7 компаний из 10, которые используют ИИ в своих продуктах не смогут объяснить аудитору, как их модель принимает решения. Пока это сложно назвать глобальной проблемой. Но крупные компании уже начали с этим разбираться.
Google, AWS, IBM получили сертификат ISO/IEC 42001. Microsoft пошёл дальше — в сентябре 2024 года корпорация обновила требования к поставщикам. Теперь компании с ИИ-продуктами без этого сертификата не смогут заключить контракт с Microsoft.
Вспомните, как развивалась история с ISO/IEC 27001. Сначала сертифицировались гиганты. Потом стали требовать сертификат от поставщиков. Стоит ожидать, что первый в мире стандарт менеджмента искусственного интеллекта пройдёт тот же путь.
Если ваша компания использует ИИ, сейчас стоит вопрос не в том, коснётся ли это бизнеса. Вопрос в том, когда это вас коснётся.
Читайте также статью «ISO/IEC 42001 – первый в мире стандарт для искусственного интеллекта. Что это и кому нужно?».
Теперь давайте разберёмся, зачем вам такой сертификат, какие уже появились регуляторные требования к компаниям, использующим искусственный интеллект, и какие изменения ожидаются на рынке.
Какие требования по ISO/IEC 42001 у Microsoft?
Если вы не работаете с Microsoft, то вряд ли слышали, что в сентябре 2024 года компания выпустила «предварительный вариант» 10-й версии требований к защите данных (DPR). А с 2025 года она активно используется в процессах обеспечения безопасности и конфиденциальности поставщиков (SSPA). Это одно из самых крупных обновлений с 2018 года.
И вроде, причём здесь искусственный интеллект? Каждый месяц десятки компаний обновляют требования по кибербезопасности. Ключевой элемент этой версии – 18 требований к менеджменту систем с ИИ.
Теперь каждый поставщик Microsoft, который использует искусственный интеллект в своих услугах, должен:
- Указать в профиле SSPA, что его сервис использует AI-системы;
- Пройти независимую оценку соответствия через аудитора, предпочтительного Microsoft, либо предоставить сертификат ISO/IEC 42001.
При этом, если ИИ-сервис попадает под определение «Sensitive Use*», ISO/IEC 42001 становится обязательным.
* Если частое использование сервиса или злоупотребление им может существенно влиять на человека и его жизнь, то он попадает под определение Sensitive Use.
Например, взаимодействуя с вашим AI-сервисом, человек может принимать решения о найме, кредитовании, медицинской диагностике, правоприменении, определении доступа к образованию или государственным услугам.
Продукту соответствует хотя бы один пункт и компания является поставщиком Microsoft? Тогда сертификация – это условие работы.
Без выполнения требований поставщик не сможет начать работу. Microsoft просто не отправит Purchase Order (документ, который корпорация направляет для оформления закупки товаров, услуг или подписок).
Кто будет требовать ISO/IEC 42001 кроме Microsoft?
Microsoft стала первой корпорацией, которая формализовала требования в своей цепочке поставок. Посмотрите, кто уже сертифицирован сам:
Это напоминает историю развития ISO/IEC 27001. Сначала сертифицируются крупные корпорации. Затем они начинают требовать сертификат от поставщиков. ISO/IEC 27001 добровольная сертификация. Но посмотрите, как со временем она стала постоянным требованием для заключения выгодных контрактов или в тендерах.
С ISO/IEC 42001 такая же ситуация. Только всё происходит быстрее. Появляются не только регуляторные требования, само общество требует прозрачности ИИ. Образуется каскад требований в цепочке поставок.
На территории СНГ тоже есть прецеденты. В июне 2025 года Яндекс получила сертификат ISO/IEC 42001. В область сертификации компания включила разработку модели (AI Producer) и предоставление платформы через Yandex Cloud (AI Provider).
И это не остановить. С развитием искусственного интеллекта будет появляться всё больше требований к безопасности. Колесо уже запущено.
Какие есть регуляторные требования к менеджменту AI на начало 2026 года?
Европейский союз
В 2024 году вступил в силу первый в мире обязательный закон для ИИ – Регламент Е С об искусственном интеллекте (EU AI Act, 2024−1689). Закон требует классифицировать ИИ-системы по уровню риска по четырём категориям:
- запрещённые (например, социальный скоринг граждан, ИИ для манипулирования поведением людей, массовая биометрическая идентификация в публичных местах),
- высокого риска (например, к скринингу резюме при найме, автоматической оценке экзаменов, AI-диагностике медицинских изображений предъявляются жёсткие требования к документации и человеческому контролю),
- ограниченного риска (например, чат-боты должны сообщать, что пользователь общается с ИИ или дипфейки должны быть с маркировкой),
- минимального риска, к которым дополнительных требований не предъявляется (это могут быть рекомендации в играх или автоматический перевод).
Да, формально ISO/IEC 42001 не утверждённый стандарт для EU AI Act. При этом у них пересекается около 40−50% требований. Если компания получила сертификат ISO/IEC 42001, она значительно сокращает объём работ по соответствию регламенту ЕС.
США
В отличие от Европейского союза в США пока нет единого федерального закона для ИИ. Но это не значит, что он никак не регулируется. Штаты действуют самостоятельно.
Например, в Калифорнии применяется CCPA/CPRA, в Вирджинии внедряются свои законы. При этом закон Колорадо напрямую ссылается на ISO/IEC 42001, как на эталонный набор инструментов.
В таких условиях ISO/IEC 42001 можно назвать «общим языком» для американского рынка.
СНГ
В СНГ на начало 2026 года в России утверждён стандарт — ГОСТ Р ИСО/МЭК 42001−2024 «Искусственный интеллект. Система менеджмента». В целом, он идентичен международному.
Мы ждём скорого появления национальных вариантов ISO/IEC 42001 и в других странах СНГ.
Зачем вашему бизнесу ISO/IEC 42001?
Если вы не работаете с Microsoft, то, кажется, ISO/IEC 42001 «пока не горит». Но другие корпорации уже сертифицируются сами. Значит, следующий шаг – требования к поставщикам. А дальше – к поставщикам поставщиков. Так что «пока не горит» означает лишь то, что очередь до вас ещё не дошла.
Может вы планируете выходить с ИИ-системой на рынок ЕС? Регламент EU AI Act вступает в полную силу к 2027 году. Получить ISO/IEC 42001 сейчас – значит закрыть 40−50% требований регламента и выстроить систему, которую легко адаптировать под финальные европейские стандарты.
Помимо рыночных требований важно понимать, что работа с искусственным интеллектом несёт свои риски. ISO/IEC 42001 помогает выстроить структуру, которая подготовит компанию к непредвиденным ситуациям. Без такой подготовки устранение сбоев обходится в 5−-10 раз дороже.
И наконец, сертификация сейчас – это конкурентное преимущество. На начало 2026 года сертификат получили всего около 40 организаций в мире. Это возможность оказаться среди первых в своей нише, пока стандарт не стал обязательным минимумом.
Заключение
Скажем прямо. ISO/IEC 42001 действительно пока не нужен всем. Если у вас нет планов выходить на международный рынок или работать с крупными компаниями, можно не торопиться.
Но если хотя бы один из пунктов статьи относится к вам, откладывать рискованно. Те, кто пройдёт сертификацию сейчас, просто покажут сертификат и пройдут проверку поставщика. Другие будут несколько месяцев собирать документы, пока контракт уходит к конкуренту. Такой сценарий происходит не первый раз. Сначала «пока не нужно», а потом «нужно срочно».
Искусственный интеллект развивается быстрее, чем правила для него. Но правила догоняют. Начните с простого. Оставляйте заявку и мы проведём для вас бесплатную консультацию, где ответим на все вопросы и поможем понять, насколько ваша компания готова к ISO/IEC 42001 уже сейчас.