Certifikácia ISO 42001: Priebeh a náklady

Certifikácia ISO 42001 je dôkazom, že organizácia prevádzkuje účinný systém manažérstva umelej inteligencie (Artificial Intelligence Management System, AIMS; slovensky systém manažérstva UI) podľa ISO/IEC 42001:2023. Akreditovaný certifikačný orgán preveruje v dvojstupňovom audite, či politiky, procesy, roly, ako aj posúdenia rizík a vplyvov zodpovedajú požiadavkám normy. Certifikát platí tri roky.

Dôležité na úvod: certifikuje sa systém manažérstva, nie jednotlivý systém umelej inteligencie alebo model. Rozšírené tvrdenie „naša umelá inteligencia je certifikovaná podľa ISO 42001" je skrátené až zavádzajúce. Správne je: „AIMS organizácie X je certifikovaný podľa ISO/IEC 42001:2023, s rozsahom pôsobnosti Y (podľa Statement of Applicability verzia Z)."

Tri rýchle odpovede:

• Priebeh: Gap analýza → vybudovanie AIMS (politika, posúdenie rizík a vplyvov, opatrenia podľa Annex A) → operatívna prevádzka s dôkazmi → interný audit + preskúmanie manažmentom → externý audit Stage 1 a Stage 2 → certifikát (3 roky).
• Trvanie: 6-12 mesiacov pri existujúcej ISO 27001/9001, 9-18 mesiacov pri štarte od nuly. Externý Stage 1: 1-3 dni, Stage 2: 3-10 dní.
• Náročnosť: EUR 50k-150k pre deployera zo stredného sektora v regióne DACH (500-2 000 zamestnancov, stav 2026); poradenstvo a vybudovanie sú najväčšou položkou, nie poplatky za audit.

Priebeh certifikácie podrobne

ISO/IEC 42001:2023 nasleduje High-Level Structure podľa Annex SL ako ISO 9001, ISO 14001 a ISO/IEC 27001. Certifikáciu vykonáva akreditovaný certifikačný orgán (Certification Body, CB), ktorý pracuje podľa ISO/IEC 17021-1 a od roku 2025 podľa supplementu špecifického pre umelú inteligenciu ISO/IEC 42006:2025. Priebeh sa člení na prípravnú fázu na strane organizácie a externý audit.

1. Gap analýza (Readiness Assessment)

Začiatok tvorí porovnanie cieľového a aktuálneho stavu oproti normatívnym klauzulám 4 až 10 a Annex A. Pritom sa buduje alebo aktualizuje inventár UI (register agentov/UI), všetky systémy umelej inteligencie v rozsahu sa klasifikujú podľa rizika a vzniká gap report so stupňom závažnosti a zodpovednými osobami. Tento krok trvá typicky 4-8 týždňov.

2. Vybudovanie AIMS

Tu vzniká podstata. Jadrom je politika UI schválená top manažmentom (klauzula 5.2 / Annex A.2.3), doplnená o päť až sedem podporných postupov: manažérstvo rizík UI, posúdenie vplyvov UI, životný cyklus UI, dátová governance pre UI, postup pre dodávateľov a incident response UI. Paralelne sa operatívne implementujú aplikovateľné opatrenia podľa Annex A (9 oblastí kontroly, 38 opatrení) - s osobitným zameraním pre prevádzkovateľov agentov na A.4 (register UI), A.5 (posúdenie vplyvov), A.6.2.8 (event logging), A.7 (proveniencia dát) a A.10 (dodávatelia). Záver tvorí Statement of Applicability (SoA), ktorý každé opatrenie podľa Annex A označuje ako „aplikovateľné" alebo „neaplikovateľné" s odôvodnením založeným na rizikách. SoA je najpreverovanejším dokumentom v audite; jeho verzia a dátum sa referencujú na certifikáte (napríklad SAP SE: SoA v1.4 z 28. júla 2025).

3. Operatívna prevádzka

AIMS musí bežať, nie len byť zdokumentovaný. Pred externým auditom Stage 2 sa očakávajú 3-6 mesiacov dôkazov o operatívnej prevádzke: vyhodnotenia monitoringu, incident logy, dôkazy o zmenách a školeniach, hodnotenia dodávateľov. Najčastejším zistením v Stage 1 je „dokumentácia bez prevádzky" - pekné dokumenty, ale žiadny dôkaz o prevádzke.

4. Interný audit a preskúmanie manažmentom

Klauzula 9.2 vyžaduje interný audit založený na rizikách, ktorý pokrýva všetky klauzuly a aplikovateľné opatrenia podľa Annex A. Pred externým auditom Stage 2 sa očakáva minimálne jeden úplný interný cyklus auditu; interní audítori musia byť nezávislí od preverovaných činností. Následne top manažment vykonáva preskúmanie manažmentom podľa klauzuly 9.3 - s povinnými vstupmi (výsledky auditu, nezhody, dosiahnutie cieľov, spätná väzba zákazníkov) a povinnými výstupmi (rozhodnutia o zlepšení, zmene, zdrojoch). Protokoly sú samy o sebe dôkazom pre audit.

5. Externý audit Stage 1

Certifikačný orgán preveruje prevažne na základe dokumentov, či je dokumentácia AIMS (rozsah, politika, ciele, SoA, metodika rizík, proces posúdenia vplyvov, interný audit, preskúmanie manažmentom) k dispozícii a či je organizácia zrelá na Stage 2. Trvanie v strednom sektore: 1-3 dni. Zistenia sa väčšinou riešia v priebehu niekoľkých dní; väčšie medzery posúvajú Stage 2.

6. Externý audit Stage 2 (hlavný audit)

Operatívny audit sa koná na mieste alebo hybridne. Audítor odoberá vzorky podľa jednotlivých riadkov SoA, robí rozhovory so zodpovednými za opatrenia (top manažment, poverenec pre UI, zodpovední za systémy, data stewards, MLOps líder, poverenec pre ochranu osobných údajov, CISO) a preveruje, či AIMS pracuje účinne. Trvanie: 3-10 dní, škálovaných podľa veľkosti, komplexnosti rozsahu a počtu systémov umelej inteligencie. Zistenia sa klasifikujú ako hlavné nezhody (musia sa uzavrieť pred certifikáciou, typicky do 90 dní), vedľajšie nezhody (plán nápravných opatrení po audite) a možnosti zlepšenia (OFIs).

7. Rozhodnutie o certifikácii

O certifikácii rozhoduje preverovateľ certifikačného orgánu nezávislý od vedúcich audítorov. Platnosť je tri roky.

8. Dozorné audity a recertifikácia

Ročné dozorné audity (surveillance) preverujú s užším rozsahom kľúčové opatrenia, zmeny od posledného auditu, dosiahnutie cieľov a postup nápravných opatrení (typicky 1-4 dni). Na konci trojročného cyklu nasleduje recertifikačný audit, porovnateľný s pôvodným Stage 2, avšak so zápočtom histórie AIMS.

Tabuľka: Fázy, obsah, trvanie

Pozorované rozdelenie náročnosti naprieč klauzulami: klauzula 6 + klauzula 8 + Annex A (jadro rizík, vplyvov a prevádzky) tvoria približne 60 percent, klauzuly 4 + 5 približne 15 percent, klauzula 7 približne 10 percent, klauzuly 9 + 10 približne 15 percent.

Náročnosť, náklady a roly

Rozpätie nákladov silno závisí od východiskovej situácie a rozsahu. Nasledujúce hodnoty (stav 2026, konsolidované zo Schellman, BSI Group, A-LIGN, DNV, Vanta, reconn.io a prípadovej štúdie Modulos, v EUR pre región DACH) sú orientačné veličiny:

Čisté externé poplatky za audit (Stage 1 + Stage 2) sú v strednom sektore na úrovni EUR 20k-60k, pri veľkých podnikoch na úrovni EUR 50k-150k+; na každý dozorný audit pribúda približne 25-40 percent. Najväčšou jednotlivou položkou je spravidla poradenstvo (gap analýza, vybudovanie AIMS, interný audit).

Roly: Ústrednou funkciou je AIMS manažér, respektíve poverenec pre umelú inteligenciu ako vedenie projektu. ISO 42001 nepredpisuje jediný titul „AI Officer"; v stredne veľkých organizáciách v regióne DACH sa rola často kombinuje s CISO alebo poverencom pre ochranu osobných údajov. Ďalej sú zapojení top manažment (zodpovednosť, schvaľovanie politiky a SoA), MLOps líder, produktoví zodpovední za systémy umelej inteligencie, procurement (dodávatelia, A.10.3), ako aj HR/školenia (kompetencia podľa kl. 7.2).

Konkrétny príklad: deployer zo stredného sektora

Stredne veľká firma v regióne DACH s 800 zamestnancami, existujúcou ISO 9001, ale bez ISMS, prevádzkuje päť aplikácií umelej inteligencie (agent pre zákaznícky servis, znalostný asistent, obchodný copilot, interné vyhľadávanie, agent pre HR dokumenty). Pri celkovom rozpočte približne EUR 100k sa náročnosť typicky rozdeľuje takto:

• Gap analýza: 10 % (EUR 10k)
• Vybudovanie politiky a procesov: 25 % (EUR 25k)
• Vybudovanie Annex A (operatívne): 35 % (EUR 35k)
• Interný audit + remediácia: 10 % (EUR 10k)
• Externé poplatky za audit: 15 % (EUR 15k)
• Rezerva: 5 % (EUR 5k)

Odporúčanie pre prvú certifikáciu: zvoliť úzky rozsah („prevádzka agentov UI pre [definovanú množinu funkcií]") a pri recertifikácii ho rozšíriť. Ako výnimka smerom nahor v rýchlosti sa uvádza prípad Xayn (Nemecko), ktorý bol podľa správ od SGS certifikovaný za približne štyri týždne - avšak len preto, že podstata AIMS (politiky, register rizík, preskúmanie životného cyklu, monitoring) bola pred začiatkom projektu už do veľkej miery k dispozícii.

Akreditované orgány v regióne DACH

V regióne DACH sú okrem iného aktívne TÜV SÜD (prvý európsky certifikát ISO 42001, Unique AG, apríl 2025), TÜV Rheinland, TÜV Austria s divíziou TRUSTIFAI, TÜV Nord, DEKRA, DQS, BSI Group, ako aj SGS (prvý nemecký certifikát, Xayn). Akreditačnými orgánmi sú DAkkS (Nemecko), Akkreditierung Austria (Rakúsko) a SAS (Švajčiarsko), vzájomne uznávané cez IAF MLA. Upozornenie k starostlivosti: orgán, ktorý inzeruje „certifikáciu ISO 42001", by mal vedieť preukázať konkrétny rozsah akreditácie a zameranie na ISO/IEC 42006:2025 - akreditácia k stavu 2026 ešte nie je jednotná, niektoré CB pracujú podľa prechodných schém.

Decentné upozornenie: tento príspevok je odbornou orientáciou a nie právnym poradenstvom. Právne pojmy, čísla článkov a lehoty (napríklad k EU AI Act, k posúdeniu vplyvov na ochranu osobných údajov podľa GDPR alebo k posúdeniu vplyvov na základné práva) je v konkrétnom prípade potrebné preveriť s kvalifikovaným právnym poradenstvom.

Pre agentúry a B2B rozhodovateľov

Pre marketingové agentúry a B2B poskytovateľov služieb, ktorí prevádzkujú agentov UI pre zákazníkov, sa certifikácia ISO 42001 čoraz viac stáva obchodným argumentom: certifikát nahrádza časti dotazníkov pre dodávateľov od veľkých enterprise zákazníkov a skracuje predajné cykly. Kto včas certifikuje úzky, dobre zdokumentovaný rozsah, vytvára auditovateľný governance základ, ktorý sa dá neskôr rozšíriť. Blck Alpaca podporuje firmy v regióne DACH pri gap analýze, vybudovaní AIMS a príprave na audit - vecne, orientovane na dôkazy a zamerane na reálnu náročnosť namiesto čistého leštenia dokumentov.