Rozwiązania Aegis Branże Wgląd Ceny Firma Poproś o ocenę
Przykładowa ocena — fikcyjna organizacja Wyłącznie w celach ilustracyjnych Telekomunikacja

Raport z oceny bezpieczeństwa sztucznej inteligencji

NordTel Communications S.A. — europejski operator telekomunikacyjny

Data oceny
Q1 2026
Rodzaj oceny
OASAT 2
Pracownicy
~6,800
Rzeczoznawca
OneCompliant .r.o.
Uwaga: NordTel Communications S.A. to fikcyjna organizacja utworzona w celach demonstracyjnych. Wszystkie ustalenia, wyniki i zalecenia mają charakter poglądowy. Rzeczywiste oceny klientów są ściśle poufne zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych i poufności.
Streszczenie

Ogólna ocena stanu zarządzania sztuczną inteligencją: wysokie Risk

W wyniku OASAT firmy NordTel Communications zidentyfikowano istotne luki w zarządzaniu sztuczną inteligencją we wszystkich sześciu obszarach kontroli. Tempo wdrażania sztucznej inteligencji przewyższyło tempo wprowadzania odpowiednich mechanizmów zarządzania — w poszczególnych jednostkach biznesowych zidentyfikowano 23 niezatwierdzone narzędzia oparte na sztucznej inteligencji, które były aktywnie wykorzystywane bez żadnych mechanizmów kontroli w czasie działania, bez audit oraz narażające firmę na istotne ryzyko naruszenia przepisów wynikających z unijnej ustawy o sztucznej inteligencji, NIS2 oraz RODO. Konieczne jest podjęcie natychmiastowych działań naprawczych w trzech kluczowych obszarach przed upływem terminów wyznaczonych przez organy regulacyjne.

Ogólny Risk związanego z zarządzaniem sztuczną inteligencją
NiskiUmiarkowaneWysokiKrytyczny
72 / 100 — Wysokie Risk. Konieczne jest podjęcie natychmiastowych działań zarządczych.
3
Istotne ustalenia wymagające podjęcia natychmiastowych działań
7
risk , wymagające podjęcia działań w ciągu 30 dni
23
Zidentyfikowano niezatwierdzone narzędzia oparte na sztucznej inteligencji, które są obecnie w użyciu
4
Ramy regulacyjne charakteryzujące się narażeniem na istotne luki
Risk związanego z domeną

Wyniki oceny Risk dojrzałości we wszystkich sześciu OASF .

Każdy obszar został poddany ocenie w oparciu o ramy OASF i otrzymał ocenę pod kątem risk oraz dojrzałości systemu zarządzania. Dojrzałość ocenia się w skali od 1 do 5: 1 = doraźne, 2 = rozwijające się, 3 = zdefiniowane, 4 = zarządzane, 5 = zoptymalizowane.

Domena Risk Termin zapadalności Kluczowa luka
Zarządzanie danymiOASF Krytyczne 1,4 / 5 Brak policy klasyfikacji danych dotyczących sztucznej inteligencji. PII klientów PII do zewnętrznych modeli językowych (LLM) bez kontroli ani ich redagowania.
Model zarządzaniaOASF Krytyczne 1,2 / 5 Brak rejestru zatwierdzonych modeli. 23 niezatwierdzone narzędzia oparte na sztucznej inteligencji są obecnie w użyciu w 8 jednostkach biznesowych.
Dostęp i tożsamośćOASF Wysoki 2.1 / 5 Interakcje z AI nie są powiązane z tożsamością użytkownika. Brak integracji z systemem SSO w narzędziach AI. Brak audit łączącej korzystanie z AI z konkretnymi osobami.
Bezpieczeństwo operacyjneOASF Wysoki 1,8 / 5 Brak zabezpieczeń przed wstrzyknięciem poleceń. Brak monitorowania danych wejściowych pod kątem ataków. Brak modelu zagrożeń specyficznego dla sztucznej inteligencji.
Audit zgodność z przepisamiOASF Krytyczne 1,0 / 5 Brak rejestrowania interakcji z AI. Brak audit . Nie można wykazać zgodności z art. 12 unijnej ustawy o sztucznej inteligencji ani art. 30 RODO.
Reagowanie na incydentyOASF Umiarkowane 2,4 / 5 Ogólny proces zarządzania incydentami istnieje, ale nie obejmuje kategorii incydentów, scenariuszy postępowania ani procedur eskalacji dotyczących sztucznej inteligencji.
Najważniejsze wnioski

risk o charakterze krytycznym irisk , wymagające natychmiastowej interwencji.

OASAT · Krytyczne
PII klientów PII do zewnętrznych modeli sztucznej inteligencji bez ich weryfikacji
Krytyczne

Pracownicy obsługi klienta korzystają z ChatGPT innych narzędzi sztucznej inteligencji przeznaczonych dla konsumentów w celu przygotowywania odpowiedzi i sporządzania podsumowań skarg, w tym pełnych nazwisk klientów, danych kontaktowych, numerów kont oraz treści korespondencji. Nie wprowadzono żadnych mechanizmów kontroli danych, ich redagowania ani środków zarządzania. Stanowi to aktywne naruszenie RODO oraz niezgodność z unijną ustawą o sztucznej inteligencji.

Art. 5 RODO — Ograniczenie zakresu danych RODO, art. 32 — Bezpieczeństwo przetwarzania Ustawa UE o sztucznej inteligencji, art. 10 NIS2 . 21
OASAT · Krytyczne
Brak audit systemu sztucznej inteligencji — nie można przedstawić dowodów wymaganych przez przepisy
Krytyczne

W całej organizacji nie prowadzi się żadnej dokumentacji dotyczącej interakcji z systemami sztucznej inteligencji. W przypadku wezwania przez organ regulacyjny lub w ramach dochodzenia w sprawie naruszenia bezpieczeństwa danych firma NordTel nie jest w stanie wykazać, jakie dane zostały przetworzone przez który system sztucznej inteligencji, kiedy i przez kogo. Stanowi to bezpośrednie naruszenie wymogów dotyczących prowadzenia dokumentacji określonych w art. 12 unijnej ustawy o sztucznej inteligencji oraz obowiązków w zakresie rejestrowania przetwarzania danych określonych w art. 30 RODO.

Ustawa UE o sztucznej inteligencji, art. 12 RODO, art. 30 NIS2 . 23 — Zgłaszanie incydentów
OASAT · Krytyczne
23 niezatwierdzone narzędzia oparte na sztucznej inteligencji, z których aktywnie korzystają przedsiębiorstwa
Krytyczne

W wyniku przeprowadzonej oceny zidentyfikowano 23 różne narzędzia oparte na sztucznej inteligencji, z których aktywnie korzysta 8 jednostek biznesowych — żadne z nich nie zostało zatwierdzone, ocenione ani zarejestrowane. Narzędzia te obejmują konsumenckie modele językowe (LLM), asystentów do generowania kodu, usługi tworzenia streszczeń dokumentów oraz dodatki zwiększające wydajność oparte na sztucznej inteligencji. Niezgłoszone wykorzystanie sztucznej inteligencji ma miejsce w całej organizacji, przy czym brakuje centralnego wglądu, kontroli i nadzoru.

Ustawa UE o sztucznej inteligencji, art. 9 — Risk OASF — Sztuczna inteligencja w tle NIS2 . 21
OASAT · Wysoki
Dane dotyczące konfiguracji sieci udostępniane asystentom programistycznym opartym na sztucznej inteligencji
Wysoki

Członkowie zespołu inżynierów sieciowych korzystają z asystentów programistycznych opartych na sztucznej inteligencji (GitHub Copilot, ChatGPT) w celu uzyskania pomocy przy tworzeniu skryptów do automatyzacji sieci. Przeprowadzona ocena potwierdziła, że w poleceniach podawane są szczegóły dotyczące topologii sieci, parametry konfiguracyjne oraz schematy adresowania IP. Stwarza to zarówno risk dla bezpieczeństwa, risk potencjalne ryzyko naruszenia przepisów dotyczących legalnego przechwytywania danych.

NIS2 . 21 — Bezpieczeństwo sieci RODO, art. 32 OASF
OASAT · Wysoki
Brak zdolności do reagowania na incydenty związane ze sztuczną inteligencją
Wysoki

Obecny proces reagowania na incydenty w firmie NordTel nie obejmuje kategorii incydentów związanych ze sztuczną inteligencją ani procedur reagowania na nie. W przypadku naruszenia bezpieczeństwa danych związanego ze sztuczną inteligencją, manipulacji modelami lub uchybień w zakresie zarządzania organizacja nie dysponuje ustaloną ścieżką reagowania, procedurą eskalacji ani gotowością do zgłoszenia incydentu w terminie 72 godzin zgodnie z RODO.

RODO, art. 33 — powiadomienie zgodnie z art. 72h NIS2 . 23 OASF
OASAT · Wysoki
Lukarisk w unijnej ustawie o sztucznej inteligencji — dwa przypadki zastosowania, które nie zostały uwzględnione
Wysoki

Dwa przypadki zastosowania sztucznej inteligencji wskazane w ocenie prawdopodobnie zostaną sklasyfikowane jakorisk załącznikiem IIIrisk unijnej ustawy o sztucznej inteligencji: oparte na sztucznej inteligencji oceny zdolności kredytowej przy podejmowaniu decyzji dotyczących umów abonamentowych oraz zarządzanie siecią z wykorzystaniem sztucznej inteligencji w przypadku infrastruktury krytycznej. Żadne z tych zastosowań nie przeszło wymaganej oceny zgodności ani nie zostało objęte systemem nadzoru ludzkiego wymaganym na mocy unijnej ustawy o sztucznej inteligencji.

Załącznik III do unijnej ustawy o sztucznej inteligencji Artykuł 14 unijnej ustawy o sztucznej inteligencji — Nadzór ludzki Artykuł 17 ustawy UE o sztucznej inteligencji
Analiza luk regulacyjnych

Aktualny stan zgodności z obowiązującymi ramami regulacyjnymi.

W ramach oceny porównano obecne mechanizmy zarządzania sztuczną inteligencją w firmie NordTel z czterema obowiązującymi ramami regulacyjnymi. Pozycje wskazujące na luki to wymagania, które obecnie nie są spełnione i stwarzają ryzyko naruszenia przepisów.

Ustawa UE o sztucznej inteligencji

Art. 9 — Brak wdrożonego systemu risk związanym ze sztuczną inteligencją
Art. 10 — Brak zasad zarządzania danymi w odniesieniu do systemów sztucznej inteligencji
Art. 12 — Brak prowadzenia rejestrów / audit
Art. 14 — Brak ram nadzoru ze strony człowieka
~
Art. 13 — Środki zapewniające częściową przejrzystość

Ramy zarządzania ryzykiem w zakresie NIST RMF) opracowane przez NIST

GOVERN — Brak zasad dotyczących zarządzania sztuczną inteligencją ani mechanizmów rozliczalności
~
MAP — Częściowa risk związanego ze sztuczną inteligencją (niniejsza ocena)
MIARA — Brak risk związanego ze sztuczną inteligencją ani monitorowania tego ryzyka
ZARZĄDZANIE — Brak risk związanym ze sztuczną inteligencją ani mechanizmów kontroli

NIS2

Art. 21 — Brak wdrożenia środków bezpieczeństwa dotyczących sztucznej inteligencji
Art. 21 — Brak uwzględnienia kwestii bezpieczeństwa sztucznej inteligencji w łańcuchu dostaw
Art. 23 — Brak procedury zgłaszania incydentów związanych ze sztuczną inteligencją
~
Ogólne środki bezpieczeństwa mające częściowe zastosowanie

RODO + sztuczna inteligencja

Art. 5 — Zasada minimalizacji danych nie jest stosowana w przypadku sztucznej inteligencji
Art. 30 — Brak rejestrów czynności związanych z przetwarzaniem danych przy użyciu sztucznej inteligencji
Art. 32 — Brak środków technicznych zapewniających bezpieczeństwo sztucznej inteligencji
~
Art. 33 — Obowiązek zgłaszania naruszeń ogólnych
Plan działań naprawczych

Program zarządzania oparty na priorytetach — trzy etapy.

W ocenie zalecono wdrożenie ustrukturyzowanego, trzyetapowego programu naprawczego, dostosowanego do terminów określonych w przepisach oraz risk operacyjnego. Etap 1 dotyczy natychmiastowych, krytycznych zagrożeń. Etap 2 polega na stworzeniu struktury zarządzania. Etap 3 obejmuje wdrożenie środków egzekwowania w czasie rzeczywistym.

Faza 1
Natychmiastowe Risk
Tygodnie 1–6
Wprowadzić tymczasową policy korzystania ze sztucznej inteligencji policy zablokować LLM przeznaczonych dla konsumentów w przypadku wrażliwych stanowisk
Wdrożyć podstawowe rejestrowanie interakcji z wykorzystaniem sztucznej inteligencji w jednostkach biznesowych obsługujących klientów
Przeprowadzićrisk zgodnie z unijną ustawą o sztucznej inteligencji w odniesieniu do systemów sztucznej inteligencji wykorzystywanych do oceny zdolności kredytowej i zarządzania sieciami
Przeprowadzić szkolenie OASAP dla zespołów obsługi klienta i inżynierów sieciowych
Opracowanie procedury wyznaczania osób kontaktowych oraz powiadamiania w przypadku incydentów związanych ze sztuczną inteligencją
Faza 2
Architektura zarządzania
Tygodnie 7–16
Wdrożyć ramy OASF we wszystkich sześciu obszarach kontroli
Stworzyć i opublikować zatwierdzony rejestr modeli sztucznej inteligencji
Wdrożenie policy klasyfikacji danych w ramach sztucznej inteligencji policy zasad postępowania z danymi
Opracować scenariusze reagowania na incydenty związane ze sztuczną inteligencją dla wszystkich kluczowych kategorii
Kompleksowy program podnoszenia świadomości OASAP
Faza 3
Egzekwowanie w czasie wykonywania
Tygodnie 17–26
Wdrożenie gateway AI Aegis gateway punktu dostępu do sztucznej inteligencji w przedsiębiorstwie
Zintegrujpolicy OASF z mechanizmami kontroli Aegis
Włącz pełne audit dotyczące sztucznej inteligencji oraz raportowanie w zakresie zarządzania
Połączaudit Aegis z systemem SIEM w celu zapewnienia ciągłego monitorowania
Pierwszy przegląd dojrzałości w zakresie zarządzania — docelowy poziom dojrzałości 3,5+ we wszystkich obszarach

Czy jesteś gotowy, aby ocenić stan zarządzania sztuczną inteligencją w Twojej firmie?

Jest to przykładowa ocena, która ma charakter poglądowy. Rzeczywista OASAT jest dostosowana do specyfiki Państwa organizacji — branży, środowiska sztucznej inteligencji oraz obowiązków regulacyjnych — i określa zasady zarządzania, które Aegis wdraża w środowisku produkcyjnym. Stała cena. Realizacja w ciągu kilku tygodni.

Poproś o wycenę Zobacz cennik ocen