ISO 42001 (systém manažérstva AI)

Čo je ISO/IEC 42001?

ISO/IEC 42001:2023 (Information technology — Artificial intelligence — Management system) je celosvetovo prvá certifikovateľná norma pre systém manažérstva (Management System Standard, MSS) pre umelú inteligenciu. Bola zverejnená v decembri 2023 spoločne organizáciami ISO a IEC v rámci Joint Technical Committee 1, Subcommittee 42 (ISO/IEC JTC 1/SC 42). Norma stanovuje požiadavky na to, aby sa vybudoval, prevádzkoval, udržiaval a neustále zlepšoval systém manažérstva AI — anglicky Artificial Intelligence Management System (AIMS).

Norma je zámerne neutrálna voči odvetviam a rolám: platí pre každú organizáciu akejkoľvek veľkosti, ktorá AI systémy vyvíja, poskytuje alebo nasadzuje. V terminológii ISO sú to predovšetkým „Provider\" (poskytovatelia AI) a „Deployer\" (organizácie, ktoré AI prevádzkujú vo vlastnom podnikaní). Rozhodujúce je vymedzenie: ISO 42001 je norma pre systém manažérstva, nie norma pre produkt. Certifikát potvrdzuje, že policies, procesy, role, hodnotenia rizík a impactu, ako aj lifecycle controls organizácie spĺňajú požiadavky — necertifikuje jednotlivý AI systém, model ani to, že konkrétny AI Agent je „bezpečný\", „férový\" alebo „v súlade s AI Act\". Správna formulácia preto znie: „AIMS organizácie X je certifikovaný podľa ISO/IEC 42001:2023 s rozsahom platnosti Y (podľa Statement of Applicability verzia Z).\"

Rodina ISO 42000 v prehľade

ISO 42001 stojí v centre malej, rýchlo dozrievajúcej rodiny noriem. Dopĺňa nasledujúce štandardy, ale žiadny z nich nenahrádza:

Štrukturálne je vydanie z roku 2023 kompaktným dokumentom s rozsahom približne 40 až 60 očíslovaných strán. Skladá sa z desiatich klauzúl Annex SL (klauzuly 1 až 10), normatívneho Annexu A s AI-špecifickými referenčnými controls, ako aj z troch informatívnych annexov: Annex B (návod na implementáciu Annexu A), Annex C (možné organizačné ciele AI a zdroje rizík) a Annex D (uplatnenie AIMS naprieč doménami a v kombinácii s inými systémami manažérstva).

Štruktúra: Klauzuly 4 až 10

Očíslované klauzuly 4 až 10 tvoria normatívne, certifikovateľné jadro. Ich štruktúra presne sleduje Annex SL — rovnakú high-level štruktúru ako ISO 9001, ISO 14001 alebo ISO/IEC 27001 — ale je dôsledne kvalifikovaná AI-špecifickými aspektmi ako kontinuálne učenie, netransparentnosť, závislosť od dát, autonómia a emergentné správanie.

• Klauzula 4 – Kontext organizácie: interné a externé prostredie (EU AI Act, GDPR, odvetvové povinnosti), zainteresované strany a predovšetkým písomný rozsah platnosti (Scope) AIMS, ktorý audítori doslovne prenášajú do certifikátu.
• Klauzula 5 – Vodcovstvo: zodpovednosť vrcholového manažmentu, dokumentovaná AI policy (5.2), ako aj role a zodpovednosti (5.3). Norma nepredpisuje titul „AI Officer\", v stredne veľkých organizáciách regiónu DACH sa však táto rola často kombinuje s CISO alebo so zodpovednou osobou pre ochranu údajov.
• Klauzula 6 – Plánovanie: ťažisko s 6.1.2 Posúdenie rizík AI, 6.1.3 Ošetrenie rizík AI (výstup: Statement of Applicability) a 6.1.4 Impact-Assessment AI, ako aj s merateľnými cieľmi AI (6.2).
• Klauzula 7 – Podpora: zdroje, kompetentnosť (7.2), awareness, komunikácia a dokumentovaná informácia. Klauzula 7.2 je pri Agent-deploymentoch často slabým miestom a posilňuje ju povinnosť AI-literacy podľa Art. 4 EU AI Act.
• Klauzula 8 – Prevádzka: operatívna realizácia procesov navrhnutých v klauzule 6 — väčšinou najnáročnejšia klauzula z hľadiska preukazovania.
• Klauzula 9 – Hodnotenie výkonnosti: monitoring (9.1), interný audit (9.2) a management-review (9.3) so záväznými vstupmi a výstupmi.
• Klauzula 10 – Zlepšovanie: nezhoda/nápravné opatrenia (10.1) a neustále zlepšovanie (10.2).

Pozorovania z auditnej praxe ukazujú rozdelenie náročnosti: klauzula 6 + klauzula 8 + Annex A tvoria približne 60 percent náročnosti, klauzuly 4 + 5 asi 15 percent, klauzula 7 približne 10 percent, klauzuly 9 + 10 asi 15 percent.

Annex A: 9 domén, 38 controls

Annex A je normatívny prostredníctvom odkazu — organizácie vyberajú controls cez Statement of Applicability — a zahŕňa 38 controls v 9 kontrolných oblastiach (A.2 až A.10). V praxi občas kolujú čísla ako „39\" alebo „42\" controls, resp. „10 domén\"; tie vznikajú v dôsledku odlišných konvencií počítania. Kanonická veľkosť uvádzaná sekretariátom SC 42 a certifikačnými orgánmi je 9 domén / 38 controls. Annex B poskytuje ku každému control (informatívny) návod na implementáciu — je to to, čo audítori čítajú ako prvé, keď chcú vedieť, ako vyzerá „dobré\".

Deväť oblastí v krátkom prehľade:

Tri controls sú pri Agent-deploymentoch mimoriadne náročné na preverenie a zároveň často nedostatočne preukázané: A.6.2.8 (Event-Logging) — Deployeri často protokolujú Tool-Calls, ale nie inputy modelu, reasoning-traces alebo udalosti human-override; A.5.2 až A.5.5 (Impact-Assessment) pre všetkých Agentov, ktorí sa týkajú jednotlivcov alebo skupín; a A.7.5 (Provenance), len čo sa spracúvajú tréningové, fine-tuning alebo retrieval dáta.

Statement of Applicability (SoA)

Statement of Applicability je najčastejšie preverovaný dokument každého auditu ISO 42001 a predpisuje ho klauzula 6.1.3 ako výstup ošetrenia rizík. Každý control z Annexu A musí byť vedený ako „uplatniteľný\" alebo „neuplatniteľný\" — s rizikovo podloženým zdôvodnením pre zahrnutie aj vylúčenie, so stavom implementácie, odkazom na evidenciu a ownerom. SoA je dokonca podľa verzie a dátumu referencovaný priamo na certifikáte: verejný certifikát ISO 42001 spoločnosti SAP SE napríklad odkazuje na Statement of Applicability verzia 1.4 z 28. júla 2025.

Najčastejšie chyby — a teda najčastejšie uvádzaná jednotlivá nonconformity auditnej praxe rokov 2024 až 2026 — sú vylúčenia bez rizikovo podloženého zdôvodnenia, controls označené ako „uplatniteľné\" bez podloženého artefaktu, neudržiavané („statické\") SoA po zmene modelov alebo po nasadení nových Agentov, ako aj zámena role Provider a Deployer.

Certifikácia: Stage 1, Stage 2, dozor

Certifikáciu vykonáva akreditovaný certifikačný orgán (CB) podľa ISO/IEC 17021-1 a AI-špecifického doplnku ISO/IEC 42006:2025. Priebeh sa podobá ISO 27001:

1. Stage 1 (kontrola dokumentácie/readiness): typicky 1 až 3 dni pre stredne veľké podniky.
2. Stage 2 (hlavný audit): audit na mieste alebo hybridný s evidence-samplingom a interview; typicky 3 až 10 dní, škáluje sa podľa veľkosti a scope. Zistenia sa klasifikujú ako Major-/Minor-nonconformity alebo Opportunity for Improvement.
3. Rozhodnutie o certifikácii: vykonáva ho samostatný reviewer. Platnosť tri roky.
4. Dozorné audity: ročne, plus re-certifikačný audit na konci cyklu.

Pred externým auditom Stage 2 sa očakáva aspoň jeden kompletný cyklus interného auditu, ako aj typicky 3 až 6 mesiacov preukázateľnej prevádzky. Najčastejším zistením Stage 1 je „dokumentácia bez prevádzky\" — AIMS sa reálne žil príliš krátko.

Nákladový rámec (DACH, informatívne): pre stredne veľkého Deployera (500 až 2 000 zamestnancov) sa celkové náklady na poradenstvo, audit a interný čas pohybujú okolo EUR 50 000 až 150 000 a 9 až 12 mesiacov; pre koncern so zrelým ISMS okolo EUR 200 000 až 500 000 a 12 až 18 mesiacov. Samotné poplatky za audit Stage 1/Stage 2 sa pre stredne veľké podniky väčšinou pohybujú v rozmedzí EUR 20 000 až 60 000.

Kombinácia s ISO/IEC 27001

Pretože ISO 42001 a ISO/IEC 27001:2022 zdieľajú rovnakú štruktúru Annex SL, dajú sa obe efektívne integrovať. Klauzuly 4 až 10 sú štrukturálne identické; dokumentovaná informácia, interný audit, management-review a manažérstvo dodávateľov sa v praxi vedú spoločne.

Organizácie so zrelým ISO 27001 typicky rozšíria scope ISMS o AI a doplnia AI-špecifické controls z Annexu A. Kombinované externé audity ponúkajú všetky veľké certifikačné orgány a podľa praxe ušetria približne 25 až 30 percent dní auditu Stage 2 oproti paralelným samostatným auditom. V hierarchii governance sedí ISO/IEC 38507:2022 vyššie (rozhodnutie predstavenstva o nasadení AI), zatiaľ čo ISO 31000:2018 a ISO/IEC 23894:2023 poskytujú metodiku rizík.

Vzťah k regiónu DACH a právne zaradenie

V regióne DACH už existuje prvá kohorta verejných certifikátov: Unique AG (Švajčiarsko) bol certifikovaný podľa ISO/IEC 42001 ako prvý európsky podnik (audit vykonal TÜV SÜD, ohlásené v apríli 2025), Xayn (Nemecko) ako prvá nemecká organizácia (audit vykonal SGS) a SAP SE zverejnila verejný certifikát. Aktívnymi orgánmi sú okrem iného TÜV SÜD, TÜV Rheinland, TÜV Austria so svojou divíziou TRUSTIFAI, TÜV Nord, DEKRA, DQS, BSI Group a SGS. Akreditácia prebieha cez DAkkS (Nemecko), Akkreditierung Austria (Rakúsko) a SAS (Švajčiarsko) s krížovým uznaním IAF-MLA. Kupujúci by si mali overiť presný rozsah akreditácie daného CB vrátane zosúladenia s ISO/IEC 42006:2025, keďže trh je v máji 2026 ešte nejednotný.

Dôležité právne upozornenie (informatívne, nie je to právne poradenstvo): ISO 42001 NIE JE harmonizovaná norma EU AI Act a k máju 2026 nebola citovaná v Úradnom vestníku EÚ. Sama osebe nezakladá predpoklad zhody. Harmonizujú sa normy prEN-182xx výboru CEN-CENELEC JTC 21 — najmä prEN 18286 (QMS podľa Art. 17), ktorá bola medzi 30. októbrom a 27. decembrom 2025 vo verejnom prieskume (cieľová dostupnosť pravdepodobne Q4 2026, provizórne). Pragmatická architektúra roku 2026 je preto vrstvená: ISO 42001 ako organizačný AIMS, prEN 18286 ako systémovo zameraný QMS pre regulované vysokorizikové systémy. ISO 42001 sa navyše prekrýva s DPIA podľa GDPR (Art. 35) a s FRIA podľa AI Act (Art. 27); jednotný šablónový impact-assessment je technicky uskutočniteľný, vyžaduje si však právne schválenie, keďže každý nástroj má vlastný zoznam obsahu.

Výhľad a praktické upozornenie

ISO 42001 je certifikovateľná približne 2,5 roka; počet ukončených auditov Stage 2 sa celosvetovo stále pohybuje v nízkych tisíckach, v regióne DACH v desiatkach. Komunita praktikov odhaduje, že menej ako 0,1 percenta organizácií, ktoré celosvetovo využívajú AI, drží certifikát verejne — trh je teda ešte v prvej vlne. Certifikované organizácie hlásia zrýchlené cykly enterprise sales, pretože certifikát nahrádza časti vendor-dotazníkov, ako aj silnejšiu pozíciu v argumentácii AI Act a v poisťovacích kontextoch.

Pre rozhodujúcich predstaviteľov v regióne DACH sa odporúča štíhly prístup k prvej certifikácii s úzkym scope (najprv „prevádzka AI Agentov pre [konkrétnu funkčnú oblasť]\", neskôr rozšírenie scope), ktorý dôsledne nadväzuje na existujúcu infraštruktúru ISMS/QMS. Keďže krajina noriem sa ešte konsoliduje — SC 42 pracuje na ďalších štandardoch, prEN 18286 v roku 2026 zmení stratégiu poskytovateľov — organizácie by mali aktívne sledovať výstupy ISO/IEC SC 42 a CEN-CENELEC JTC 21.