Kiedy przeprowadzam audyt gotowości AI Act w firmie, zaczynam zawsze od tego samego pytania: „Pokaż mi listę systemów AI, które używacie.” Odpowiedź prawie zawsze mnie zaskakuje — nie tym, co jest na liście, ale tym, czego na niej brakuje.
TL;DR: Badanie Grant Thornton z marca 2026 roku, obejmujące 950 liderów biznesu z 10 sektorów, pokazuje, że 78% z nich nie ma pewności, czy ich organizacja przejdzie niezależny audyt AI w ciągu 90 dni [Raport branżowy, Grant Thornton, 2026]. Poniżej opisuję pięć luk compliance, które obserwuję niemal w każdej firmie, oraz to, co zrobić zanim termin 2 sierpnia 2026 roku minie — albo zostanie odroczony.
Czym jest audyt gotowości AI Act?
Audyt gotowości AI Act to ustrukturyzowana ocena, czy organizacja spełnia wymagania rozporządzenia (UE) 2024/1689 — powszechnie zwanego AI Act. Przeprowadzam go w kilku etapach: od inwentaryzacji systemów AI, przez klasyfikację ryzyka, po weryfikację dokumentacji i procedur operacyjnych.
Nie chodzi wyłącznie o unikanie kary. Chodzi o to, czy — gdy pojawi się audytor krajowego organu nadzoru — firma jest w stanie udowodnić, że zarządza AI odpowiedzialnie. W Polsce tym organem ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, choć jej szczegółowe kompetencje są nadal doprecyzowywane.
W praktyce ten rodzaj audytu trwa od dwóch do czterech tygodni. Czas zależy od liczby systemów AI w organizacji i dojrzałości istniejącej dokumentacji. Wynikiem jest lista luk z priorytetami: co naprawić natychmiast, co zaplanować na kolejne miesiące.
Kogo dotyczy AI Act i kiedy wchodzą obowiązki?
AI Act dotyczy wszystkich firm, które projektują, wdrażają lub używają systemów AI na terenie Unii Europejskiej. Bez znaczenia jest siedziba firmy — polska, amerykańska, azjatycka. Jeśli system AI oddziałuje na ludzi w UE, firma podlega rozporządzeniu.
Najważniejszy termin to 2 sierpnia 2026 roku. Od tej daty wchodzą w życie wymagania dla systemów AI wysokiego ryzyka — czyli systemów używanych m.in. w rekrutacji i ocenie pracowników, przyznawaniu kredytów, edukacji, identyfikacji biometrycznej i infrastrukturze krytycznej (Aneks III, AI Act).
Sankcje za naruszenia są poważne. Kary za używanie zabronionych systemów AI sięgają 35 mln euro lub 7% globalnego rocznego obrotu — w zależności od tego, która kwota jest wyższa. Za naruszenia związane z systemami wysokiego ryzyka kary wynoszą do 15 mln euro lub 3% obrotu (art. 99, AI Act).
Czy Digital Omnibus odroczy termin — i co to zmienia dla gotowości AI Act?
19 listopada 2025 roku Komisja Europejska opublikowała tzw. Digital AI Omnibus — pakiet legislacyjny proponujący przesunięcie deadline’u dla systemów wysokiego ryzyka z 2 sierpnia 2026 roku na 2 grudnia 2027 roku. Dla firm oznaczałoby to dodatkowe 16 miesięcy na przygotowanie.
Problem w tym, że Omnibus nie jest jeszcze przyjęty. Drugi trilogue między Parlamentem Europejskim, Radą UE i Komisją — przeprowadzony 28 kwietnia 2026 roku — zakończył się bez porozumienia. Kolejna runda negocjacji odbyła się 13 maja 2026 roku i również nie przyniosła konsensusu w kwestii zakresu odroczenia [DLA Piper, 2026].
Moje zalecenie jest jednoznaczne: nie czekaj na Omnibus. Jeśli Digital Omnibus nie wejdzie formalnie w życie przed 2 sierpnia 2026 roku, obowiązujące przepisy AI Act stają się egzekwowalne dokładnie od tej daty. Firma, która wstrzymała przygotowania z powodu „prawdopodobnego odroczenia”, zostaje z nierozwiązanym problemem — ale bez czasu na reakcję. Dlatego ocena gotowości przeprowadzona teraz ma podwójną wartość: porządkuje stan faktyczny niezależnie od ostatecznego terminu.
Co sprawdzam jako pierwsze w audycie gotowości AI Act?
Zaczynam zawsze od inwentaryzacji. Proszę firmę o listę wszystkich narzędzi AI — aplikacji, modeli, API, zintegrowanych funkcji SaaS — używanych w organizacji. To fundament audytu gotowości AI Act. Bez kompletnego rejestru nie można nic klasyfikować ani dokumentować.
Wyniki tego kroku są zazwyczaj zaskakujące. Badanie Purple Book Community z marca 2026 roku — przeprowadzone wśród ponad 650 starszych liderów cybersecurity — pokazuje niepokojący paradoks: 86% firm twierdzi, że posiada kompletny spis narzędzi AI. Jednocześnie 59% z tych samych respondentów przyznaje, że zna obecność niezatwierdzonych narzędzi AI (shadow AI) w swojej organizacji [Raport branżowy, Purple Book Community, 2026]. Matematycznie to niemożliwe — spis albo nie jest kompletny, albo słowo „kompletny” znaczy coś innego niż zakłada compliance.
W praktyce widzę dokładnie ten wzorzec. Pracownicy potrafią wymienić trzy, cztery „oczywiste” systemy AI. Dopiero szczegółowa rozmowa ujawnia kolejne — narzędzia HR, asystentów prawnych, zintegrowane funkcje Copilota w Microsoft 365 czy modele analityczne w systemach ERP. Pisałem o tym szerzej przy okazji analizy agentów AI w organizacji — skala ich faktycznej adopcji często zaskakuje nawet działy IT.
5 luk gotowości AI Act, które widzę w każdym audycie
Na podstawie audytów przeprowadzonych u klientów obserwuję stały wzorzec. Te same luki mają firmy duże i małe, technologiczne i produkcyjne. Są zbieżne z wynikami audytorów opisanymi przez International Association of Privacy Professionals — praktyków, którzy w ciągu ostatniego roku przeprowadzili kilkanaście ocen gotowości dla różnych organizacji [Newsy techniczne, IAPP, 2026].
- Brak pełnej inwentaryzacji systemów AI. Rejestr, który firma ma „na papierze”, nie odzwierciedla rzeczywistości. Shadow AI — niezatwierdzone narzędzia używane przez pracowników — pojawia się w rejestrze dopiero po szczegółowym wywiadzie i mapowaniu procesów biznesowych.
- Brak pisemnej polityki klasyfikacji ryzyka. Firma wie (mniej więcej), że jej system rekrutacyjny pewnie podlega Aneksowi III. Jednak nie istnieje pisemna decyzja: kto tę klasyfikację zatwierdził, kiedy i na jakiej podstawie. Audytor AI Act będzie pytał właśnie o to.
- Niepełna dokumentacja techniczna systemów wysokiego ryzyka. Aneks IV AI Act wymaga szczegółowej dokumentacji: architektury systemu, danych treningowych, metryk wydajności, wyników testów i przeglądów. W praktyce firmy mają fragmenty tej dokumentacji rozproszone po różnych działach — i zazwyczaj nieaktualne.
- Brak udokumentowanego nadzoru ludzkiego. Art. 14 AI Act wymaga, aby systemy wysokiego ryzyka umożliwiały skuteczny nadzór człowieka. Firmy często pokazują strukturę organizacyjną i mówią: „mamy dyrektora ds. AI.” Jednak nie mają protokołów — kto konkretnie, w jakich sytuacjach i w jaki sposób interweniuje.
- Brak procedur zarządzania incydentami AI. Art. 73 AI Act nakłada obowiązek raportowania poważnych incydentów. Większość firm nie ma ani planu eskalacji, ani zdefiniowanego progu „co jest incydentem AI Act”, ani szablonu rejestracji zdarzenia. Pierwsza awaria systemu AI wysokiego ryzyka zastaje je nieprzygotowanymi.
Jak przebiega audyt gotowości AI Act — etapy i czas trwania
Audyt gotowości AI Act strukturyzuję w pięć etapów. Każdy ma konkretny zakres, wymagane wyjście i typową lukę, którą odkrywam. Pełny proces dla średniej organizacji trwa 2–3 tygodnie.
| Etap audytu | Co sprawdzam | Wymaganie AI Act | Typowa luka |
|---|---|---|---|
| 1. Inwentaryzacja AI | Rejestr wszystkich systemów AI — w tym shadow AI | Art. 49: rejestr systemów wysokiego ryzyka | Brak ujęcia niezatwierdzonych narzędzi |
| 2. Klasyfikacja ryzyka | Kwalifikacja systemów do Aneksu III AI Act | Pisemna, zatwierdzona polityka klasyfikacji | Opinie zamiast udokumentowanych decyzji |
| 3. Dokumentacja techniczna | Architektura, dane treningowe, metryki, testy | Aneks IV — pełna dokumentacja techniczna | Fragmentaryczna lub nieaktualna |
| 4. Nadzór ludzki | Protokoły HITL, osoby odpowiedzialne, dowody | Art. 14 — udokumentowany nadzór | Struktury org. zamiast konkretnych procedur |
| 5. Zarządzanie incydentami | Plan eskalacji, progi, szablony logów | Art. 73 — obowiązek raportowania | Brak procedur i szablonów rejestracji |
Największe zaskoczenie dla klientów to zazwyczaj etap trzeci. Dokumentacja techniczna wydaje się prosta — do momentu, gdy zobaczą, co faktycznie wymaga Aneks IV AI Act.
Ile kosztuje compliance z AI Act w 2026 roku?
Koszt compliance z AI Act jest znaczący — ale zdecydowanie niższy niż ewentualna kara lub kryzys reputacyjny. Według danych zebranych przez SQ Magazine na podstawie raportów IDC, Statista i EY, przeciętna firma w różnych sektorach wydaje ok. 5,2 mln dolarów rocznie na compliance AI [Raport branżowy, SQ Magazine / IDC / EY, 2026]. Dla dużych przedsiębiorstw z systemami wymagającymi monitoringu w czasie rzeczywistym koszty mogą sięgać 1,5–3 mln dolarów wyłącznie na infrastrukturę monitoringu.
Dlatego warto zestawić to z ryzykiem. Kara za naruszenie AI Act przez system wysokiego ryzyka wynosi do 15 mln euro lub 3% globalnego obrotu rocznego. Inwestycja w ocenę luk i ich eliminację — przeprowadzona teraz, przed sierpniem 2026 roku — jest wielokrotnie tańsza niż reaktywna praca po wszczęciu postępowania przez organ nadzoru.
Więcej o tym, jak firmy realnie mierzą zwrot z inwestycji w AI, opisałem w artykule o wynikach wdrożeń AI. Compliance AI Act to nierozerwalny element tego rachunku — im wcześniej go zoptymalizujesz, tym lepiej.
Najczęściej zadawane pytania (FAQ)
Czy audyt gotowości AI Act dotyczy mojej firmy, jeśli nie jestem dostawcą AI?
Tak — audyt gotowości AI Act jest równie ważny dla „deployers”, czyli firm, które używają systemów AI dostarczonych przez innych. Jeśli używasz systemu AI do rekrutacji, oceny kredytowej lub identyfikacji biometrycznej, podlegasz obowiązkom AI Act niezależnie od tego, kto ten system zbudował. Obowiązki deployera obejmują m.in. dokumentację nadzoru, zarządzanie incydentami i zgodność z instrukcjami producenta systemu.
Co się stanie, jeśli Digital Omnibus zostanie przyjęty i termin zostanie przesunięty?
Nawet jeśli Omnibus przesunie deadline na 2 grudnia 2027 roku, firmy, które przeprowadziły audyt gotowości AI Act i zidentyfikowały luki, zyskują kilkanaście miesięcy na ich spokojne naprawienie. Firmy, które czekały, muszą zacząć od zera — zazwyczaj pod presją czasu i z wyższymi kosztami zewnętrznymi. Odroczenie to czas buforowy, a nie zwolnienie z obowiązku compliance AI Act.
Ile trwa audyt gotowości AI Act w małej firmie?
W firmie do 50 osób, która nie używa systemów AI wysokiego ryzyka z Aneksu III, ocena gotowości trwa od kilku dni do dwóch tygodni. Większość czasu zajmuje zebranie dokumentacji — nie jej analiza. W firmach z kilkoma systemami wysokiego ryzyka czas wydłuża się do 3–6 tygodni, zależnie od dojrzałości procesów IT i kompletności dokumentacji technicznej.
Jakie są pierwsze kroki po przeprowadzeniu audytu gotowości AI Act?
Po audycie rekomenduje się trzy priorytetowe działania: uzupełnienie rejestru systemów AI o niezatwierdzone narzędzia, sformalizowanie pisemnej polityki klasyfikacji ryzyka oraz wyznaczenie konkretnych osób odpowiedzialnych za nadzór z udokumentowanymi procedurami interwencji. Te trzy kroki eliminują najczęstsze luki compliance AI Act i stanowią fundament dalszej pracy dokumentacyjnej.
O mnie
Michał Pisańczuk — przez ponad 20 lat łączę technologię z biznesem: od architektury systemów IT po strategie cyfrowej transformacji. Od 4 lat specjalizuję się w AI — wdrożeniach modeli LLM, audytach gotowości i szkoleniach dla firm. Jako CEO i CTO w PCSiD prowadzę projekty wdrożeniowe dla przedsiębiorstw i instytucji publicznych. Edukuję też na YouTube — tłumaczę AI bez technicznego żargonu, żeby menedżerowie i właściciele firm podejmowali lepsze decyzje.
Źródła
- Grant Thornton (2026, marzec). 2026 AI Impact Survey Report. Grant Thornton. https://www.grantthornton.com/services/advisory-services/artificial-intelligence/2026-ai-impact-survey [dostęp: 2026-05-11]
- Purple Book Community (2026, marzec). The State of AI Risk Management in 2026. eSecurity Planet. https://www.esecurityplanet.com/artificial-intelligence/the-state-of-ai-risk-management-in-2026-reveals-a-growing-confidence-gap/ [dostęp: 2026-05-11]
- DLA Piper (2026). The Digital AI Omnibus: Proposed deferral of high risk AI obligations under the AI Act. DLA Piper GENIE. https://knowledge.dlapiper.com/ [dostęp: 2026-05-11]
- Holland & Knight (2026, kwiecień). U.S. Companies Face EU AI Act’s Possible August 2026 Compliance Deadline. Holland & Knight Insights. https://www.hklaw.com/en/insights/publications/2026/04/ [dostęp: 2026-05-11]
- IAPP (2026). EU AI Act deployer evidence gaps SMEs will miss before 2 Aug. 2026. International Association of Privacy Professionals. https://iapp.org/news/a/eu-ai-act-deployer-evidence-gaps-smes-will-miss-before-2-aug-2026 [dostęp: 2026-05-11]
- SQ Magazine (2026). AI Compliance Cost Statistics 2026: How to Cut Costs Without Risk. SQ Magazine (na podstawie IDC, Statista, EY). https://sqmagazine.co.uk/ai-compliance-cost-statistics/ [dostęp: 2026-05-11]
- European Commission (2024). Regulation (EU) 2024/1689 on Artificial Intelligence (AI Act). Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2024/1689/oj