icon icon

Kurs AI Act, ISO 27001, ISO 42001 i SZBI (ISMS) w praktyce – regulacje, elementy systemu i wdrożenie

icon

Proces szkoleniowy

Analiza potrzeb szkoleniowych

Jeśli masz życzenie dotyczące programu szkolenia, przeprowadzimy dla Ciebie analizę potrzeb szkoleniowych, która będzie wskazówką dla nas, na jakie aspekty programu położyć większy nacisk – tak, by program szkolenia spełniał konkretne potrzeby.

Co zyskujesz?

icon

Połączysz AI i bezpieczeństwo - Uporządkujesz, jak połączyć zarządzanie bezpieczeństwem IT i AI w jednym modelu działania, dzięki czemu łatwiej przypiszesz odpowiedzialności, procesy i priorytety w organizacji.

icon

Zrozumiesz wymagania regulacyjne - Przełożysz wymagania AI Act, NIS2, KSC, ISO 27001 i ISO 42001 na konkretne obowiązki biznesowe, aby szybciej ocenić wpływ regulacji na Twoją organizację i projekty.

icon

Zbudujesz obraz kompletnego SZBI - Poznasz elementy skutecznego SZBI, od polityk i ryzyka po dostęp, incydenty oraz BCP/DR, dzięki czemu łatwiej zaplanujesz spójny system zamiast działań prowadzonych osobno.

icon

Uporządkujesz governance AI - Nauczysz się klasyfikować systemy AI według ryzyka, nadzorować modele i rozpoznawać zagrożenia związane z danymi, LLM oraz promptami, aby bezpieczniej wdrażać rozwiązania AI.

icon

Doprecyzujesz role i odpowiedzialności - Zobaczysz, jak rozdzielić zadania między CISO, DPO i AI Governance Lead oraz jak zbudować czytelną macierz RACI, by ograniczyć luki odpowiedzialności i chaos decyzyjny.

icon

Lepiej ocenisz ryzyka i incydenty - Przećwiczysz identyfikację ryzyk IT i AI, dobór metod oceny oraz planowanie działań zabezpieczających, co pomoże Ci sprawniej reagować na incydenty i scenariusze kryzysowe.

icon

Przygotujesz realny plan wdrożenia - Dowiesz się, jak wykonać gap analysis, ustalić priorytety, stworzyć roadmapę i przygotować dokumentację, aby przejść od wymagań compliance do uporządkowanego wdrożenia.

icon

Ocenisz dojrzałość swojej organizacji - Podczas warsztatu przeanalizujesz poziom dojrzałości, kluczowe braki i ryzyka w swoim środowisku, a następnie przygotujesz wstępną mapę działań dopasowaną do realiów firmy.

Program szkolenia

1. Aktualny krajobraz regulacyjny: AI Act, NIS2/KSC, RODO i standardy ISO

  • AI Act jako kluczowa regulacja dotycząca sztucznej inteligencji w Unii Europejskiej,
  • aktualny harmonogram wdrażania AI Act:
    • wejście w życie AI Act,
    • zakazane praktyki AI,
    • obowiązki w zakresie AI literacy,
    • obowiązki dotyczące modeli ogólnego przeznaczenia / GPAI,
    • stosowanie większości przepisów od 2 sierpnia 2026 r.,
    • okresy przejściowe dla wybranych systemów wysokiego ryzyka,
  • NIS2 i nowelizacja Krajowego Systemu Cyberbezpieczeństwa – wpływ na organizacje,
  • RODO, ochrona danych osobowych i prywatność w projektach AI,
  • ISO 27001 jako fundament systemu zarządzania bezpieczeństwem informacji,
  • ISO 42001 jako standard systemu zarządzania sztuczną inteligencją / AIMS,
  • powiązania między AI Act, ISO 27001, ISO 42001, SZBI/ISMS, DORA, CRA, Data Act i innymi regulacjami,
  • jak podejść do zgodności regulacyjnej w sposób praktyczny, a nie wyłącznie formalny.

2. AI Act w praktyce – obowiązki organizacji korzystających z AI

  • kogo dotyczą przepisy AI Act: dostawcy, wdrażający, importerzy, dystrybutorzy i użytkownicy systemów AI,
  • rola organizacji jako deployera, użytkownika lub dostawcy systemu AI,
  • podejście oparte na ryzyku – klasyfikacja systemów AI:
    • systemy o niedopuszczalnym ryzyku,
    • systemy wysokiego ryzyka,
    • systemy ograniczonego ryzyka,
    • systemy minimalnego ryzyka,
  • przykłady systemów wysokiego ryzyka w HR, edukacji, finansach, usługach publicznych, infrastrukturze krytycznej i bezpieczeństwie,
  • obowiązki w zakresie nadzoru człowieka nad systemami AI,
  • dokumentacja, instrukcje użycia, rejestry systemów AI i monitoring po wdrożeniu,
  • transparentność i informowanie użytkowników o wykorzystaniu AI,
  • AI literacy – obowiązek rozwijania kompetencji osób korzystających z AI,
  • odpowiedzialność organizacji za decyzje wspierane lub automatyzowane przez AI,
  • przygotowanie organizacji do audytu zgodności z AI Act.

3. ISO 27001 i SZBI/ISMS – systemowe zarządzanie bezpieczeństwem informacji

  • czym jest SZBI/ISMS i jaką rolę pełni w organizacji,
  • struktura ISO 27001 i podejście procesowe,
  • kontekst organizacji, interesariusze i zakres SZBI,
  • polityka bezpieczeństwa informacji,
  • role, odpowiedzialności i przywództwo w systemie zarządzania bezpieczeństwem informacji,
  • zarządzanie aktywami informacyjnymi,
  • klasyfikacja informacji i zasady postępowania z danymi,
  • zarządzanie ryzykiem bezpieczeństwa informacji,
  • dobór zabezpieczeń organizacyjnych, technicznych i fizycznych,
  • monitorowanie, pomiar, audyty wewnętrzne i doskonalenie SZBI,
  • integracja ISO 27001 z wymaganiami AI Act, NIS2/KSC i ISO 42001.

4. ISO 42001 – system zarządzania sztuczną inteligencją / AIMS

  • czym jest ISO 42001 i dlaczego jest ważne dla organizacji wykorzystujących AI,
  • AIMS – Artificial Intelligence Management System jako uzupełnienie SZBI/ISMS,
  • zakres systemu zarządzania AI w organizacji,
  • polityka AI i cele zarządzania sztuczną inteligencją,
  • role i odpowiedzialności w systemie AI governance,
  • zarządzanie ryzykiem i szansami związanymi z AI,
  • ocena wpływu systemów AI na organizację, użytkowników i interesariuszy,
  • nadzór nad cyklem życia systemów AI: projektowanie, zakup, wdrożenie, używanie, monitoring i wycofanie,
  • transparentność, wyjaśnialność, jakość danych i odpowiedzialność,
  • nadzór nad dostawcami rozwiązań AI,
  • powiązanie ISO 42001 z wymaganiami AI Act,
  • jak połączyć AIMS z istniejącym SZBI opartym o ISO 27001.

5. Integracja SZBI/ISMS z AI governance

  • dlaczego samo ISO 27001 nie wystarcza przy wdrażaniu AI,
  • jak rozszerzyć istniejący system bezpieczeństwa informacji o komponent AI governance,
  • wspólne elementy ISO 27001 i ISO 42001:
    • zarządzanie ryzykiem,
    • polityki i procedury,
    • role i odpowiedzialności,
    • audyty,
    • monitorowanie,
    • doskonalenie,
    • dokumentacja,
  • różnice między bezpieczeństwem informacji a zarządzaniem AI,
  • jak zbudować spójny model zarządzania: compliance, IT, bezpieczeństwo, DPO, HR, biznes i zarząd,
  • rejestr systemów AI i rejestr ryzyk AI,
  • proces akceptacji nowych narzędzi AI w organizacji,
  • kryteria dopuszczenia narzędzi generatywnej AI do użytku służbowego,
  • model odpowiedzialności za AI w organizacji.

6. Cyberbezpieczeństwo AI i nowe ryzyka technologiczne

  • zagrożenia wynikające z korzystania z narzędzi generatywnej AI,
  • prompt injection – ryzyko manipulacji poleceniami i odpowiedziami modeli,
  • Data leakage – wycieki danych przez publiczne i niekontrolowane narzędzia AI,
  • Shadow AI – nieautoryzowane korzystanie z AI przez pracowników,
  • Phishing, spear phishing i socjotechnika wspierana przez AI,
  • Deepfake, voice cloning i fałszywe treści generowane przez AI,
  • ryzyka związane z agentami AI i automatyzacją działań,
  • ataki na modele AI: poisoning, evasion, model extraction, jailbreak,
  • ryzyka integracji AI z pocztą, CRM, ERP, dokumentami, repozytoriami kodu i bazami wiedzy,
  • bezpieczeństwo danych treningowych, danych wejściowych i danych wyjściowych,
  • jak uwzględnić ryzyka AI w analizie ryzyka SZBI/ISMS,
  • mechanizmy kontrolne ograniczające ryzyka generatywnej AI.

7. Dane, RODO i poufność informacji w projektach AI

  • dane osobowe, dane wrażliwe, dane poufne i tajemnica przedsiębiorstwa w kontekście AI,
  • czego nie należy przekazywać do publicznych narzędzi AI,
  • minimalizacja danych i privacy by design,
  • anonimizacja i pseudonimizacja danych przed użyciem AI,
  • profilowanie i automatyczne podejmowanie decyzji,
  • ocena skutków dla ochrony danych / DPIA w projektach AI,
  • AI a prawa osób fizycznych,
  • relacja między DPO, działem IT, compliance i właścicielem procesu biznesowego,
  • zarządzanie danymi w całym cyklu życia systemu AI,
  • praktyczne przykłady naruszeń związanych z nieprawidłowym wykorzystaniem AI.

8. NIS2/KSC i odporność cyberbezpieczeństwa organizacji

  • najważniejsze założenia NIS2 i ich wpływ na organizacje,
  • nowelizacja KSC jako wdrożenie wymagań NIS2 w polskim porządku prawnym,
  • podmioty kluczowe i ważne – znaczenie klasyfikacji organizacji,
  • obowiązki organizacyjne i techniczne w zakresie cyberbezpieczeństwa,
  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • zarządzanie incydentami i obowiązki raportowe,
  • bezpieczeństwo łańcucha dostaw i dostawców usług ICT,
  • ciągłość działania, odporność operacyjna i reagowanie na incydenty,
  • rola SZBI/ISMS w przygotowaniu organizacji do wymagań NIS2/KSC,
  • jak uwzględnić ryzyka AI w programie cyberodporności organizacji.

9. Dokumentacja, polityki i procedury AI oraz bezpieczeństwa informacji

  • jakie dokumenty warto posiadać w organizacji korzystającej z AI,
  • polityka korzystania z AI,
  • polityka bezpieczeństwa informacji,
  • procedura akceptacji narzędzi AI,
  • rejestr systemów AI,
  • rejestr ryzyk AI i ryzyk bezpieczeństwa informacji,
  • instrukcje dla użytkowników narzędzi AI,
  • zasady korzystania z danych w promptach,
  • procedura reagowania na incydenty związane z AI,
  • procedura nadzoru nad dostawcami AI,
  • dokumentacja zgodności z AI Act, ISO 27001 i ISO 42001,
  • przygotowanie organizacji do kontroli, audytu lub przeglądu zgodności.

10. Role i odpowiedzialności: CISO, DPO, compliance, IT, biznes i AI Governance Lead

  • podział odpowiedzialności za AI i bezpieczeństwo informacji w organizacji,
  • rola zarządu i kadry kierowniczej,
  • rola CISO w kontekście AI, SZBI i cyberbezpieczeństwa,
  • rola DPO w projektach AI i ocenie skutków dla ochrony danych,
  • rola compliance w ocenie zgodności z AI Act,
  • rola IT w zarządzaniu narzędziami, dostępami i bezpieczeństwem integracji,
  • rola HR w AI literacy i zarządzaniu kompetencjami,
  • AI Governance Lead / AI Officer – kiedy warto powołać taką funkcję,
  • model współpracy między działami,
  • komitet AI / AI Governance Board – zadania, skład i sposób działania.

11. Audyt, monitorowanie i ciągłe doskonalenie

  • audyt zgodności z AI Act,
  • audyt SZBI/ISMS w kontekście ISO 27001,
  • audyt systemu zarządzania AI w kontekście ISO 42001,
  • jak przygotować organizację do audytu wewnętrznego i zewnętrznego,
  • kryteria oceny skuteczności zabezpieczeń,
  • monitorowanie działania systemów AI po wdrożeniu,
  • ocena jakości, bezpieczeństwa i zgodności odpowiedzi generowanych przez AI,
  • zarządzanie zmianą w systemach AI,
  • przeglądy okresowe rejestru systemów AI i rejestru ryzyk,
  • wskaźniki skuteczności AI governance i SZBI,
  • ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji i AI.

12. Warsztat praktyczny – mapa zgodności, ryzyk i działań wdrożeniowych

  • analiza przykładowego przypadku użycia AI w organizacji,
  • klasyfikacja systemu AI według AI Act,
  • identyfikacja danych przetwarzanych przez system,
  • ocena ryzyk prawnych, organizacyjnych, technologicznych i reputacyjnych,
  • powiązanie ryzyk AI z SZBI/ISMS,
  • dobór zabezpieczeń i mechanizmów kontrolnych,
  • określenie wymaganej dokumentacji,
  • przygotowanie rekomendacji wdrożeniowych,
  • opracowanie krótkiej mapy działań dla organizacji:
    • inwentaryzacja narzędzi AI,
    • klasyfikacja systemów AI,
    • ocena ryzyk,
    • aktualizacja polityk,
    • szkolenia AI literacy,
    • wdrożenie rejestru AI,
    • przygotowanie do audytu,
    • integracja ISO 27001 i ISO 42001.

13. Podsumowanie i rekomendacje dla organizacji

  • najważniejsze obowiązki wynikające z AI Act, NIS2/KSC, ISO 27001 i ISO 42001,
  • najczęstsze błędy organizacji wdrażających AI,
  • jak ograniczyć ryzyka związane z shadow AI, wyciekami danych i brakiem nadzoru nad narzędziami AI,
  • jak rozwijać kulturę odpowiedzialnego korzystania z AI,
  • priorytety działań na najbliższe miesiące,
  • checklista gotowości organizacji:
    • polityka AI,
    • rejestr systemów AI,
    • rejestr ryzyk,
    • procedura akceptacji narzędzi,
    • zasady korzystania z danych,
    • szkolenia pracowników,
    • dokumentacja zgodności,
    • monitoring i audyty,
    • integracja SZBI z AI governance,
  • sesja pytań i odpowiedzi.

Jakie są wymagania wstępne do udziału w szkoleniu?

icon

Podstawy bezpieczeństwa informacji - Powinieneś rozumieć podstawowe pojęcia, takie jak ryzyko, podatność, incydent, kontrola i dostęp, aby swobodnie pracować z tematami SZBI, audytu i zabezpieczeń.

icon

Orientacja w procesach organizacji - Powinieneś znać podstawowe procesy działania firmy, obieg decyzji i role odpowiedzialne za IT, dane lub compliance, aby łatwiej odnieść materiał do właszej organizacji.

icon

Podstawowa znajomość regulacji - Powinieneś kojarzyć ogólny kontekst regulacyjny dotyczący cyberbezpieczeństwa, ochrony danych lub AI, aby szybciej zrozumieć zależności między wymaganiami i praktyką.

icon

Gotowość do pracy warsztatowej - Powinieneś być gotowy analizować przykłady, dyskutować o ryzykach i odnosić zagadnienia do własnej organizacji, ponieważ szkolenie obejmuje część warsztatową i strategiczną.