Jak otrzymać konkretną wycenę certyfikacji ISO 42001?

Skontaktuj się przez formularz na multicert.pl/kontakt. Bezpłatna analiza potrzeb i pisemna oferta indywidualna w 2 godziny w godzinach pracy. Wycena obejmuje: koszt wstępnego audytu odwzorowującego (jeśli wymagany), audyt Etap 1 + Etap 2, decyzję certyfikacyjną, audyty nadzorcze w cyklu rocznym, ewentualne połączenie z ISO 27001 (audyt zintegrowany).

ISO 42001 i EU AI Act 2026-2027 — wymagania zgodności dla firm wykorzystujących AI

Q: Kiedy obowiązują główne wymagania EU AI Act?

AI Act wszedł w życie 1 sierpnia 2024 r. Harmonogram stosowania: (1) 2 lutego 2025 r. — zakazane praktyki AI (m.in. systemy oceny obywateli, niektóre systemy biometryczne); (2) 2 sierpnia 2025 r. — przepisy o GPAI (General Purpose AI), kary, organy nadzoru; (3) 2 sierpnia 2026 r. — większość przepisów dla systemów AI wysokiego ryzyka i obowiązki przejrzystości; (4) 2 sierpnia 2027 r. — systemy AI wysokiego ryzyka stanowiące komponenty bezpieczeństwa wyrobów.

Q: Czy ISO 42001 jest wymagana przez EU AI Act?

Formalnie — nie. AI Act nie wskazuje konkretnej normy ISO jako warunku zgodności. ISO 42001:2023 jest jednak najczęściej wymienianym standardem dla systemu zarządzania AI w komunikatach Komisji Europejskiej oraz w wytycznych branżowych — jako narzędzie wykazania zgodności z wymaganiami systemu zarządzania ryzykiem AI (artykuł 9 AI Act) oraz wymaganiami zarządzania jakością (artykuł 17 AI Act).

Q: Co obejmuje ISO 42001:2023?

ISO 42001:2023 (Information technology — Artificial intelligence — Management system) jest pierwszym międzynarodowym standardem zarządzania AI. Struktura HLS Annex SL (10 klauzul wspólnych z ISO 9001/14001/27001). Annex A zawiera 38 kontroli pogrupowanych w 9 kategorii: polityki AI, organizacja wewnętrzna, zasoby AI, ocena wpływu AI, cykl życia systemu AI, dane dla systemu AI, informacje dla zainteresowanych stron, używanie systemów AI, relacje z dostawcami AI.

Q: Czym jest system AI wysokiego ryzyka wg AI Act?

AI Act definiuje 8 kategorii systemów wysokiego ryzyka (Załącznik III): biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług publicznych i prywatnych, egzekwowanie prawa, migracja, wymiar sprawiedliwości i procesy demokratyczne. Dodatkowo: systemy AI stanowiące komponent bezpieczeństwa produktów objętych wykazem regulacji UE (Załącznik I — m.in. wyroby medyczne, maszyny, zabawki, dźwigi, RED, zbiorniki ciśnieniowe).

Q: Co napędza koszt audytu ISO 42001?

Liczba systemów AI w zakresie audytu (jeden system a portfel kilku systemów), klasyfikacja ryzyka systemów (ograniczone ryzyko a wysokie ryzyko), liczba pracowników w zakresie AIMS, posiadane wdrożone elementy (ISO 27001, ISO 9001, system zarządzania danymi), branża (sektory regulowane — medyczny, finansowy, rekrutacja — wymagają rozszerzonego audytu), liczba lokalizacji.

Q: Czy są dotacje na certyfikację ISO 42001?

Tak. PARP — Krajowy Fundusz Szkoleniowy (KFS) dofinansowuje szkolenia personelu związane z wdrożeniem AIMS (do 80% kosztu szkoleń). Programy NCBR dotyczące rozwoju i wdrażania technologii AI obejmują wybrane konkursy z możliwością refundacji audytów certyfikacyjnych. FENG 2027 wspiera mikro i małe przedsiębiorstwa technologiczne.

W skrócie · 5wniosków

1EU AI Act (Rozporządzenie 2024/1689) wszedł w życie 1 sierpnia 2024 r. Główne obowiązki obowiązują od 2 lutego 2025 r. (zakazane praktyki) oraz 2 sierpnia 2026 r. (systemy GPAI i systemy wysokiego ryzyka).
2ISO 42001:2023 jest pierwszym międzynarodowym standardem zarządzania sztuczną inteligencją (AI Management System — AIMS). Norma została opublikowana w grudniu 2023 r. i jest stopniowo akceptowana jako narzędzie wykazania zgodności z AI Act.
3Klasyfikacja systemów AI wg AI Act: zakazane (poziom niedozwolony), wysokiego ryzyka, z obowiązkami przejrzystości (ograniczonego ryzyka), minimalnego ryzyka.
4Multicert prowadzi audyt zgodności ISO 42001 we współpracy z partnerską jednostką certyfikującą LL-C (Certification), posiadającą akredytację ANAB (USA). Wycena indywidualna sporządzana pisemnie w 2 godziny w godzinach pracy.
5Termin transpozycji do prawa polskiego wybranych przepisów AI Act — w trakcie procesu legislacyjnego. Wybrane wymagania mają zastosowanie bezpośrednio na mocy rozporządzenia.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji (EU AI Act) jest pierwszym kompleksowym rozporządzeniem regulującym systemy sztucznej inteligencji w Unii Europejskiej. Akt prawny wszedł w życie 1 sierpnia 2024 r., a stosowanie jego przepisów następuje etapami w latach 2025-2027 — szczegółowy harmonogram opublikowała Komisja Europejska w ramach AI Office. Równolegle, w grudniu 2023 r. opublikowano międzynarodowy standard ISO/IEC 42001:2023 dotyczący systemów zarządzania sztuczną inteligencją (AIMS). Niniejszy artykuł porządkuje harmonogram obowiązywania AI Act, omawia rolę ISO 42001 jako narzędzia wykazania zgodności oraz przedstawia model audytu certyfikacyjnego prowadzonego przez Multicert we współpracy z LL-C (Certification) — partnerską jednostką certyfikującą z akredytacją ANAB dla ISO 42001.

Niniejszy artykuł nie zawiera oferty handlowej. Pełna wycena certyfikacji jest sporządzana indywidualnie po analizie zgłoszenia, zgodnie z praktyką branżową wszystkich akredytowanych jednostek certyfikujących.

Harmonogram stosowania EU AI Act

AI Act wprowadza etapowe stosowanie przepisów. Kluczowe daty:

Data	Zakres przepisów wchodzących w życie
1 sierpnia 2024	Wejście w życie rozporządzenia
2 lutego 2025	Zakazane praktyki AI (Tytuł II) — m.in. ocena obywateli (scoring społeczny), manipulacja behawioralna, niektóre systemy biometryczne
2 sierpnia 2025	Przepisy o GPAI (General Purpose AI), powołanie organów nadzoru, kary administracyjne
2 sierpnia 2026	Większość przepisów dla systemów AI wysokiego ryzyka, obowiązki przejrzystości, kodeks praktyk dla GPAI
2 sierpnia 2027	Systemy AI wysokiego ryzyka stanowiące komponent bezpieczeństwa wyrobów objętych wykazem regulacji UE (Załącznik I)

Termin 2 sierpnia 2026 r. jest praktycznie najistotniejszy dla większości firm — od tego dnia obowiązują wymagania techniczne i dokumentacyjne dla systemów wysokiego ryzyka, w tym obowiązek systemu zarządzania ryzykiem (artykuł 9), zarządzania danymi (artykuł 10), dokumentacji technicznej (artykuł 11), nadzoru ludzkiego (artykuł 14), dokładności i bezpieczeństwa cybernetycznego (artykuł 15) oraz systemu zarządzania jakością (artykuł 17).

Klasyfikacja systemów AI wg AI Act

AI Act wprowadza klasyfikację systemów AI w zależności od poziomu ryzyka:

Poziom 1: Zakazane praktyki

Tytuł II AI Act wymienia praktyki AI zakazane na terytorium UE:

Systemy AI wykorzystujące podświadome techniki manipulacji behawioralnej
Systemy wykorzystujące słabości grup szczególnie podatnych
Systemy oceny obywateli (scoring społeczny) przez organy publiczne
Identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych przez organy ścigania (z wyjątkami)
Predykcyjne policyjne analizy ryzyka przestępczego osób
Tworzenie baz rozpoznawania twarzy przez nieukierunkowane pozyskiwanie wizerunków z internetu
Wnioskowanie emocji w miejscu pracy i instytucjach edukacyjnych
Kategoryzacja biometryczna ze względu na cechy chronione

Poziom 2: Systemy wysokiego ryzyka

Załącznik III AI Act wymienia 8 kategorii systemów wysokiego ryzyka:

Biometria — zdalna identyfikacja, kategoryzacja biometryczna, rozpoznawanie emocji
Infrastruktura krytyczna — sieci elektroenergetyczne, woda, gaz, ciepło, transport
Edukacja i szkolenie zawodowe — ocena uczniów, dostęp do instytucji edukacyjnych
Zatrudnienie i zarządzanie pracownikami — rekrutacja, awans, ocena, monitorowanie
Dostęp do usług publicznych i prywatnych — kwalifikacja do świadczeń, ocena zdolności kredytowej, dysponowanie służbami ratunkowymi
Egzekwowanie prawa — ocena ryzyka osób, ocena dowodów, profilowanie kryminalne
Migracja, azyl i kontrola graniczna — ocena ryzyka migracji, weryfikacja dokumentów
Wymiar sprawiedliwości i procesy demokratyczne — wsparcie organu sądowego, wpływ na proces wyborczy

Dodatkowo: systemy AI stanowiące komponent bezpieczeństwa produktów regulowanych w Załączniku I (wyroby medyczne MDR/IVDR, maszyny, zabawki, dźwigi, RED, zbiorniki ciśnieniowe, urządzenia ochrony osobistej).

Systemy wysokiego ryzyka podlegają pełnym wymaganiom AI Act — system zarządzania ryzykiem, jakość danych treningowych, dokumentacja techniczna, rejestracja w bazie UE, oznakowanie CE.

Poziom 3: Obowiązki przejrzystości (ograniczone ryzyko)

Systemy AI generujące treści (chatboty, deepfake, syntetyczna treść) — obowiązek informowania użytkownika, że ma do czynienia z systemem AI lub treścią wygenerowaną przez AI.

Poziom 4: Minimalne ryzyko

Pozostałe systemy AI — bez specyficznych wymagań prawnych z AI Act, ale objęte ogólnymi przepisami (RODO, Ustawa o prawach konsumenta, Ustawa o ochronie konkurencji).

ISO 42001:2023 — pierwszy międzynarodowy standard AIMS

ISO/IEC 42001:2023 (Information technology — Artificial intelligence — Management system) jest pierwszym międzynarodowym standardem dla systemów zarządzania sztuczną inteligencją (AIMS — AI Management System). Norma została opublikowana 18 grudnia 2023 r. i jest dostępna w polskim systemie normalizacyjnym jako PN-ISO/IEC 42001:2024.

Struktura normy zgodna z HLS Annex SL — 10 wspólnych klauzul z innymi normami systemowymi (ISO 9001, ISO 14001, ISO 27001):

Klauzula 4 Kontekst organizacji
Klauzula 5 Przywództwo
Klauzula 6 Planowanie (cele AI, zarządzanie ryzykiem, ocena wpływu)
Klauzula 7 Wsparcie (zasoby, kompetencje, świadomość, dokumentacja)
Klauzula 8 Działania operacyjne (cykl życia systemu AI)
Klauzula 9 Ocena efektów (monitorowanie, audyty, przegląd zarządzania)
Klauzula 10 Doskonalenie

Annex A zawiera 38 kontroli (kontrole zarządzania AI) pogrupowanych w 9 kategorii:

Kategoria	Liczba kontroli	Zakres
A.2 Polityki AI	1	Polityka AI organizacji
A.3 Organizacja wewnętrzna	2	Role, odpowiedzialności AI
A.4 Zasoby AI	5	Identyfikacja zasobów, dokumentacja, narzędzia
A.5 Ocena wpływu AI	4	Ocena wpływu na osoby, środowisko, organizację
A.6 Cykl życia systemu AI	8	Rozwój, walidacja, wdrożenie, monitorowanie, wycofanie
A.7 Dane dla systemu AI	6	Pozyskiwanie, jakość, oznakowanie, prywatność danych
A.8 Informacje dla zainteresowanych stron	4	Informacje dla użytkowników, dostawców, regulatorów
A.9 Używanie systemów AI	3	Polityka, procedury, monitorowanie używania
A.10 Relacje z dostawcami AI	5	Kryteria wyboru, umowy, odpowiedzialności

Odwzorowanie ISO 42001 na EU AI Act

ISO 42001 nie jest formalnie wymagana przez AI Act, ale jej kontrole bezpośrednio wspierają wykazanie zgodności z wieloma artykułami AI Act:

Wymaganie AI Act	Klauzula / kontrola ISO 42001
Art. 9 — System zarządzania ryzykiem	Klauzula 6.1 + A.5 (ocena wpływu AI)
Art. 10 — Zarządzanie danymi i jakość danych	A.7 (dane dla systemu AI)
Art. 11 — Dokumentacja techniczna	Klauzula 7.5 (informacje udokumentowane) + A.4
Art. 12 — Logi (rekordy zdarzeń)	A.6 (cykl życia systemu AI) + A.9
Art. 13 — Przejrzystość i informowanie użytkownika	A.8 (informacje dla zainteresowanych stron)
Art. 14 — Nadzór ludzki	A.6.4 + A.9.2
Art. 15 — Dokładność, solidność i cyberbezpieczeństwo	Klauzula 8 + A.6
Art. 17 — System zarządzania jakością	Cała struktura HLS (klauzule 4-10)
Art. 25 — Obowiązki dostawców systemów AI	A.10 (relacje z dostawcami AI)

Posiadanie wdrożonego ISO 42001 znacząco upraszcza:

Wykazanie zgodności w ramach zewnętrznej oceny wymaganej przez AI Act dla systemów wysokiego ryzyka
Audyty wewnętrzne i przeglądy zgodności
Komunikację z regulatorem (organem nadzoru AI)
Zarządzanie ryzykiem łańcucha dostaw AI (relacje z dostawcami modeli, danych, narzędzi)

Multicert — audyt ISO 42001 we współpracy z LL-C (akredytacja ANAB)

Multicert prowadzi audyty certyfikacyjne ISO 42001:2023 we współpracy z LL-C (Certification) — jednostką certyfikującą z akredytacją ANAB (ANSI National Accreditation Board, USA). ANAB jako pierwszy organ akredytacyjny rozpoczął akredytację jednostek certyfikujących ISO 42001 w 2024 r. — co czyni certyfikat wystawiony przez LL-C jednym z pierwszych formalnie akredytowanych certyfikatów ISO 42001 dostępnych na rynku.

Pełniejsze omówienie procedury: Certyfikacja ISO 42001 z akredytacją ANAB oraz Twoja firma używa AI — czas na ISO 42001.

Co napędza koszt audytu ISO 42001

Wycena każdej jednostki certyfikującej (Multicert, BSI, TÜV, BV) opiera się na pięciu czynnikach:

1. Liczba systemów AI w zakresie audytu

Pojedynczy system AI (np. jeden produkt SaaS z funkcją AI): zakres podstawowy
Portfel kilku systemów (np. firma używa 3-5 narzędzi AI w różnych procesach): zakres rozszerzony
Cała organizacja używająca AI w wielu procesach: pełen zakres AIMS

2. Klasyfikacja ryzyka systemów

Systemy minimalnego ryzyka (chatboty informacyjne, asystenci): zakres podstawowy
Systemy z obowiązkami przejrzystości (deepfake, treści generowane przez AI): zakres rozszerzony
Systemy wysokiego ryzyka (rekrutacja AI, ocena zdolności kredytowej, AI w wyrobach medycznych): pełen zakres z dodatkowym audytem zgodności AI Act

3. Liczba pracowników w zakresie AIMS

Tabela IAF MD 5 reguluje minimalną liczbę dni audytu w zależności od liczby pracowników objętych zakresem AIMS.

4. Posiadane wdrożone elementy

Organizacje posiadające już wdrożone:

ISO 27001 (bezpieczeństwo informacji)
ISO 9001 (zarządzanie jakością)
System zarządzania danymi (nadzór nad danymi)
DPIA dla wybranych procesów (RODO)

…mają krótszy cykl wdrożenia AIMS i niższą wycenę — wiele kontroli Annex A 42001 jest już częściowo wdrożone w ramach innych systemów.

5. Branża i sektory regulowane

Standardowy SaaS B2B: zakres bazowy
AI w sektorze finansowym (DORA, scoring kredytowy): rozszerzony audyt zgodności
AI w sektorze medycznym (MDR, diagnostyka): dodatkowa walidacja zgodności z normami medycznymi
AI w rekrutacji (Załącznik III AI Act, kategoria 4): pełen audyt zgodności AI Act dla systemów wysokiego ryzyka

Procedura uzyskania wyceny

Multicert nie publikuje sztywnego cennika ISO 42001 — formalna wycena wymaga analizy zakresu AIMS, klasyfikacji systemów AI, branży. Praktyczny tryb postępowania:

Zapytanie wstępne przez formularz kontaktowy z podaniem: liczba i typy systemów AI w zakresie, klasyfikacja ryzyka wg AI Act, branża, ewentualne posiadane certyfikacje (ISO 27001, ISO 9001)
Bezpłatna konsultacja — przegląd profilu organizacji, omówienie zakresu AIMS, identyfikacja właściwych kontroli Annex A
Pisemna oferta indywidualna w 2 godziny w godzinach pracy — szczegółowy harmonogram, pełna kalkulacja w 3-letnim cyklu, opcje połączenia z ISO 27001 (audyt zintegrowany)
Decyzja klienta bez zobowiązań

Akredytacja jednostki certyfikującej

Akredytacja w ISO 42001 jest procesem stopniowo rozwijanym przez krajowe organy akredytacyjne. Najszerszy zasięg ma obecnie ANAB (USA) — w jej ramach akredytowana jest jednostka LL-C (Certification), z którą Multicert współpracuje w zakresie ISO 42001. PCA (Polska) i DAkkS (Niemcy) prowadzą prace nad akredytacją krajową dla ISO 42001 (przewidywane uruchomienie w 2026-2027). Status akredytacji konkretnej jednostki dla ISO 42001 jest weryfikowalny w rejestrze odpowiedniego organu akredytacyjnego.

Dotacje publiczne

Część kosztów certyfikacji może podlegać refundacji:

PARP — Krajowy Fundusz Szkoleniowy (KFS): do 80% kosztu szkoleń personelu związanych z wdrożeniem AIMS
Programy NCBR: konkursy dotyczące rozwoju i wdrażania technologii AI z możliwością refundacji audytów certyfikacyjnych
FENG 2027 / Fundusze Europejskie: refundacja kosztu certyfikacji dla mikro i małych przedsiębiorstw technologicznych
Programy regionalne RPO: specjalne wsparcie firm wdrażających AI w wybranych województwach

Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji — bez dodatkowej opłaty.

Podsumowanie

EU AI Act wprowadza kompleksowe wymagania zgodności dla firm wykorzystujących sztuczną inteligencję, z kluczowym terminem 2 sierpnia 2026 r. dla systemów wysokiego ryzyka i obowiązków przejrzystości. ISO 42001:2023 jest pierwszym międzynarodowym standardem AIMS, którego kontrole bezpośrednio wspierają wykazanie zgodności z wieloma artykułami AI Act (system zarządzania ryzykiem, jakość danych, dokumentacja techniczna, nadzór ludzki, system zarządzania jakością). Multicert prowadzi audyty ISO 42001 we współpracy z LL-C (Certification), jednostką z akredytacją ANAB — co umożliwia wystawienie certyfikatów z formalną akredytacją międzynarodową.

Kontakt

Renata Wojnowska · Doradca ds. certyfikacji · +48 730 668 341 · renata.wojnowska@multicert.pl

Pełne informacje: Certyfikacja ISO 42001 w Multicert

Powiązane artykuły:

Najczęstsze pytania

Kiedy obowiązują główne wymagania EU AI Act? +

1.08.2024 wejście w życie; 2.02.2025 zakazane praktyki; 2.08.2025 GPAI i kary; 2.08.2026 systemy wysokiego ryzyka i obowiązki przejrzystości; 2.08.2027 systemy AI w komponentach bezpieczeństwa wyrobów.

Czy ISO 42001 jest wymagana przez EU AI Act? +

Formalnie nie — ale jej kontrole bezpośrednio wspierają wykazanie zgodności z wieloma artykułami AI Act, szczególnie art. 9 (zarządzanie ryzykiem) i art. 17 (system zarządzania jakością).

Co obejmuje ISO 42001:2023? +

Pierwszy międzynarodowy standard zarządzania AI. HLS Annex SL (10 klauzul). Annex A z 38 kontrolami w 9 kategoriach.

Czym jest system AI wysokiego ryzyka wg AI Act? +

8 kategorii Załącznika III: biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług, egzekwowanie prawa, migracja, sprawiedliwość. Plus systemy AI w produktach Załącznika I.

Co napędza koszt audytu ISO 42001? +

Liczba systemów AI, klasyfikacja ryzyka, liczba pracowników, posiadane wdrożone elementy (ISO 27001, ISO 9001), branża i sektory regulowane.

Jak otrzymać konkretną wycenę? +

Formularz kontaktowy multicert.pl/kontakt — pisemna oferta w 2 godziny.

Czy są dotacje na certyfikację ISO 42001? +

Tak — KFS (do 80% kosztu szkoleń), programy NCBR dla AI, FENG 2027, programy regionalne RPO.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 16 kwietnia 2026