Ce trebuie sa faci ca firma de software din Romania care foloseste AI, ca sa nu incalci Regulamentul european? ISO 42001 acopera aproximativ 40 la 50% din cerintele EU AI Act, dar nu le inlocuieste. Cele doua functioneaza impreuna: unul e standard de management voluntar, celalalt e lege europeana cu amenzi de pana la 35 de milioane EUR.
Verifica in ce categorie de risc te incadrezi
EU AI Act (Regulamentul UE 2024/1689) clasifica sistemele AI in patru categorii de risc. Obligatiile tale depind de categoria in care se incadreaza produsul sau serviciul tau.
| Categorie | Exemple | Ce trebuie sa faci |
|---|---|---|
| Risc inacceptabil | Scor social, manipulare subliminala, recunoastere faciala prin colectare automata | Interzis din 2 februarie 2025 |
| Risc ridicat | AI in recrutare, creditare, acces la servicii publice, infrastructura critica | Evaluare de conformitate, marcaj CE, documentatie tehnica (din august 2026) |
| Risc limitat | Chatboti, generare de text, deepfakes | Obligatii de transparenta (informezi utilizatorul ca interactioneaza cu AI) |
| Risc minim | Filtre spam, jocuri AI, recomandari de produse | Fara obligatii specifice |
Daca ai un SRL cu 30 de angajati care dezvolta un modul de scoring pentru o firma de asigurari din Germania, produsul tau se incadreaza la risc ridicat. Din august 2026, trebuie sa ai documentatie tehnica, evaluare de conformitate si marcaj CE. ISO 42001 te ajuta cu procesele de management, dar nu inlocuieste evaluarea de conformitate specifica produsului.
Identifica ce acopera ISO 42001 din cerinte si ce nu
ISO 42001 este un standard de sistem de management. EU AI Act este o reglementare de produs. Se suprapun in unele zone si difera complet in altele.
| Cerinta | ISO 42001 | EU AI Act |
|---|---|---|
| Evaluarea riscurilor AI | Da (Anexa A, 42 obiective de control) | Da (Art. 9, sistem de management al riscurilor) |
| Calitatea datelor de antrenament | Da (controale specifice) | Da (Art. 10, cerinte de guvernanta a datelor) |
| Transparenta si explicabilitate | Da (controale de transparenta) | Da (Art. 13, obligatii de transparenta) |
| Supravegherea umana | Da (controale de oversight) | Da (Art. 14, masuri de supraveghere umana) |
| Declaratie de conformitate UE | Nu | Da (Art. 47, obligatorie pentru sisteme cu risc ridicat) |
| Marcaj CE | Nu | Da (Art. 48, obligatoriu pentru sisteme cu risc ridicat) |
| Inregistrare in baza de date UE | Nu | Da (Art. 49, obligatorie inainte de punerea pe piata) |
| Monitorizare post-piata | Partial (monitorizare performanta) | Da (Art. 72, sistem de monitorizare post-piata) |
ISO 42001 iti construieste procesele interne de gestionare a riscurilor AI. EU AI Act iti spune ce cerinte trebuie sa indeplineasca produsul tau AI inainte sa ajunga pe piata europeana. Certificarea ISO 42001 este dovada ca ai un sistem structurat, dar nu inlocuieste evaluarea de conformitate ceruta de regulament.
ISO 42001 nu e standard armonizat pentru AI Act?
Nu. CEN-CENELEC lucreaza in prezent la standarde armonizate (prEN 18286) care vor da prezumtie de conformitate cu AI Act. ISO 42001 nu apare pe lista standardelor armonizate. Dar ofera o baza solida: o organizatie cu ISO 42001 va trebui sa completeze cerintele specifice de produs, nu sa le construiasca de la zero.
Pregateste-te acum pentru termenul din august 2026
Regulamentul se aplica direct in Romania, fara transpunere. Calendarul este fix.
- Verifica daca sistemele tale AI se incadreaza in categoriile de risc ridicat din Anexa III a regulamentului
- Fa o analiza de diferente intre procesele tale actuale si cele 42 de obiective de control din ISO 42001
- Implementeaza controalele care lipsesc: evaluarea biasului, calitatea datelor, monitorizarea in productie, documentarea deciziilor
- Pregateste documentatia tehnica ceruta de Art. 11 al AI Act: descrierea sistemului, evaluarea riscurilor, masurile de reducere a riscurilor, rezultatele testarii
- Planifica evaluarea de conformitate cu un organism de evaluare (pentru sisteme cu risc ridicat)
Un aspect specific Romaniei: pana la data scrierii acestui ghid, Romania nu a desemnat oficial autoritatea nationala competenta pentru aplicarea AI Act, desi termenul din Art. 70 al regulamentului a fost 2 august 2025. Strategia Nationala privind Inteligenta Artificiala (2024-2027) propune infiintarea unei autoritati sub coordonarea Autoritatii pentru Digitalizare, dar procesul nu e finalizat.
Asta nu inseamna ca regulamentul nu se aplica. Se aplica direct. Inseamna ca mecanismul national de supraveghere nu e inca complet functional.
Contextul din Romania in martie 2026
In februarie 2026, AROBS Transilvania Software a devenit prima companie din Romania certificata ISO 42001. Certificarea a venit dupa un audit care a evaluat guvernanta AI, politicile interne si managementul riscurilor pe ciclul de viata al sistemelor AI.
In Parlament exista Proiectul de lege Pl-x nr. 184/2025, care prevede sanctiuni nationale intre 500.000 RON si 100 milioane RON (aproximativ 100.000 la 20.000.000 EUR) pentru incalcari ale reglementarilor AI. Proiectul e in analiza la Camera Deputatilor.
Daca firma ta dezvolta sau integreaza solutii AI, certificarea ISO 42001 este cel mai clar semnal ca ai un sistem de management al riscurilor functional. Nu e suficienta singura pentru conformitate cu AI Act, dar e baza pe care construiesti tot restul.
Daca am deja ISO 27001, am nevoie si de ISO 42001?
ISO 27001 protejeaza informatiile. ISO 42001 gestioneaza sistemele AI. Cele doua standarde au aceeasi structura de clauze (4 la 10) si se integreaza in acelasi sistem de management. Dar ISO 27001 nu acopera riscurile specifice AI: bias, calitatea datelor de antrenament, explicabilitatea algoritmilor, impactul deciziilor automate asupra persoanelor. Daca folosesti AI si ai clienti europeni, ai nevoie de ambele. Vezi si legatura dintre ISO 27001 si Directiva NIS2.