The Thinking Company
Bartek Pucek 2026-02-01

EU AI Act — obowiązki rad nadzorczych: Co muszą wiedzieć dyrektorzy w 2026

Wymogi dotyczące systemów AI wysokiego ryzyka w ramach Rozporządzenia w sprawie AI (EU AI Act, Regulation (EU) 2024/1689) wchodzą w życie w sierpniu 2026 roku. Dla rad nadzorczych i zarządów organizacji, które wdrażają AI w Europie — a dotyczy to większości średnich przedsiębiorstw wykorzystujących AI w HR, scoringu kredytowym, zarządzaniu klientami czy operacyjnym podejmowaniu decyzji — oznacza to zestaw obowiązków nadzorczych, które dwa lata temu nie istniały. Dyrektorzy, którzy się nie przygotowali, narażają się na kary regulacyjne do 35 mln EUR lub 7% globalnego rocznego obrotu oraz odpowiedzialność osobistą na gruncie standardów należytej staranności.

Większość rad nadzorczych w polskich spółkach nie podjęła jeszcze tego tematu. Badanie PwC Annual Corporate Directors Survey z 2025 roku wykazało, że mniej niż 30% europejskich rad nadzorczych omówiło kwestie governance AI w ustrukturyzowanym formacie. Akt o AI zmienia rachunek: governance AI nie jest już perspektywiczną aspiracją. To wymóg regulacyjny z konkretnymi datami egzekucji i karami finansowymi. [Źródło: PwC Annual Corporate Directors Survey 2025; EU AI Act (Regulation (EU) 2024/1689)]

Niniejszy artykuł mapuje konkretne obowiązki rad nadzorczych wynikające z Rozporządzenia w sprawie AI, harmonogram egzekucji, z którym dyrektorzy muszą się zmierzyć, oraz to, jak różne podejścia do governance radzą sobie z gotowością regulacyjną. Opiera się na ramowej ocenie Board AI Governance Evaluation Framework opracowanej przez The Thinking Company oraz na analizie pierwotnej Regulation (EU) 2024/1689. Kontekst pełnej metodologii oceny można znaleźć w artykule Board AI Governance Decision Framework.

Czego wymaga Akt o AI — podsumowanie dla rady nadzorczej

Rozporządzenie w sprawie AI stosuje system klasyfikacji oparty na ryzyku. Nie cała sztuczna inteligencja jest regulowana jednakowo, a rady nadzorcze muszą rozumieć, gdzie systemy AI ich organizacji plasują się na tym spektrum.

Cztery poziomy ryzyka:

Poziom ryzykaCo oznaczaZnaczenie dla rady
NiedopuszczalneZakazane bezwzględnie (scoring społeczny, identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych, manipulacja grupami wrażliwymi)Rada musi potwierdzić, że organizacja nie prowadzi zakazanych systemów
WysokiePodlega ocenie zgodności, zarządzaniu ryzykiem, nadzorowi ludzkiemu, wymogom przejrzystości i prowadzenia dokumentacjiGłówny obszar nadzoru rady — tu koncentruje się większość obowiązków
OgraniczoneWyłącznie wymogi przejrzystości (np. ujawnianie treści generowanych przez AI, interakcje z chatbotami)Rada powinna zweryfikować istnienie polityk przejrzystości
MinimalneBrak szczegółowych wymogówBrak konieczności działań rady poza standardowym nadzorem

Systemy AI wysokiego ryzyka stanowią sedno regulacji. Zgodnie z Załącznikiem III systemy wysokiego ryzyka obejmują AI wykorzystywaną do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną, edukacji i szkolenia zawodowego, zatrudnienia i zarządzania pracownikami, dostępu do usług podstawowych (w tym scoringu kredytowego), egzekwowania prawa, migracji i kontroli granicznej oraz administrowania wymiarem sprawiedliwości i procesami demokratycznymi. Wysoka pewność: Większość średnich organizacji wdrażających AI w obszarze screeningu kadr, oceny zdolności kredytowej czy scoringu ryzyka klienta operuje co najmniej jednym systemem wysokiego ryzyka w rozumieniu tej klasyfikacji.

Rozróżnienie między „dostawcą” a „podmiotem wdrażającym” ma kluczowe znaczenie. Dostawcy budują systemy AI (Artykuły 16-25: oceny zgodności, oznaczenie CE, systemy zarządzania jakością). Podmioty wdrażające korzystają z systemów AI zbudowanych przez innych (Artykuły 26-29: nadzór nad zarządzaniem ryzykiem, nadzór ludzki, zarządzanie danymi, przejrzystość, prowadzenie dokumentacji). Większość rad nadzorczych stoi po stronie podmiotu wdrażającego. Nie zbudowaliście tego systemu AI, ale odpowiadacie za to, jak wasza organizacja go wykorzystuje.

Wymogi wobec podmiotów wdrażających są istotne. Artykuł 26 zobowiązuje podmioty wdrażające systemy AI wysokiego ryzyka do wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewnienia nadzoru ludzkiego przez kompetentne osoby, monitorowania działania systemu i informowania dostawcy o poważnych incydentach. Artykuł 29 zobowiązuje podmioty wdrażające do przeprowadzenia oceny wpływu na prawa podstawowe przed uruchomieniem określonych systemów wysokiego ryzyka. To są mandaty organizacyjne. Wymagają struktur governance, przypisania odpowiedzialności i nadzoru na poziomie rady. [Źródło: EU AI Act, Artykuły 26-29]

Harmonogram egzekucji

Rozporządzenie w sprawie AI weszło w życie 1 sierpnia 2024 roku, ale jego wymogi są wdrażane etapowo przez dwa lata. Dwa terminy już upłynęły. Rady nadzorcze powinny rozumieć, co już obowiązuje i co nadchodzi.

2 lutego 2025 — Zakazane praktyki AI (Artykuł 5) Organizacje musiały zaprzestać wszelkich zakazanych praktyk AI. Dotyczy to systemów scoringu społecznego, manipulacyjnej AI wymierzonej w grupy wrażliwe, nieukierunkowanego pozyskiwania obrazów twarzy do baz rozpoznawania twarzy oraz rozpoznawania emocji w miejscach pracy i instytucjach edukacyjnych (z ograniczonymi wyjątkami). Krajowe organy nadzoru mogą prowadzić postępowania i nakładać kary za zakazane wykorzystanie AI.

2 sierpnia 2025 — Wymogi dla modeli AI ogólnego przeznaczenia i zasady governance Obowiązują wymogi dla modeli AI ogólnego przeznaczenia (Artykuły 51-52). Dotyczy to modeli fundamentalnych i dużych modeli językowych — technologii stojącej za narzędziami takimi jak ChatGPT, Copilot czy Claude, z których wiele organizacji korzysta w codziennej pracy. Struktury governance wymagane przez rozporządzenie, w tym Europejski Urząd ds. AI i krajowe organy właściwe, stają się operacyjne.

2 sierpnia 2026 — Wymogi dla systemów AI wysokiego ryzyka Artykuły 6 do 49 stają się egzekwowalne. To jest data krytyczna. Organizacje wdrażające systemy AI wysokiego ryzyka muszą mieć ukończone oceny zgodności, wdrożone systemy zarządzania ryzykiem, operacyjne mechanizmy nadzoru ludzkiego, spełnione wymogi przejrzystości i dokumentację wystarczającą do audytu regulacyjnego. Krajowe organy nadzoru rynku uzyskują pełne uprawnienia egzekucyjne.

Kontekst polskiej implementacji: Polska, podobnie jak pozostałe państwa członkowskie UE, musi wyznaczyć krajowe organy nadzorcze. Urząd Komunikacji Elektronicznej (UKE) i Urząd Ochrony Danych Osobowych (UODO) są wskazywane jako potencjalni kandydaci do pełnienia tej funkcji, choć ostateczna decyzja wymaga przepisów krajowych. Niezależnie od tego, który organ zostanie wyznaczony, terminy egzekucji wynikające z rozporządzenia unijnego obowiązują bezpośrednio. Rada nadzorcza nie może zakładać opóźnień w polskiej implementacji jako podstawy do przesunięcia własnych przygotowań.

Jak wygląda egzekucja: Każde państwo członkowskie UE wyznacza krajowe organy nadzorcze z uprawnieniami dochodzeniowymi i egzekucyjnymi. Organy te mogą przeprowadzać audyty, żądać dokumentacji, nakazywać działania naprawcze i nakładać kary. Struktura kar jest stopniowana: do 35 mln EUR lub 7% globalnego rocznego obrotu za naruszenia dotyczące zakazanych praktyk AI; do 15 mln EUR lub 3% za pozostałe naruszenia rozporządzenia. Dla organizacji działających w kilku państwach członkowskich UE egzekucja może pochodzić od dowolnego organu krajowego w państwie, w którym system AI jest wdrożony. [Źródło: EU AI Act, Artykuły 99-101]

Pięć konkretnych obowiązków rady nadzorczej

Rozporządzenie w sprawie AI nie posługuje się wprost pojęciem „rady nadzorczej” w swoich wymogach. Mandaty są adresowane do podmiotów wdrażających i dostawców — osób prawnych. Rada nadzorcza — jako organ odpowiedzialny za nadzór nad zgodnością organizacyjną i zarządzanie ryzykiem — ponosi jednak fiducjarną odpowiedzialność za realizację tych mandatów. Oto, co to oznacza w praktyce.

1. Inwentaryzacja i klasyfikacja systemów AI

Wymóg: Zanim organizacja może zapewnić zgodność, musi wiedzieć, czym dysponuje. Rozporządzenie w sprawie AI wymaga od podmiotów wdrażających zrozumienia, które z ich systemów AI podlegają zakresowi rozporządzenia i jak są sklasyfikowane w ramach systemu ryzyka (Artykuły 6-7, Załącznik III).

Rola rady nadzorczej — weryfikacja:

  • Organizacja prowadzi kompletną inwentaryzację systemów AI w użyciu — obejmującą narzędzia dostarczane przez dostawców, wbudowane komponenty AI w oprogramowaniu korporacyjnym i narzędzia AI adoptowane przez pracowników
  • Każdy system został oceniony pod kątem kryteriów klasyfikacji ryzyka określonych w Akcie o AI
  • Decyzje klasyfikacyjne są udokumentowane wraz z uzasadnieniem wystarczającym do przeglądu regulacyjnego
  • Inwentaryzacja jest prowadzona jako dokument żywy, aktualizowany przy nabywaniu lub wdrażaniu nowych systemów AI

Większość organizacji nie jest w stanie odpowiedzieć z przekonaniem na pytanie „jakie systemy AI prowadzimy?”. Shadow AI — pracownicy korzystający z narzędzi AI bez nadzoru organizacyjnego — pogłębia problem. Rada nadzorcza, która nie może potwierdzić istnienia aktualnej, sklasyfikowanej inwentaryzacji AI, nie może twierdzić, że nadzoruje zgodność z Aktem o AI.

2. Nadzór nad zarządzaniem ryzykiem

Wymóg: Artykuł 9 wymaga, aby systemy AI wysokiego ryzyka działały w ramach systemu zarządzania ryzykiem, który identyfikuje i mityguje ryzyka przez cały cykl życia systemu. Dla podmiotów wdrażających oznacza to, że systemy AI wykorzystywane przez organizację mają adekwatne zarządzanie ryzykiem — i że procesy zarządzania ryzykiem organizacji uwzględniają ryzyka specyficzne dla AI.

Rola rady nadzorczej — potwierdzenie:

  • Ryzyko AI jest zintegrowane z korporacyjnym systemem zarządzania ryzykiem organizacji
  • Rada otrzymuje regularne raporty dotyczące ryzyka AI — obejmujące ryzyko modelu, ryzyko danych, ryzyko zgodności i ryzyko operacyjne
  • Apetyt na ryzyko AI jest zdefiniowany na poziomie rady, udokumentowany i zakomunikowany zarządowi
  • Wskazana z imienia osoba lub funkcja raportuje do rady (lub komitetu rady) w zakresie zarządzania ryzykiem AI
  • Oceny ryzyka są przeprowadzane przed wdrożeniem nowych systemów AI wysokiego ryzyka i okresowo przeglądane dla istniejących

Rady nadzorcze, które delegują kwestie AI wyłącznie do CTO lub działu IT, tracą wgląd w ryzyko AI. Zespoły technologiczne oceniają ryzyko techniczne (wydajność modelu, dostępność, jakość danych), ale mają tendencję do niedoszacowywania ryzyk organizacyjnych (niepowodzenie adopcji, ekspozycja etyczna, niezgodność regulacyjna) i ryzyk reputacyjnych. Nadzór nad ryzykiem na poziomie rady wymaga szerszej perspektywy niż ta, którą zapewnia którakolwiek pojedyncza funkcja.

3. Governance nadzoru ludzkiego

Czy rada nadzorcza potrafi odpowiedzieć na pytanie: które decyzje w organizacji system AI może podejmować autonomicznie, które wymagają przeglądu wyniku przez człowieka, a które wymagają zatwierdzenia przez człowieka przed podjęciem działania? Jeśli nie — macie problem z Artykułem 14.

Artykuł 14 wymaga, aby systemy AI wysokiego ryzyka były zaprojektowane tak, by umożliwiać skuteczny nadzór ludzki. Dla podmiotów wdrażających Artykuł 26(2) wymaga, aby nadzór ludzki był wykonywany przez osoby posiadające niezbędne kompetencje, przeszkolenie i uprawnienia. Artykuł 14 tworzy wymóg projektowania organizacyjnego. Ludzie muszą mieć możliwość zrozumienia, interpretacji i nadpisania wyników systemów AI.

Co rada nadzorcza musi zweryfikować:

  • Polityki definiują, które decyzje mogą być zautomatyzowane, które wymagają przeglądu ludzkiego, a które wymagają zatwierdzenia ludzkiego
  • Granice uprawnień decyzyjnych dla systemów AI są udokumentowane — kto może nadpisać rekomendację AI i w jakich okolicznościach
  • Personel pełniący role nadzoru ludzkiego posiada udokumentowane szkolenia i oceny kompetencji
  • Nadzór ludzki nie jest pozorny: osoby przeglądające wyniki AI mają wystarczająco dużo czasu, informacji i uprawnień, by sprawować faktyczny osąd

Zbieżność z RODO Artykuł 22: Dla organizacji przetwarzających dane osobowe w UE, Artykuł 22 RODO (Rozporządzenie o Ochronie Danych Osobowych) daje osobom fizycznym prawo do niepodlegania wyłącznie zautomatyzowanemu podejmowaniu decyzji, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na tę osobę. Rady nadzorcze muszą zweryfikować, że systemy AI podejmujące decyzje dotyczące osób — wnioski kredytowe, screening zatrudnienia, ustalanie cen ubezpieczeniowych — zapewniają rzeczywisty udział człowieka w procesie decyzyjnym. W Polsce UODO aktywnie egzekwuje przepisy RODO; organizacje powinny zakładać, że powiązanie między Artykułem 22 RODO a wymogami Aktu o AI będzie przedmiotem szczególnej uwagi organów nadzoru. [Źródło: RODO, Artykuł 22]

4. Przejrzystość i prowadzenie dokumentacji

Organizacje pozbawione ustrukturyzowanego governance AI wytwarzają rozproszoną, niekompletną dokumentację. Kiedy organ nadzoru zażąda dowodów zgodności, organizacja musi je dostarczyć — i dostarczyć szybko. To jest obszar, w którym governance na papierze rozmija się najwyraźniej z governance w praktyce.

Artykuły 12-13 wymagają, aby systemy AI wysokiego ryzyka generowały logi i aby podmioty wdrażające prowadziły dokumentację wystarczającą do wykazania zgodności. Artykuł 50 nakłada mandaty przejrzystości dla określonych systemów AI (chatboty, deepfake’i, rozpoznawanie emocji). Podmioty wdrażające muszą przechowywać logi generowane przez systemy AI wysokiego ryzyka przez okres odpowiedni do celu systemu i udostępniać je organom nadzoru na żądanie.

Odpowiedzialność rady nadzorczej:

  • Organizacja jest w stanie wykazać, poprzez dokumentację, że wypełniła obowiązki podmiotu wdrażającego wynikające z Aktu o AI
  • Logi systemowe, oceny ryzyka, dokumentacja ocen zgodności i dokumentacja nadzoru ludzkiego są prowadzone w formie podlegającej audytowi
  • Wymogi przejrzystości są wdrożone — użytkownicy wchodzący w interakcję z systemami AI są informowani zgodnie z wymogami Artykułu 50
  • Polityki retencji dokumentacji uwzględniają wymogi Aktu o AI, a nie wyłącznie istniejące harmonogramy retencji danych
  • Dokumenty są dostępne i uporządkowane na wypadek potencjalnej kontroli regulacyjnej

Rada nadzorcza, która zatwierdziła politykę governance AI, ale nie może zweryfikować, że polityka jest wdrożona i udokumentowana, pozostaje eksponowana.

5. Reagowanie na incydenty i raportowanie

System AI, który generuje dyskryminacyjne rekomendacje rekrutacyjne, stanowi incydent governance AI. Wymaga protokołów reagowania, ekspertyzy i kanałów raportowania odmiennych od tych stosowanych przy incydentach cyberbezpieczeństwa. Plany reagowania na incydenty w większości organizacji nie uwzględniają tych trybów awaryjnych specyficznych dla AI.

Artykuł 26(5) zobowiązuje podmioty wdrażające systemy AI wysokiego ryzyka do informowania dostawcy i właściwych organów o poważnych incydentach. Organizacja musi posiadać procesy identyfikacji, kiedy system AI zadziałał wadliwie, wygenerował szkodliwe wyniki lub naruszył parametry zamierzonego użycia — oraz protokoły reagowania, naprawy i raportowania.

Co rada nadzorcza musi zweryfikować:

  • Istnieją protokoły reagowania na incydenty dotyczące awarii systemów AI — obejmujące usterki techniczne, stronnicze lub dyskryminacyjne wyniki, naruszenia danych związane z systemami AI i nieautoryzowane użycie AI
  • Kryteria eskalacji definiują, kiedy incydent AI wymaga powiadomienia rady
  • Uprawnienie do zawieszenia lub wyłączenia systemu AI jest przypisane do wskazanej z imienia roli, z jasnymi kryteriami uzasadniającymi zawieszenie
  • Procesy przeglądu poincydentowego przekazują wnioski z powrotem do systemu zarządzania ryzykiem
  • Obowiązki raportowe wobec organów nadzoru i dostawców systemów AI są zrozumiane, przypisane i przetestowane

Jak poszczególne podejścia do governance radzą sobie z EU AI Act

Stopień przygotowania organizacji zależy w dużej mierze od przyjętego podejścia do governance. Board AI Governance Evaluation Framework opracowany przez The Thinking Company ocenia cztery podejścia pod kątem gotowości do EU AI Act (Czynnik 2, waga 15% wyniku złożonego). Pełna metodologia dostępna jest w artykule Best Approaches to Board AI Governance.

Podejście do governanceWynik gotowości EU AI ActUzasadnienie
Compliance-First4,5 / 5,0Zespoły prawne i praktyki regulacyjne Big 4 dysponują głęboką ekspertyzą w interpretacji regulacyjnej, analizie luk i projektowaniu programów zgodności. Przygotowują rzetelną klasyfikację ryzyka, mapują wymogi przejrzystości, śledzą harmonogramy egzekucji i budują ramy dokumentacyjne. Pod kątem czystej zgodności regulacyjnej to najsilniejsze podejście.
Advisory-Led4,0 / 5,0Skuteczne w przekładaniu wymogów regulacyjnych na ramy governance, które rada nadzorcza jest w stanie nadzorować. Łączy mandaty Aktu o AI z obowiązkami rady i projektuje proporcjonalne programy zgodności. Ocena niższa niż compliance-first, ponieważ kancelarie prawne i praktyki regulacyjne Big 4 dysponują większym zapleczem regulacyjnym i bardziej szczegółową ekspertyzą w interpretacji przepisów.
Technology-Delegated1,5 / 5,0CTO i zespoły IT koncentrują się na zgodności technicznej — logowaniu systemowym, ścieżkach audytowych, dokumentacji modeli — ale brakuje im ekspertyzy prawnej i regulacyjnej do interpretacji mandatów, klasyfikacji poziomów ryzyka czy doradzania radzie w zakresie odpowiedzialności fiducjarnej. Wymogi organizacyjne i governance zostają pominięte.
Ad-Hoc / Reactive1,0 / 5,0Brak przygotowania regulacyjnego. Organizacje dowiadują się o wymogach Aktu o AI, gdy rozpoczyna się egzekucja. Dla organizacji prowadzących działalność w Europie oznacza to istotne ryzyko prawne i finansowe.

[Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0]

Uczciwa ocena jest tutaj uzasadniona. Jeśli zgodność z EU AI Act stanowi jedyny priorytet governance rady, podejścia compliance-first mają rzeczywistą przewagę. Kancelarie prawne i praktyki regulacyjne Big 4 wykonują tę pracę dobrze — robiły to dla RODO, dla DORA, dla MiFID II, a ich metodologia się przenosi. Na polskim rynku działa wiele kancelarii z silną praktyką regulacyjną, które już budują kompetencje w zakresie Aktu o AI. Jeśli jednak zgodność jest jednym z kilku potrzeb governance — obok kompetencji AI rady, strategicznego dopasowania i integracji organizacyjnej — doradztwo advisory-led zapewnia szersze pokrycie.

Board AI Governance Evaluation Framework opracowany przez The Thinking Company waży kompetencje AI rady (15%), gotowość EU AI Act (15%) i integrację organizacyjną (15%) jako trzy najistotniejsze czynniki. Podejście compliance-first uzyskuje 4,5 w czynniku regulacyjnym, ale 2,0 w kompetencjach i 2,0 w integracji. Patrząc na wszystkie 10 ważonych czynników decyzyjnych, podejście advisory-led uzyskuje najwyższy wynik 4,33/5,0, w porównaniu z 2,93/5,0 dla compliance-first.

Pytanie dla rady: czy sama zgodność stanowi adekwatny governance, czy też zgodność jest jednym wymiarem szerszego mandatu governance?

Odpowiedzialność członków rady — kontekst polskiego prawa

Członkowie rad nadzorczych i zarządów ponoszą odpowiedzialność osobistą za zaniedbania w zakresie governance. Standardy należytej staranności wynikające z europejskich kodeksów corporate governance wymagają, aby członkowie rad podejmowali poinformowane decyzje w sprawach istotnych dla organizacji. W miarę jak AI staje się istotna — a Akt o AI czyni argument istotności jednoznacznym poprzez mandaty zgodności i strukturę kar — rady, które nie sprawują nadzoru nad AI, ryzykują spadnięcie poniżej standardu należytej staranności.

Analiza odpowiedzialności obejmuje trzy komponenty.

Po pierwsze — obowiązek staranności na gruncie polskiego prawa. Artykuły 293 i 483 Kodeksu spółek handlowych (KSH) ustanawiają odpowiedzialność członków zarządu i rady nadzorczej za szkodę wyrządzoną spółce działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu — chyba że wykażą brak winy. Nieświadomość istnienia mandatów związanych z AI jest coraz trudniejsza do zakwalifikowania jako działanie bez winy, zwłaszcza po wejściu w życie wymogów Aktu o AI. Warto podkreślić, że od 2022 roku KSH rozszerzył obowiązki rad nadzorczych (nowelizacja KSH wchodząca w życie 13 października 2022) — w tym prawo do żądania informacji od zarządu i wyznaczania doradców rady. Te uprawnienia powinny być aktywnie wykorzystywane w kontekście governance AI. [Źródło: KSH, Artykuły 293, 483; nowelizacja KSH z 2022]

Po drugie — implikacje ubezpieczenia D&O. Część polis może wyłączać lub ograniczać pokrycie w przypadku zaniedbań governance w nowo wyłaniających się obszarach, w których rada nie ustanowiła struktur nadzorczych. Rady powinny przeanalizować swoje polisy D&O pod kątem odpowiedzialności za governance AI i omówić luki w pokryciu z ubezpieczycielem przed sierpniem 2026.

Średnia pewność: Rynek ubezpieczeń D&O dostosowuje się do ryzyka governance AI, a warunki pokrycia znacząco różnią się między ubezpieczycielami i jurysdykcjami. Rady powinny zasięgnąć specjalistycznej porady prawnej dotyczącej swojej pozycji ubezpieczeniowej.

Po trzecie — dodatkowe wymogi sektorowe. Dla organizacji z sektora finansowego DORA (Regulation (EU) 2022/2554) tworzy dodatkowe mandaty na poziomie rady w zakresie zarządzania ryzykiem ICT, które odnoszą się bezpośrednio do systemów AI wykorzystywanych w operacjach finansowych. DORA czyni nadzór rady nad ryzykiem ICT jednoznacznym — rady nadzorcze w sektorze finansowym mają regulacyjny mandat do nadzoru nad ryzykiem technologicznym, które wprowadzają systemy AI. Skrzyżowanie DORA i Aktu o AI tworzy podwójną warstwę odpowiedzialności rad nadzorczych w organizacjach sektora finansowego wdrażających AI. KNF (Komisja Nadzoru Finansowego) już sygnalizuje oczekiwania dotyczące governance AI w nadzorowanych instytucjach — rady nadzorcze spółek finansowych powinny traktować wytyczne KNF jako dodatkowy punkt odniesienia obok samego rozporządzenia. [Źródło: DORA, Regulation (EU) 2022/2554]

Dodatkowy kontekst stanowią Dobre Praktyki Spółek Notowanych na GPW 2021, które w zasadzie 3.7 i 3.8 wskazują na odpowiedzialność rady za nadzór nad zarządzaniem ryzykiem i compliance. Choć dobre praktyki nie tworzą obowiązku prawnego w sensie ścisłym, spółki giełdowe stosują zasadę „comply or explain” — a brak strukturalnego nadzoru nad ryzykiem AI po sierpniu 2026 będzie trudny do wyjaśnienia. [Źródło: Dobre Praktyki Spółek Notowanych na GPW 2021]

Lista kontrolna dla rady: przed sierpniem 2026

Osiem działań, które rady nadzorcze powinny podjąć przed wejściem w życie wymogów dotyczących systemów AI wysokiego ryzyka. Przedstawione w przybliżonej kolejności priorytetowej, choć kilka z nich może przebiegać równolegle.

Fundament: Wiedzieć, co posiadamy

1. Zlecić inwentaryzację systemów AI i sklasyfikować każdy system według poziomu ryzyka Aktu o AI. Zażądać od zarządu sporządzenia kompletnej inwentaryzacji systemów AI, z których korzysta organizacja — obejmującej narzędzia dostarczane przez dostawców, wbudowane AI w oprogramowaniu korporacyjnym i aplikacje AI adoptowane przez pracowników. Dla każdego systemu określić, czy podlega kategorii wysokiego ryzyka zdefiniowanej w Artykule 6 i Załączniku III. Zaangażować kancelarię prawną, jeśli wewnętrzne możliwości klasyfikacji są niewystarczające. Udokumentować uzasadnienie klasyfikacji. Jeśli zarząd nie jest w stanie sporządzić takiej inwentaryzacji, sam ten fakt stanowi ustalenie governance.

2. Ustanowić nadzór nad AI na poziomie rady. Przypisać odpowiedzialność za governance AI do istniejącego komitetu rady (komitet ds. ryzyka lub komitet audytu to naturalne wybory) lub powołać dedykowany komitet ds. governance AI. Zaktualizować zakres kompetencji komitetu o nadzór AI i zdefiniować informacje, których komitet potrzebuje od zarządu.

3. Zdefiniować kadencję raportowania ryzyka AI do rady. Ustanowić kwartalny raport o ryzyku AI dla odpowiedzialnego komitetu rady. Raport powinien obejmować: zmiany w inwentaryzacji systemów AI, aktualizacje klasyfikacji ryzyka, status zgodności z wymogami Aktu o AI, raporty z incydentów i skuteczność nadzoru ludzkiego. Nie akceptować raportowania czysto technicznego — wymagać kontekstu biznesowego i regulacyjnego.

4. Ocenić aktualne luki zgodności. Zlecić ocenę luk porównującą obecne praktyki governance AI organizacji z pięcioma obszarami odpowiedzialności przedstawionymi powyżej (inwentaryzacja, zarządzanie ryzykiem, nadzór ludzki, przejrzystość, reagowanie na incydenty). Priorytetyzować usunięcie luk dotyczących systemów AI wysokiego ryzyka.

Gotowość: Przygotować radę i organizację

5. Opracować program kompetencji AI dla rady. Członkowie rady nadzorczej potrzebują wystarczającego rozumienia AI, by sprawować nadzór. Nie oznacza to szkolenia technicznego. Oznacza ustrukturyzowaną edukację na temat tego, jakie systemy AI organizacja prowadzi, jakie ryzyka niosą i jakie pytania rada powinna zadawać zarządowi. Board Session opracowana przez The Thinking Company została zaprojektowana właśnie w tym celu.

6. Przeanalizować polisę D&O pod kątem governance AI. Zaangażować brokera ubezpieczeniowego organizacji do oceny, czy obecne polisy D&O pokrywają zaniedbania governance AI. Zidentyfikować wyłączenia lub ograniczenia, które mogą pozostawić dyrektorów bez ochrony. Rozwiązać luki w pokryciu przed datą egzekucji.

7. Ustanowić protokoły reagowania na incydenty AI. Opracować lub zaktualizować plany reagowania na incydenty, uwzględniając scenariusze awarii specyficzne dla AI. Zdefiniować kryteria eskalacji, uprawnienia do wyłączenia, obowiązki powiadomienia dostawcy i procedury raportowania do organów nadzoru. Przetestować protokoły poprzez co najmniej jedno ćwiczenie symulacyjne przed sierpniem 2026.

8. Wyznaczyć datę przeglądu przez radę. Zaplanować przegląd gotowości governance AI na poziomie rady nie później niż w II kwartale 2026. Tworzy to rozliczalność i mechanizm wymuszający na zarządzie realizację punktów 1-7.

Następne kroki

Dwa punkty wejścia dla rad nadzorczych, które rozpoznają potrzebę działania. Większość rad nie jest gotowa.

TTC Executive AI Board Session (25 000 PLN). Ustrukturyzowana sesja edukacyjna i oceny governance zaprojektowana dla rad nadzorczych i zarządów organizacji średniej wielkości. Sesja buduje kompetencje AI rady, mapuje ekspozycję organizacji na wymogi Aktu o AI i tworzy plan działań governance, który rada może wdrożyć. To punkt wyjścia dla rad na Etapie 1 lub Etapie 2 w modelu Board AI Governance Maturity Model opracowanym przez The Thinking Company — rad, które wiedzą, że muszą działać, ale nie ustanowiły jeszcze struktur.

AI Governance & Risk Framework (80 000-200 000 PLN). Dla organizacji, które potrzebują kompleksowego zaprojektowania governance — w tym struktur komitetów, ram zarządzania ryzykiem, architektury programu zgodności i protokołów reagowania na incydenty. To zaangażowanie buduje operacyjny model governance, którego wymaga Akt o AI, skalibrowany do portfela AI organizacji i ekspozycji regulacyjnej.

Pełny framework decyzyjny porównujący podejścia do governance AI rady na podstawie wszystkich 10 czynników oceny dostępny jest w artykule Board AI Governance Decision Framework. Bezpośrednie porównanie podejścia advisory-led z compliance-first zawiera artykuł Advisory-Led vs. Compliance-First AI Governance. Ranking wszystkich czterech podejść do governance dostępny jest w artykule Best Approaches to Board AI Governance.

The Thinking Company to firma doradcza specjalizująca się w transformacji AI. Pomagamy radom nadzorczym i zespołom liderskim adoptować AI strategicznie — łącząc gotowość regulacyjną z integracją organizacyjną i kompetencjami AI na poziomie rady. Nasz Board AI Governance Evaluation Framework jest opublikowany w pełnej wersji w Board Buyer’s Guide. Jesteśmy transparentni co do naszej pozycji jako firmy advisory-led i adresujemy nasze strukturalne uprzedzenie poprzez publikację kompletnej metodologii scoringowej.

Analiza regulacyjna w niniejszym artykule opiera się na opublikowanym tekście Rozporządzenia (UE) 2024/1689 (Akt o AI) przyjętego w czerwcu 2024 roku. Wytyczne interpretacyjne ze strony Europejskiego Urzędu ds. AI i krajowych organów nadzoru mogą wpłynąć na stosowanie poszczególnych przepisów. Organizacje powinny zasięgnąć wykwalifikowanej porady prawnej w zakresie zgodności specyficznej dla ich sytuacji i jurysdykcji. W kontekście polskim dotyczy to w szczególności współdziałania Aktu o AI z RODO (egzekwowanym przez UODO), wymogami KSH dotyczącymi odpowiedzialności członków organów spółek oraz — w przypadku sektora finansowego — regulacjami KNF i wymogami DORA.

Ten artykuł został ostatnio zaktualizowany 2026-03-11. Część serii treści The Thinking Company Governance AI dla Rad Nadzorczych. Aby uzyskać spersonalizowaną ocenę, skontaktuj się z naszym zespołem.