GDPR, NIS2 in Akt o umetni inteligenci: kako zgraditi en sam program skladnosti, ki pokriva vse tri v letu 2026

Povzetek

Večina malih in srednjih podjetij v EU obravnava GDPR, NIS2 in Akt o umetni inteligenci kot tri ločene programe skladnosti — tri politike, tri revizijske sledi, tri odgovorne osebe, tri načrte usposabljanj. Drago je, nagnjeno k napakam in nepotrebno. Vsi trije režimi si delijo več strukturnega DNK, kot večina skupin za skladnost pripozna: vsi zahtevajo dokumentirano obvladovanje tveganj, priglasitev incidenta ali kršitve v strogih rokih, odgovornost upravljalskega organa in dokumentirane tehnične ter organizacijske ukrepe. Ta članek preslika prekrivanja, opredeli prave razlike in ponuja konkreten načrt za združitev treh programov v en integriran okvir — brez izgube pokritosti ali revizijske obrambljivosti.

Zakaj je past „treh ločenih programov" tako pogosta

Vzorec se ponavlja v skoraj vseh organizacijah, ki jih preverjamo. GDPR je prišel prvi (2018): imenovali so pooblaščeno osebo za varstvo podatkov, oblikovali politiko zasebnosti in zgradili evidenco dejavnosti obdelave. Nato je prišla NIS2 (prenos 2024-2025) in nastal je ločen program kibernetske varnosti — pogosto pod vodstvom CISO, z lastnim registrom tveganj, lastnim priročnikom za odzivanje na incidente in lastnim vprašalnikom za dobavitelje. Zdaj se postopoma uveljavlja Akt o UI (postopna uporaba 2025-2027), in pojavlja se tretja vzporedna struktura — svet za upravljanje UI, proces klasifikacije tveganj sistemov UI, register modelov.

Trije programi. Tri politike. Tri odgovorne osebe. Tri poročila upravnemu odboru. Trije učni načrti. Trije vprašalniki za dobavitelje.

Neposredni stroški so očitni: podvojeno število zaposlenih, prekrivajoči se stroški revizij, odvečna poraba za orodja. Skriti stroški so slabši: protislovni odgovori, ko stranka vpraša „kakšne so vaše varnostne zahteve?"; politike, ki se počasi razhajajo, dokler si ne nasprotujejo; in — najnevarneje — slepa mesta na križiščih, kjer nihče ni odgovoren. Ko kršitev GDPR zadeva niz podatkov, ki ga je obdelal sistem UI, na infrastrukturi, ki jo pokriva NIS2, kdo vodi? V modelu treh programov je odgovor „trije odgovorni se pogovarjajo, medtem ko 24-urna NIS2 ura teče".

Kaj si trije režimi dejansko delijo

Preden lahko združimo, moramo videti strukturno prekrivanje. Tukaj so konkretne določbe GDPR, NIS2 in Akta o UI, ki v praksi naslavljajo isto operativno potrebo.

Skupna obveznost 1: Dokumentirana ocena tveganja

• GDPR 35. člen (ocena učinka): dokumentirana ocena učinka na varstvo podatkov za obdelave z velikim tveganjem.
• NIS2 21. člen(2)(a): politike analize tveganj in varnosti informacijskih sistemov.
• Akt o UI 9. člen: sistem obvladovanja tveganj za sisteme UI z visokim tveganjem v celotnem življenjskem ciklu.

Vsi trije zahtevajo isti temeljni dokument: dokumentirano, pregledano, redno posodobljeno oceno tveganja z identificiranimi grožnjami, verjetnostmi, učinki in ukrepi za blažitev. Obseg se razlikuje (osebni podatki / informacijski sistemi / odločitve, podprte z UI), a metodologija je v praksi enaka. En register tveganj, strukturiran s tremi analitskimi lečami, zadošča, je obrambljiv v reviziji in precej lažji za vzdrževanje kot trije ločeni registri.

Skupna obveznost 2: Priglasitev incidenta/kršitve

• GDPR 33. člen: priglasitev nadzornemu organu v 72 urah po kršitvi osebnih podatkov.
• NIS2 23. člen: zgodnje opozorilo v 24 urah, polna priglasitev v 72 urah, končno poročilo v enem mesecu.
• Akt o UI 73. člen: poročanje o resnih incidentih s sistemi UI z visokim tveganjem organu za nadzor trga „brez nepotrebnega odlašanja" (konkretni roki čakajo na izvedbene akte, predvideno 15 dni za večino incidentov).

Trije različni roki, trije različni organi, ena operativna resničnost: nekaj je šlo narobe in ura teče. Integriran priročnik za priglasitev — z enim samim sprožilcem zaznave, enim drevesom stopnjevanja in vzporednim tokom obveščanja — je veliko varnejši od treh ločenih priročnikov, ki vsak čaka, da bo aktiviran. Prvih 30 minut po zaznavi mora hkrati pognati vse tri poti obveščanja, ne pa izbrati eno in se nato v paniki spomniti ostalih.

Skupna obveznost 3: Odgovornost upravljalskega organa

• GDPR 5. člen(2) (načelo odgovornosti): upravljavec mora dokazati skladnost.
• NIS2 20. člen(1): upravljalski organi so odgovorni za odobritev in nadzor ukrepov za obvladovanje tveganj kibernetske varnosti in so lahko osebno odgovorni.
• Akt o UI 17. člen (zahteve za ponudnike UI z visokim tveganjem): sistem vodenja kakovosti, vključno z okvirom odgovornosti, dokumentiranimi in dodeljenimi odgovornostmi.

Vsi trije režimi gredo v isto smer: odgovornost je pri upravnem odboru. Argument „to bo uredila IT" je mimo. Vaš upravljalski organ potrebuje eno samo integrirano nadzorno ploščo, ki prikazuje stanje skladnosti po vseh treh režimih, pregledano na vsaki četrtletni seji, z uradnim zapisnikom. Ne tri ločene nadzorne plošče, predstavljene izmenično.

Skupna obveznost 4: Dokumentirani tehnični in organizacijski ukrepi

• GDPR 32. člen: ustrezni tehnični in organizacijski ukrepi glede na stanje tehnike.
• NIS2 21. člen: ustrezni in sorazmerni ukrepi na desetih posebnih področjih.
• Akt o UI 10.-15. člen: upravljanje podatkov, tehnična dokumentacija, vodenje evidenc, transparentnost, človeški nadzor, točnost in robustnost.

Integriran nadzorni okvir — enkrat preslikan proti vsem trem režimom — je operativna hrbtenica učinkovitega programa. ISO 27001:2022 kot osnova, razširjena z ISO 42001 (sistem upravljanja UI) in nadzori, specifičnimi za zasebnost, pokriva večino tehničnih zahtev treh režimov. Vsak nadzor implementirate enkrat in dokumentirate njegovo uporabnost za režime, ki jim služi.

Skupna obveznost 5: Upravljanje dobavne verige

• GDPR 28. člen + 44.-49. člen: pogodbe z obdelovalci, sklepi o ustreznosti, standardne pogodbene klavzule za čezmejne prenose.
• NIS2 21. člen(2)(d): varnost dobavne verige, vključno z varnostjo odnosov z neposrednimi dobavitelji in izvajalci storitev.
• Akt o UI 25. + 28. člen: odgovornosti vzdolž vrednostne verige UI, obveznosti ponudnikov in uvajalcev sistemov UI.

Vsi trije režimi potiskajo odgovornost v dobaviteljsko verigo. En sam okvir ocenjevanja dobaviteljev — en vprašalnik, en letni postopek pregleda, ena shema razvrščanja tveganj — ki dokaze preslika na vse tri režime, je dramatično učinkovitejši od treh vzporednih programov. Dobavitelji to tudi cenijo: konsolidiran vprašalnik je veliko lažje izpolniti kot tri ločene dokumente s prekrivajočimi vprašanji v nekoliko drugačnem jeziku.

Skupna obveznost 6: Usposabljanje in ozaveščenost

• GDPR 39. člen(1)(b): pooblaščena oseba za varstvo podatkov obvešča in svetuje zaposlenim o njihovih obveznostih.
• NIS2 20. člen(2): upravljalski organi se morajo udeležiti usposabljanja in zagotoviti podobno usposabljanje svojim zaposlenim.
• Akt o UI 4. člen: ponudniki in uvajalci morajo zagotoviti zadostno raven pismenosti o UI pri osebju, vključenem v obratovanje in uporabo sistemov UI.

Integriran letni program usposabljanja, ki zajema zasebnost, kibernetsko varnost in pismenost o UI, je en tečaj po 45 minut na zaposlenega — ne trije ločeni tečaji v skupnem trajanju več kot dveh ur. Zadržanje znanja je boljše, proračunski strošek nižji, stopnje dokončanja višje. In ena centralizirana evidenca usposabljanj je lažja za revizijo kot tri ločene.

Kje se trije režimi resnično razlikujejo

Združiti ne pomeni splošiti. Obstajajo prave razlike, ki jih vaš integrirani program še vedno mora spoštovati.

Razlika 1: Kdo vodi

GDPR živi v funkciji pooblaščene osebe za varstvo podatkov (obvezna v mnogih organizacijah). NIS2 živi pri CISO. Akt o UI — za večino malih in srednjih podjetij — še išče svoj dom, pogosto razdeljen med pravno službo in produkt. Te tri vodstvene vloge morajo ostati ločene z jasnimi odgovornostmi, vendar delovati v enem samem svetu upravljanja, ne v silosih. Priporočamo mesečni svet za skladnost, ki ga predseduje glavni izvršni direktor ali direktor operacij, s pooblaščeno osebo za varstvo podatkov, CISO in vodjo upravljanja UI kot stalnimi člani ter finančno in produktno funkcijo kot rotirajočimi udeleženci.

Razlika 2: Regulirani objekt

GDPR ureja obdelavo osebnih podatkov. NIS2 ureja omrežne in informacijske sisteme vključenih subjektov. Akt o UI ureja specifične sisteme UI (z obveznostmi, osredotočenimi na razvrstitve „visokega tveganja"). Prekrivanje je resnično, a ne popolno: ni vsak sistem, ki ga ureja NIS2, sistem, ki obdeluje osebne podatke, in ni vsak sistem UI z visokim tveganjem na infrastrukturi, ki jo ureja NIS2. Vaša matrika skladnosti mora izrecno preslikati, kateri sistemi so v obsegu katerega režima — ne predvidevajte, da enkratna zastavica „v obsegu" deluje za vse tri.

Razlika 3: Organi za priglasitev

GDPR poročila gredo Informacijskemu pooblaščencu. NIS2 poročila gredo Slovenskemu nacionalnemu centru za kibernetsko varnost (SI-CERT). Poročila po Aktu o UI gredo organu za nadzor trga. Ti organi imajo različne kanale, različne portalne sisteme, različne jezikovne zahteve, različne predloge poročil. Vaš priročnik za incidente mora sprožiti vse relevantne priglasitve vzporedno, z vnaprej pripravljenimi predlogami — ne spraševati izmučenega dežurnega inženirja ob treh zjutraj, koga obvestiti.

Razlika 4: Stropi in strukture glob

GDPR: do 20 milijonov € ali 4 % svetovnega letnega prometa, kar je višje. NIS2: do 10 milijonov € ali 2 %, z nacionalnimi različicami (dnevne kazni v Franciji, sektorski maksimumi v Italiji). Akt o UI: do 35 milijonov € ali 7 % za prepovedane prakse, 15 milijonov € ali 3 % za kršitve v visokem tveganju, 7,5 milijonov € ali 1 % za napačne informacije. Stropi Akta o UI so najvišji med tremi — mnoge organizacije podcenjujejo ostrino Akta o UI. Načrtujte naložbe v skladnost glede na najvišjo veljavno kazen, ne povprečja.

Konkreten načrt za integracijo

S preslikanimi skupnimi obveznostmi in izrecnimi razlikami sledi sedemstopenjski načrt. To je priročnik, ki ga uporabljamo s strankami malih in srednjih podjetij pri prehodu iz kaosa treh programov v en sam okvir upravljanja.

Korak 1: Izdelajte enoten katalog nadzorov

Izberite glavni okvir nadzorov. ISO 27001:2022 priloga A (93 nadzorov) je najbolj pogosta izhodiščna točka, ker je že preslikana na GDPR 32. člen in NIS2 21. člen z močnim dokumentacijskim precedensom. Razširite z ISO 27701 za razširitve, specifične za zasebnost, in ISO 42001 (sistem upravljanja UI, objavljen 2024) za nadzore, specifične za UI. Izdelajte en katalog, ki za vsak nadzor prikazuje režime, ki jih izpolnjuje. Nadzor, kot je „upravljanje dostopa z večfaktorsko avtentikacijo", izpolnjuje GDPR (zaščita osebnih podatkov), NIS2 (zahteva za nadzor dostopa) in Akt o UI (varnost sistemov UI z visokim tveganjem) — dokumentirajte enkrat, ponovno uporabite.

Korak 2: Konsolidirajte register tveganj

En register tveganj s tremi analitskimi lečami. Vsako identificirano tveganje se analizira za tri vidike: učinek na zasebnost (leča GDPR), operativni in kibernetski učinek (leča NIS2), specifični učinek UI (leča Akta o UI, kadar se uporablja). Stolpec ukrepov povezuje z enotnim katalogom nadzorov. Ta dokument izpolnjuje GDPR 35. člen, NIS2 21. člen(2)(a) in Akt o UI 9. člen — četrtletno ga pregleda svet za skladnost. Opustite tri ločene registre.

Korak 3: Preoblikujte priročnik za incidente

24-urno zgodnje opozorilo NIS2 narekuje uro. Od trenutka zaznave mora priročnik (vzporedno) razvrstiti obseg incidenta (osebni podatki vpleteni? sistem, ki ga ureja NIS2? sistem UI z visokim tveganjem?) in sprožiti tok obveščanja za vsak veljavni režim. Vnaprej izdelane predloge za vsak organ v vsakem nacionalnem jeziku. Vnaprej odobrene odločitvene poti, da dežurnemu ni treba buditi vodilnih za rutinske odločitve. Vaja tipa tabletop vsako četrtletje z realnimi scenariji v več režimih — priporočamo eno četrtletno vajo, posebej zasnovano za sproženje vseh treh obvestil, da ekipa pridobi mišični spomin.

Korak 4: Konsolidirajte upravljanje dobaviteljev

En vprašalnik za dobavitelje. En letni pregled. Ena shema razvrščanja tveganj. Oblikujte vprašalnik okrog strukture ISO 27001 priloge A, s ciljnimi dopolnilnimi vprašanji za dobavitelje, ki se dotikajo osebnih podatkov (vsebine 28. člena GDPR) ali sistemov UI (prenašanje obveznosti 25. člena Akta o UI). Konsolidirana ocena dobaviteljev prihrani čas in naredi vaše dobavitelje bolj zadovoljne — kar izboljša stopnje odziva in kakovost podatkov.

Korak 5: Ena nadzorna plošča upravljanja

Ena sama nadzorna plošča na ravni upravnega odbora s tremi pladnji: stanje zasebnosti, stanje kibernetske varnosti, stanje upravljanja UI. Vsak pladenj prikazuje iste vrste meril: stanje registra tveganj (število in resnost odprtih postavk), napredek pri izvajanju nadzorov, število in stanje incidentov, stopnja dokončanja usposabljanj. En pogled na skladnost. Četrtletni pregled s polnim upravnim odborom, z uradnim zapisnikom. To tudi izvaja NIS2 20. člen (odgovornost upravljalskega organa) v enem dokumentu namesto treh ločenih poročilih.

Korak 6: En program usposabljanja

Integriran letni 45-minutni tečaj, ki zajema osnove zasebnosti (GDPR), kibernetsko higieno (NIS2), pismenost o UI (Akt o UI). Moduli, specifični za vlogo, za tehnično osebje, prodajo, kadrovsko službo in člane upravnega odbora. Ena sama sledena evidenca dokončanj. Uporabite kratke mesečne opomnike (pet minut dolgi mikro-tečaji o specifičnih temah) namesto letnih blokov — zadržanje znanja je bistveno večje.

Korak 7: Testirajte z enotno revizijo

Enkrat letno izvedite eno samo integrirano revizijo, ki testira vaš program proti vsem trem režimom. Zunanji revizorji, ki razumejo vse tri — pomembno; revizorji samo za GDPR zgrešijo vrzeli NIS2, revizorji samo za NIS2 zgrešijo izpostavljenost Aktu o UI. Izid je eno poročilo s tremi prilogami, specifičnimi za režim. Ugotovitve se stekajo v enotni register tveganj in isti seznam ukrepov. Letno načrtujte to revizijo: ni neobvezna, in prihranki zaradi ene revizije namesto treh pokrijejo specialistično premijo.

Pogoste napake pri integraciji, ki se jim je treba izogniti

Iz desetin integracij, ki smo jih vodili v letih 2024-2025, ponavljajoče se napake:

Napaka 1: Spajanje odgovornih oseb

Pooblaščena oseba za varstvo podatkov, CISO in vodja UI morajo ostati ločene vloge z ločenimi odgovornostmi. GDPR izrecno zahteva, da je pooblaščena oseba neodvisna in poroča najvišji ravni vodstva. Združevanje v eno vlogo „compliance officer" spodkopava regulativno arhitekturo in pritegne nadzor. Integrirajte programe, ne oseb.

Napaka 2: Splošenje dokumentacije

En sam monoliten dokument „politika skladnosti" ni mogoče revidirati. Ohranite dokumente modularne — en register tveganj, en katalog nadzorov, a specifične politike po režimih (politika zasebnosti, politika informacijske varnosti, politika upravljanja UI), ki se medsebojno sklicujejo. Revizorji želijo videti specifične dokumente po režimih z jasnim preslikavanjem — ne 400-stranskega integriranega dokumenta, ki ga nihče ne bere.

Napaka 3: Premajhno zgodnje vlaganje v Akt o UI

Ker so polne obveznosti Akta o UI uvedene postopno do 2027, mnoge organizacije temu zmanjšujejo prednost. To je napaka iz dveh razlogov. Prvič: določbe o „prepovedanih praksah" in „klasifikaciji visokega tveganja" so že v veljavi. Drugič: trud za retroaktivno preslikavo in upravljanje sistemov UI v velikem parku je precej težji od gradnje okvira, ko so uvajanja UI še majhna. Začnite delovni tok Akta o UI zdaj, tudi če so vaši sistemi visokega tveganja redki.

Pogosta vprašanja

Smo majhen SaaS (20 zaposlenih). Moramo res skrbeti za Akt o UI?

Verjetno da, a omejeno. Najstrožje obveznosti Akta o UI se vežejo na „sisteme UI z visokim tveganjem" (priloga III) in ponudnike temeljnih modelov — večina SaaS podjetij malih in srednjih podjetij ni v nobeni od kategorij. Vendar ste verjetno „uvajalec" sistemov UI (uporaba funkcij UI tretjih oseb v produktu ali operacijah), in uvajalci imajo obveznosti po 26. členu: zagotoviti človeški nadzor, spremljati zmogljivost, beležiti uporabo in obveščati prizadete stranke. Lahka politika upravljanja UI, ki zajema te obveznosti uvajalca, zadošča za večino majhnih SaaS — ne zahteva celotnega programa Akta o UI. Preverite, ali katera od vaših funkcij UI spada v prilogo III (zaposlovanje, kredit, izobraževanje, kazenski pregon, bistvene zasebne storitve) — če ne, so vaše obveznosti omejene.

Koliko to stane?

Integriran program stane 30-50 % manj za obratovanje kot trije ločeni programi, na podlagi stroškovnih primerjav, ki smo jih zbrali pri 12 malih in srednjih podjetjih EU v letu 2025. Tipičen pristop treh programov letno stane 80-200 tisoč evrov pri srednje velikem podjetju (50-250 zaposlenih), ko seštejemo zaposlene, orodja, zunanje revizije in pravno svetovanje. Integriran program v isti velikosti stane 50-130 tisoč evrov. Večina prihrankov izhaja iz (a) ene revizije namesto treh, (b) enotnih orodij namesto treh ločenih GRC platform, (c) enega učnega načrta namesto treh.

Kaj če naš NIS2 organ ni enakega mnenja kot naš organ za Akt o UI?

Danes redko, a vedno bolj pogosto z naraščajočim uveljavljanjem. Dokumentirajte razmišljanje za vsako odločitvijo in ohranite jasno papirno sled. Če se smernice dveh organov križajo, operativno sledite strožji in pisno označite konflikt obema organoma. Dosledno dokumentirane odločitve v dobri veri so vaša najboljša obramba v sporih.

Komu naj integriran svet za skladnost poroča?

Neposredno glavnemu izvršnemu direktorju s stalno točko dnevnega reda na upravnem odboru. Ne finančnemu direktorju, ne vodji informatike. NIS2 in Akt o UI oba izrecno zahtevata odgovornost upravljalskega organa — zakopavanje skladnosti v funkcionalno linijo poročanja spodkopava oboje. Svet za skladnost je enakovreden izvršnemu odboru, ne podrejena funkcija. To tudi organizaciji sporoča: skladnost ni IT ali pravni zaliv — je strateška zmogljivost.

Kaj je največja hitra zmaga?

Konsolidirajte vaš vprašalnik za dobavitelje jutri. Skoraj zagotovo imate tri ločene postopke ocenjevanja dobaviteljev (zasebnost, varnost, UI). Njihovo združevanje v enega zmanjša notranje delo, izboljša kakovost odgovorov in ustvari en vir resnice o tveganju dobavne verige. Dvotedenski projekt, ki prihrani mesece stalnih naporov in odklene integrirano poročanje o tveganjih. Začnite tukaj.

Kako to integracijo prodati znotraj organizacije?

Začnite s številkami. Izračunajte letni strošek vašega trenutnega treh-programskega okvira (dodelitev osebja, orodja, zunanji stroški). Primerjajte z merili integriranih programov (30-50 % zmanjšanje). Predstavite najprej finančni službi — postanejo vaši zavezniki. Ko je finance na krovu, je argument direktorju zgodba o zmanjšanju stroškov s stranskim učinkom boljše pokritosti. Izogibajte se vodenju z „regulativno uskladitvijo" — vodstveni delavci so to slišali in so otopeli.

Katera orodja podpirajo to integracijo?

Večina tradicionalnih GRC platform (OneTrust, Vanta, Drata) v letih 2025-2026 dodaja preslikavo med režimi, a kakovost se razlikuje. Pred nakupom prosite za demonstracijo, ki konkretno pokaže: en katalog nadzorov, preslikan na vse tri režime, en register tveganj s tremi analitskimi lečami in eno nadzorno ploščo, ki prikazuje vsa tri stanja. Če mora ponudnik to „konfigurirati", integracija ni izvorna. Čisti odprtokodni skladi (npr. predloge dokumentov ISO 27001, Wazuh za spremljanje, OpenGRC) dobro delujejo za manjše organizacije in stanejo le čas.

Zaključek

GDPR, NIS2 in Akt o UI niso trije ločeni problemi. So tri izrazi istega regulativnega nagona: pokažite, da obvladujete tveganja, ščitite podatke in sisteme, obveščate, ko gre kaj narobe, držite upravljalski organ odgovoren in usposabljajte svoje ljudi. Organizacija, ki vodi tri vzporedne programe, plača trikrat za isti izid in pušča tveganja na presečiščih nepokrita.

Integriran program ne pomeni spajanja vsega — vloge pooblaščene osebe za varstvo podatkov, CISO in vodje UI ostanejo ločene, in dokumenti, specifični za režim, ostanejo. Integrira se operacijski sistem spodaj: en register tveganj, en katalog nadzorov, en priročnik za incidente, en program za dobavitelje, en učni načrt, en svet za upravljanje, ena revizija. Tri poglede, specifične za režim, so okna v isto temelj, ne ločene zgradbe.

Organizacije, ki se v letu 2026 uspešno integrirajo, plačajo manj, ujamejo več incidentov in so bolj revizijsko obrambljive kot tiste, ki vodijo tri vzporedne programe. Samo ekonomija utemelji primer. Strateški primer — da ne izgubite kritičnih ur med incidentom v več režimih — ga zapre.

Ocena Viktoria Compliance je zgrajena na integriranem modelu. Naš prilagodljivi vprašalnik preslika vašo organizacijo proti GDPR, NIS2 in Aktu o UI v enem prehodu, identificira prekrivanja in vrzeli ter pripravi en prioritiziran načrt odprave. Če še vedno vodite tri ločene programe, vam radi pokažemo, kako izgleda konsolidiran pogled — že prvi pogovor običajno odkrije dve ali tri vrzeli med režimi, ki jih ni imel nihče.