikowanych ryzyk
3. Zarządzanie cyklem życia systemu AI
ISO 42001 §8.4 wymaga zarządzania pełnym cyklem życia systemu AI: od specyfikacji wymagań i projektowania, przez tworzenie i testowanie, po wdrożenie, monitoring i wycofanie systemu. Na każdym etapie norma wymaga kontroli pod kątem ryzyk AI, zarządzania danymi treningowymi i testowymi oraz dokumentowania decyzji projektowych.
4. Odpowiedzialne AI — kluczowe zasady
ISO/IEC 42001 formalizuje zasady Odpowiedzialnego AI (Responsible AI), które organizacja powinna wdrożyć:
- Przejrzystość (Transparency) — użytkownicy i osoby dotknięte decyzją AI powinni być informowani, że mają do czynienia z systemem AI i rozumieć podstawę jego decyzji
- Wyjaśnialność (Explainability) — możliwość zrozumienia i wytłumaczenia, dlaczego system AI podjął daną decyzję (szczególnie istotne w systemach wysokiego ryzyka)
- Sprawiedliwość (Fairness) — eliminacja dyskryminacji algorytmicznej i uprzedzeń wynikających z danych treningowych
- Niezawodność i Bezpieczeństwo (Reliability & Safety) — system AI działa zgodnie z przeznaczeniem i nie stwarza nieakceptowalnych ryzyk
- Prywatność (Privacy) — ochrona danych osobowych używanych w systemach AI
- Nadzór Ludzki (Human Oversight) — zachowanie możliwości nadzoru i interwencji człowieka nad decyzjami AI
ISO 42001 a EU AI Act — jak się uzupełniają?
EU AI Act (Rozporządzenie UE 2024/1689), który wchodzi w życie etapami od sierpnia 2024 roku, nakłada obowiązki prawne na twórców, dostawców i użytkowników systemów AI w UE. Kluczowy element to klasyfikacja systemów AI według poziomów ryzyka:
| Poziom ryzyka (EU AI Act) | Przykłady systemów AI | Obowiązki |
|---|---|---|
| Niedopuszczalne (zakaz) | Scoring społeczny przez władze, manipulacja podprogowa, identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej | Zakaz używania od lutego 2025 |
| Wysokie ryzyko | AI w rekrutacji, ocenie kredytowej, systemach medycznych, transporcie autonomicznym, zarządzaniu infrastrukturą krytyczną | Rejestracja w bazie UE, system zarządzania ryzykiem, dane treningowe, dokumentacja, przejrzystość, nadzór ludzki — od sierpnia 2026 |
| Ograniczone ryzyko | Chatboty, deepfake, systemy emocji | Obowiązek informowania użytkownika o interakcji z AI |
| Minimalne ryzyko | Filtry antyspamowe, gry AI, rekomendacje e-commerce | Brak szczególnych obowiązków (dobre praktyki dobrowolne) |
ISO/IEC 42001 dostarcza organizacjom frameworku systemowego do wykazania zgodności z wymaganiami EU AI Act. Certyfikacja ISO 42001 nie jest formalnie wymagana przez EU AI Act jako jedyna ścieżka zgodności, jednak stanowi silny dowód na wdrożenie systemu zarządzania AI spełniającego zasady responsible AI — co może być uznawane przez organy nadzorujące jako element due diligence. Dla systemów wysokiego ryzyka (Annex III EU AI Act) certyfikacja ISO 42001 może być elementem oceny zgodności wymaganej do rejestracji w bazie UE.
ISO 42001 a ISO 27001 — różnice i integracja
Wiele organizacji wdrażających ISO 42001 posiada już certyfikat ISO 27001 (bezpieczeństwo informacji). Choć obie normy dotyczą technologicznych ryzyk, mają różne zakresy:
| Kryterium | ISO 27001 (ISMS) | ISO 42001 (AIMS) |
|---|---|---|
| Główny obszar | Poufność, integralność i dostępność informacji | Odpowiedzialne, przejrzyste i bezpieczne systemy AI |
| Kluczowe ryzyka | Ataki cybernetyczne, wycieki danych, nieautoryzowany dostęp | Bias algorytmiczny, brak wyjaśnialności, naruszenia praw, niezawodność AI |
| Ocena ryzyka | Zasoby informacyjne, zagrożenia, podatności | Systemy AI, ich oddziaływanie na ludzi i społeczeństwo |
| Załącznik A / kontrole | 93 kontrole w 4 tematach (ISO 27001:2022) | 35 kontroli w 9 domenach |
| Integracja HLS | Tak | Tak — oba łatwo integrowalne w ZSZ |
Dla organizacji rozwijających lub używających AI, które posiadają ISO 27001, naturalna jest integracja obu systemów — gdyż systemy AI przetwarzają dane (ryzyko ISMS) i jednocześnie generują ryzyka specyficzne dla AI (ryzyko AIMS). Integracja taka jest możliwa w ramach ZSZ dzięki wspólnej strukturze HLS.
Jak wdrożyć ISO/IEC 42001 — etapy procesu
Proces wdrożenia ISO 42001 przebiega analogicznie do innych norm zarządczych. Szczegółowy opis ogólnego procesu certyfikacji zawiera artykuł certyfikacja ISO krok po kroku.
Etap 1: Inwentaryzacja systemów AI i analiza kontekstu
Pierwszym krokiem jest zidentyfikowanie wszystkich systemów AI opracowywanych, dostarczanych lub użytkowanych przez organizację — wraz z ich przeznaczeniem, danymi wejściowymi i wpływem na decyzje biznesowe. Następnie określa się rolę organizacji w łańcuchu wartości AI (developer/provider/user) i analizuje wymagania stron zainteresowanych (klientów, regulatorów, pracowników).
Etap 2: Ocena wpływu systemów AI (AI System Impact Assessment)
Dla każdego istotnego systemu AI przeprowadzana jest ocena wpływu — identyfikująca ryzyka i szanse związane z jego użytkowaniem. Ocena uwzględnia potencjalne dyskryminacyjne skutki, zagrożenia prywatności, ryzyka bezpieczeństwa i oddziaływania na prawa człowieka.
Etap 3: Dobór i wdrożenie kontroli z Załącznika A
Na podstawie oceny ryzyk i wpływu organizacja wybiera i wdraża odpowiednie kontrole z Załącznika A normy. Wybór kontroli jest dokumentowany w Deklaracji Stosowalności (Statement of Applicability) — analogicznie jak w ISO 27001. Kontrole obejmują m.in.: zarządzanie danymi AI, zarządzanie cyklem życia AI, testowanie i walidację modeli, monitorowanie zachowania AI w produkcji, zarządzanie incydentami AI.
Etap 4: Dokumentacja AIMS i szkolenia
AIMS wymaga dokumentowania: polityki AI, wyników ocen wpływu, procedur zarządzania cyklem życia AI, rejestrów systemów AI, zapisów monitorowania. Pracownicy zaangażowani w tworzenie i użytkowanie AI muszą być przeszkoleni w zakresie wymagań AIMS i zasad Odpowiedzialnego AI.
Etap 5: Audyt wewnętrzny, przegląd i certyfikacja
Po co najmniej 3 miesiącach funkcjonowania AIMS przeprowadza się audyt wewnętrzny i przegląd zarządzania. Audit certyfikacyjny ISO 42001 przebiega dwuetapowo (etap 1: dokumentacja, etap 2: weryfikacja wdrożenia), zgodnie z wymaganiami EN ISO/IEC 17021-1:2015. Więcej o przygotowaniu do auditu: audyt ISO — jak się przygotować?
Korzyści z certyfikacji ISO/IEC 42001
- Demonstracja zgodności z EU AI Act — certyfikat ISO 42001 dokumentuje wdrożenie systemu zarządzania AI spełniającego zasady Responsible AI wymagane przez regulacje europejskie
- Przewaga konkurencyjna — w 2026 roku certyfikacja ISO 42001 jest rzadkością na polskim rynku; organizacje posiadające ten certyfikat są postrzegane jako liderzy w zakresie etycznego i odpowiedzialnego AI
- Zarządzanie reputacją i zaufaniem — certyfikat ISO 42001 sygnalizuje klientom, partnerom i regulatorom, że organizacja traktuje ryzyka AI poważnie
- Ustrukturyzowane zarządzanie ryzykiem AI — zamiast ad hoc reagowania na incydenty AI, organizacja posiada systematyczny framework identyfikacji i mitygacji ryzyk
- Podstawa dla przyszłych regulacji — wdrożenie ISO 42001 teraz buduje gotowość do spełniania przyszłych wymagań regulacyjnych dotyczących AI, które będą zaostrzane
Jak Multicert certyfikuje systemy zarządzania AI wg ISO 42001?
Multicert, jako akredytowana przez PCA jednostka certyfikująca (akredytacja PCA nr AC 170) z doświadczeniem ponad 3000 przeprowadzonych auditów, oferuje organizacjom certyfikację ISO/IEC 42001. Nasi audytorzy łączą kompetencje w zakresie systemów zarządzania z wiedzą o technologiach AI, co gwarantuje rzetelną ocenę AIMS.
Organizacje posiadające ISO 27001 lub ISO 9001 mogą certyfikować ISO 42001 w ramach łączonego auditu — korzystając z synergii wspólnej struktury HLS. Przy wyborze jednostki certyfikującej dla ISO 42001 warto sprawdzić zakres akredytacji i kompetencje audytorów w obszarze AI. Kryteria wyboru opisuje artykuł jak wybrać jednostkę certyfikującą ISO?
Podsumowanie
ISO/IEC 42001:2023 to odpowiedź środowiska normalizacyjnego na wyzwania epoki sztucznej inteligencji. Norma dostarcza organizacjom frameworku do odpowiedzialnego, przejrzystego i bezpiecznego opracowywania i użytkowania systemów AI — zgodnego z zasadami EU AI Act i wartościami etycznymi. W 2026 roku, gdy EU AI Act zaczyna generować konkretne obowiązki dla organizacji korzystających z AI wysokiego ryzyka, certyfikacja ISO 42001 staje się strategicznym narzędziem zarządzania ryzykiem regulacyjnym i budowania zaufania. Skontaktuj się z Multicert, aby ocenić zakres i harmonogram wdrożenia AIMS dla Twojej organizacji.
Najczęściej zadawane pytania o ISO 42001
Czym jest ISO/IEC 42001 i kogo dotyczy?
ISO/IEC 42001:2023 to pierwsza międzynarodowa norma dla Systemów Zarządzania Sztuczną Inteligencją (AIMS), opublikowana w grudniu 2023 roku. Dotyczy organizacji, które opracowują, dostarczają lub użytkują systemy AI — niezależnie od branży i wielkości. Norma opiera się na strukturze HLS, co umożliwia jej integrację z ISO 9001, ISO 27001 i innymi systemami zarządzania.
Czy ISO 42001 jest wymagane przez EU AI Act?
EU AI Act (Rozporządzenie UE 2024/1689) nie wskazuje ISO 42001 jako jedynej ścieżki zgodności, jednak certyfikacja ISO 42001 jest silnym dowodem wdrożenia systemu zarządzania AI spełniającego zasady Responsible AI. Dla systemów AI wysokiego ryzyka (Annex III EU AI Act), które od sierpnia 2026 roku muszą być rejestrowane w bazie UE, certyfikat ISO 42001 może być elementem procesu oceny zgodności.
Czym różni się ISO 42001 od ISO 27001?
ISO 27001 zarządza ryzykami bezpieczeństwa informacji (poufność, integralność, dostępność). ISO 42001 zarządza ryzykami specyficznymi dla systemów AI: dyskryminacją algorytmiczną, brakiem wyjaśnialności, naruszeniami praw człowieka, niezawodnością AI. Obie normy są kompatybilne i integrowalne w ZSZ dzięki wspólnej strukturze HLS.
Co to jest AI System Impact Assessment w ISO 42001?
AI System Impact Assessment (§6.1.4) to systematyczna ocena potencjalnych pozytywnych i negatywnych skutków systemu AI dla osób, organizacji i społeczeństwa. Obejmuje identyfikację ryzyk dyskryminacji, naruszenia prywatności, zagrożeń bezpieczeństwa i wpływu na prawa człowieka — wraz ze środkami mitygacji.
Ile trwa wdrożenie ISO 42001?
Dla organizacji bez żadnego systemu zarządzania: 9–15 miesięcy. Dla organizacji posiadających ISO 27001 lub ISO 9001 (wspólna struktura HLS): 4–8 miesięcy, zależnie od liczby systemów AI i złożoności ich cyklu życia. Jeśli organizacja posiada oba certyfikaty i wdraża ISO 42001 jako rozszerzenie ZSZ, czas może być jeszcze krótszy.
Czy małe firmy używające AI (np. chatbot, rekomendacje) powinny certyfikować ISO 42001?
Certyfikacja ISO 42001 jest dobrowolna. Dla małych firm używających AI minimalnego ryzyka (chatboty, rekomendacje) formalny certyfikat może nie być konieczny — jednak wdrożenie zasad Responsible AI z ISO 42001 jako przewodnika jest dobrą praktyką. Certyfikacja staje się szczególnie istotna, gdy organizacja dostarcza lub użytkuje systemy AI wysokiego ryzyka (rekrutacja, ocena kredytowa, diagnostyka medyczna) lub gdy tego wymagają klienci lub kontrakty.
