Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

ISO 42001: Průvodce systémem řízení umělé inteligence pro vedení firem

– Vytvořil/a

Olga Pincová

v kategorii

Vaše firma AI používá. Možná jen ChatGPT na texty, možná sofistikovanější nástroje na analýzu dat nebo automatizaci procesů. V obou případech platí stejná otázka: víte, kdo za ty nástroje odpovídá, jaká nesou rizika a jak byste to doložili externímu auditorovi?

Norma ISO/IEC 42001systém řízení umělé inteligence — dává na tuto otázku strukturovanou odpověď. Není to právní povinnost jako AI Act, ale prokazatelný rámec pro každou organizaci, která chce k AI přistupovat řízeně. Co přesně certifikace obnáší, pro koho má smysl a jak implementace vypadá krok za krokem jsme řešili v pátek 10. dubna 2026 na #CyberEdu Konzultační hodině s Tomášem Pokorným, auditorem s více než 25 lety zkušeností s ISO certifikacemi a vy si nyní můžete přečíst naše zápisky, které najdete přímo pod videem.

Jak ISO 42001 vznikla a co zastřešuje

Norma ISO/IEC 42001 prošla prvním draftem v listopadu 2022 a vycházela ze tří zdrojů: rámce amerického NIST, Bidenova nařízení o umělé inteligenci a evropského AI Actu. Je to certifikační norma pro systémy řízení umělé inteligence — stejně jako je ISO 9001 certifikační normou pro kvalitu nebo ISO 27001 pro informační bezpečnost.

Norma zastřešuje celou skupinu ISO norem týkajících se AI, včetně norem na terminologii, strojové učení a řízení rizik. Certifikuje se ale vždy pouze podle 42001 — a právě tato norma bude uvedena na certifikačním listu.

AI Act vs. ISO 42001: Klíčové rozdíly

Obě regulatorní iniciativy se týkají umělé inteligence, ale přistupují k ní zásadně odlišně:

AI Act je evropské nařízení s plnou účinností od roku 2026. Je právně závazný, přináší konkrétní povinnosti pro organizace vyvíjející nebo provozující AI v EU, a za jejich neplnění hrozí sankce. Je zaměřen zejména na ochranu uživatelů a na regulaci vysoce rizikových systémů.

ISO 42001 je mezinárodní norma, která je zcela dobrovolná. Není spojena s žádnými sankcemi. Pokud auditor zjistí nedostatky, certifikační orgán certifikát odebere, ale žádná pokuta nehrozí. Norma je zaměřena na zlepšování a udržování systému řízení AI uvnitř organizace.

Důležité: Certifikace na ISO 42001 automaticky neznamená splnění AI Actu. Stejně jako ISO 27001 neznamená automatické splnění požadavků NÚKIB. Systémové věci budete mít ošetřeny, ale AI Act je v konkrétních oblastech podstatně specifičtější.

VlastnostAI Act (Nařízení EU)ISO 42001 (Norma)
PovahaPrávní regulace (povinnost)Mezinárodní standard (dobrovolnost)
DůrazPrávní compliance, ochrana uživateleManagement systému, zlepšování
SankceVysoké pokuty za nedodrženíOdebrání certifikátu
SpecifičnostVelmi konkrétní požadavky pro rizikové sektoryObecnější rámec aplikovatelný na jakoukoli firmu

Pro koho je ISO 42001 vhodná?

Norma je určena pro všechny organizace, které vyvíjejí, poskytují nebo používají produkty či služby využívající systémy umělé inteligence. To je velmi široká definice — zahrnuje tedy jak vývojáře AI nástrojů, tak firmy, které AI pouze nasazují.

Používáte ChatGPT na tvorbu marketingových materiálů? Certifikovat se nemusíte. Ale pokud chcete zákazníkům nebo partnerům prokázat, že máte práci s AI pod kontrolou, certifikace to elegantně řeší.

Certifikace má smysl zejména tehdy, když:

  • jste součástí dodavatelského řetězce, kde to nadřízená korporace vyžaduje (typicky automobilový průmysl, ale i jiné sektory),
  • pracujete ve vysoce regulovaném prostředí (zdravotnictví, finance, kritická infrastruktura),
  • chcete se na trhu odlišit prokazatelným přístupem k řízení AI.

Výhoda jednotné struktury ISO norem

Norma 42001 sdílí strukturu se všemi moderními ISO normami (9001, 14001, 27001, 45001 aj.). Pokud máte některý z těchto systémů certifikovaný, nemusíte začínat od nuly. Kontext organizace, závazek vedení, interní audity, přezkoumání managementu — to vše již děláte. Stačí doplnit specifické požadavky týkající se AI.

Pro firmy s funkčním ISO 27001 je rozšíření na 42001 přirozeným krokem — řízení rizik, dokumentace, role a odpovědnosti jsou v zásadě totožné, liší se pouze předmět: místo informačních aktiv pracujete s AI a systémy.

Struktura normy krok za krokem

1. Kontext organizace

Prvním krokem je definovat, jakou roli vaše organizace ve světě AI hraje. Jste:

  • poskytovatel platformy (vyvíjíte a prodáváte AI nástroje)?
  • tvůrce a vývojář (trénujete vlastní modely)?
  • uživatel (nasazujete AI nástroje třetích stran)?
  • systémový integrátor nebo poskytovatel dat?

Na základě odpovědi se odvíjí rozsah i náročnost celé implementace. Je také potřeba definovat rozsah použití AI. Certifikovat lze i jen část organizace nebo vybrané procesy.

Norma nově klade důraz i na klimatický dopad AI. Trénování modelů je energeticky náročné, ale AI může naopak snižovat emise eliminací zbytečných cest nebo optimalizací procesů. Toto téma je třeba reflektovat v kontextu organizace, zejména pokud spadáte do nadnárodního koncernu s ESG požadavky.

2. Závazek vedení

Bez skutečného závazku vedení systém nefunguje. To platí u všech ISO norem a u 42001 to není jinak. Vedení musí prokazatelně:

  • stanovit politiku umělé inteligence,
  • zajistit dostatek zdrojů (lidí, financí, technologií),
  • zajistit měřitelné a ověřitelné výstupy procesů.

Politika umělé inteligence je povinný dokument, který musí být komunikován uvnitř organizace a dostupný na vyžádání externím stranám. Nesmí být v rozporu s ostatními politikami organizace — pokud máte ISO 14001, musí být politika AI v souladu s vaší environmentální politikou.

3. Role a odpovědnosti

Podobně jako v ISMS existuje role manažera kybernetické bezpečnosti, v systému řízení AI musí být přiděleny jasné odpovědnosti. Tuto roli může zastávat i stávající manažer kybernetické bezpečnosti s rozšířenou působností. Odpovědnosti zahrnují řízení rizik AI, bezpečnostní dohled, vztahy s dodavateli AI a správu datových zdrojů.

Klíčové je, aby tyto odpovědnosti byly zahrnuty do popisů pracovních funkcí — auditor bude chtít vidět, že se dané oblasti někdo konkrétně věnuje.

4. Řízení rizik AI

Toto je srdce celé normy. Postup je analogický ke správě rizik v ISO 27001:

  1. Registr AI systémů — identifikace všech AI nástrojů, které organizace používá, s určením vlastníků a účelu použití.
  2. Posouzení rizik — identifikace hrozeb, zranitelností a jejich pravděpodobnosti pro každý AI systém.
  3. Ošetření rizik — výběr a implementace opatření; výstupy musí být dokumentovány.
  4. Posouzení dopadu — hodnocení potenciálních důsledků pro organizaci, jednotlivce i společnost.

Praktický příklad z webináře: Trénujete agenta na zpracování životopisů pro HR. Po roce práce zjistíte, že agent uplatňoval diskriminační kritéria, která byste jako člověk nikdy nepoužili, např. věk, pohlaví, původ. Právě toto je typ rizika, které je potřeba identifikovat, posoudit a ošetřit ještě před nasazením.

Jako podpůrný dokument slouží norma ISO/IEC 23894 — metodika pro řízení rizik AI. Zatím je zpracována poměrně obecně, ale rámec je funkční.

5. Prohlášení aplikovatelnosti

Klíčový dokument certifikace — obdoba prohlášení aplikovatelnosti v ISO 27001. Obsahuje přehled kontrolních opatření z přílohy B normy s vyjádřením, která opatření jsou aplikována a proč, případně proč jsou vyloučena. Ne všechna opatření musí platit pro každou organizaci.

6. Zdroje a kompetence

Norma požaduje dokumentaci:

  • datových zdrojů (původ dat, datum poslední aktualizace, kategorie dat — trénovací, validační, produkční, potenciální zkreslení),
  • výpočetních zdrojů (kde systém běží, jaké má cloudové nebo hardwarové požadavky),
  • kompetencí pracovníků (vzdělání, výcvik, zkušenosti osob pracujících s AI).

Povědomí o systému řízení AI musí být zajištěno v celé organizaci — prokazuje se školeními a záznamy o nich.

7. Hodnocení výkonnosti a zlepšování

Struktura je totožná se všemi ostatními ISO normami:

  • Interní audity — prováděné dle plánu, auditorem vyškoleným v ISO 19011 i v dané oblasti AI.
  • Přezkoumání managementu — rozšíření stávajícího přezkoumání o oblast AI; výstupy jsou dokumentovanou informací.
  • Nápravná opatření — záznamy o neshoda a plány na jejich odstranění.

Co musíte mít zdokumentováno?

Auditor při certifikačním auditu bude hledat tyto dokumenty:

  • Rozsah systému řízení AI
  • Politika umělé inteligence
  • Popis rolí a odpovědností (včetně pracovních funkcí)
  • Registr AI systémů/agentů s vlastníky a účelem
  • Výsledky posouzení rizik (identifikace, hodnocení, úroveň rizika)
  • Výsledky ošetření rizik (zvolená opatření, plán implementace)
  • Prohlášení aplikovatelnosti
  • Posouzení dopadu systému AI
  • Cíle systému řízení AI (měřitelné, monitorované, aktualizované)
  • Důkazy o kompetencích pracovníků (certifikáty, záznamy ze školení)
  • Výsledky interních auditů
  • Záznamy z přezkoumání managementu

Dotazy z publika

Jak zavést GitHub Copilot v souladu s normou?

Tomáš Pokorný na webináři ukázal, jak by správné zavedení konkrétního AI nástroje vypadalo v praxi. Postup platí pro jakéhokoli AI agenta:

  1. Zařazení do registru AI — název nástroje, účel použití, vlastník, kdo má přístup.
  2. Risk management — posouzení bezpečnostních rizik (kvalita generovaného kódu, sklon k halucinacím, bezpečnostní vzorce v kódu), právních rizik (licence, open source podmínky), datových rizik (na jakých datech byl model trénován).
  3. Pravidla pro používání — co se nástrojem dělat smí a nesmí, kdo ho smí používat a kdo ne.
  4. Validace výstupů — kdo kontroluje generovaný kód a jak?
  5. Monitoring a KPI — jak poznáte, že nástroj funguje správně?
  6. Soulad s AI policy — nástroj musí zapadat do celkové politiky AI organizace.
  7. Školení uživatelů — záznamy o tom, že pracovníci byli vyškoleni.

Na jaká rizika spojená s AI norma upozorňuje?

Norma explicitně pojmenovává kategorie rizik, které je třeba vzít v potaz:

  • Složité prostředí a nedostatečná transparentnost systémů
  • Kvalita trénovacích dat — špatná data jsou zdrojem rizika (příklad z webináře: data o zákaznících sdílená automobilkami při servisu bez uživatelů to plně vědomí)
  • Technologická připravenost — jak rychle se technologie vyvíjí a jaké to má dopady na provozovaný systém
  • Diskriminace a spravedlnost — automatické rozhodování nesmí být nespravedlivé vůči specifickým skupinám
  • Bezpečnost a ohrožení lidského zdraví — AI v medicíně (diagnostika nádorových onemocnění), v autonomních vozidlech nebo výrobních linkách
  • Kybernetická bezpečnost — zneužití AI pro dezinformace, manipulaci voleb nebo neoprávněný přístup k finančním systémům

Jaký je stav certifikací v ČR a ve světě?

Zahraniční průzkumy tvrdí, že tři čtvrtiny firem plánují certifikaci do dvou let. Realita v Česku je prozatím skromnější — Tomáš Pokorný zná jednotky certifikovaných firem, přičemž impuls zpravidla přichází z nadnárodní korporace jako požadavek pro dodavatele.

Boom certifikací na ISO 42001 v ČR v roce 2025–2026 zatím nepřišel. Norma je ale relativně čerstvá a praxe v certifikačních schématech se teprve ustáluje.

Jak dlouho implementace trvá a co stojí?

Pro firmu s cca 30 zaměstnanci, bez existujícího certifikovaného systému:

  • implementace trvá přibližně 4–6 měsíců,
  • certifikační audit má dva stupně: přezkoumání dokumentace + audit procesů v délce 1–2 dnů.

Pokud firma již má certifikovaný systém (ideálně ISO 27001):

  • implementace lze zkrátit na 2–3 měsíce,
  • z velké části stačí doplnit AI registr, provést analýzu rizik a zpracovat prohlášení aplikovatelnosti.

Po získání certifikátu platí tříletý cyklus: každoroční dohledový audit (třetina systému) a jednou za tři roky recertifikační audit celého systému.

Závěrečné shrnutí: Proč se o ISO 42001 zajímat?

Systém řízení umělé inteligence podle ISO 42001 není vzdušný zámek ani luxus pro velké korporace. Je to praktický manažerský rámec, který firmě pomáhá mít přehled o tom, jaké AI nástroje používá, kdo za ně odpovídá, jaká rizika přinášejí a jak jsou tato rizika ošetřena.

Tomáš Pokorný to výstižně přirovnal k ISO 9001 pro výrobní stroje: místo soustruhů a tlakových nádob spravujete AI agenty — ale principy jsou stejné. Registr, vlastník, rizika, opatření, audit.

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.