Dariusz Rycek

CEO, MBA, Lead Auditor ISMS, BCMS, AIMS, etc. (CoC PECB), Ekspert w zakresie certyfikacji systemów zarządzania, QSCert Lead Auditor - ISO/IEC 27001, ISO 22301, etc.

1 lutego, 2026
1:39 am

ISO 42006 - Zwiększanie zaufania do certyfikacji systemów Ai

Opublikowany w lipcu 2025 roku standard ISO/IEC 42006:2025 wprowadza przełomowe wymagania dla jednostek certyfikujących systemy zarządzania sztuczną inteligencją (AIMS) według ISO/IEC 42001. Jako rozszerzenie ISO/IEC 17021-1, standard ten po raz pierwszy w sposób kompleksowy określa, jak powinny działać certyfikatorzy audytujący organizacje zarządzające AI, ustanawiając standardy kompetencji, bezstronności i metodologii audytu. Dla audytorów, konsultantów ISO oraz organizacji planujących certyfikację oznacza to nową erę profesjonalizmu, w której każdy wydany certyfikat może być wiarygodnie zaufany przez regulatorów, klientów i partnerów biznesowych.

Relacja ISO 42006 do ISO 42001 i ISO 17021-1

ISO 42006 nie jest standardem samodzielnym – stanowi specjalizację ISO/IEC 17021-1 „Conformity assessment — Requirements for bodies providing audit and certification of management systems”. Podczas gdy ISO 17021-1 określa ogólne wymagania dla wszystkich jednostek certyfikujących systemy zarządzania, ISO 42006 dodaje specyficzne wymagania związane z unikalną naturą systemów AI.

Kluczowa różnica dotyczy relacji z ISO 42001. Jak stanowi klauzula 1 ISO 42006: „This document specifies additional requirements for bodies providing audit and certification of artificial intelligence management systems (AIMS) in accordance with ISO/IEC 42001”. Innymi słowy, ISO 42001 określa co organizacja musi wdrożyć w swoim systemie zarządzania AI, natomiast ISO 42006 precyzuje jak jednostka certyfikująca powinna audytować ten system i jakie kompetencje muszą posiadać jej audytorzy.

Zgodnie z ISO 42001, organizacja wdraża procesy zarządzania cyklem życia AI obejmujące planowanie, projektowanie, rozwój, walidację, wdrożenie, monitorowanie i wycofanie systemów AI. ISO 42006 wymaga, aby audytorzy rozumieli każdy z tych etapów w kontekście ISO/IEC 5338 (AI lifecycle) oraz potrafili ocenić skuteczność kontroli na każdym poziomie

Bezstronność jako fundament wiarygodności

Jednym z najistotniejszych elementów ISO 42006 jest radykalne podejście do zarządzania bezstronnością. Jak czytamy w materiale źródłowym: „A cornerstone of ISO 42006 is the management of impartiality. Certification bodies are strictly prohibited from providing consultancy services related to AI management systems, information security, data protection or risk management to their certification clients”.^[1]

Standard w klauzuli 5.2.7 precyzuje: „The certification body shall not offer or provide, nor shall it have offered or provided, management system consultancy or internal audits to its clients”. Co więcej, zakaz ten obejmuje również sytuacje, gdy usługi doradcze są nazywane „oceną” (assessment) czy „inspekcją” (inspection) – istota konfliktu interesów pozostaje taka sama.^[2]^[1]

Dla audytorów i konsultantów oznacza to jasne rozdzielenie ról: nie można jednocześnie doradzać organizacji we wdrażaniu ISO 42001 i następnie certyfikować tego samego systemu. Jednostki certyfikujące mogą jedynie oferować ogólnodostępne szkolenia publiczne, pod warunkiem że nie są dedykowane konkretnemu klientowi certyfikacyjnemu.^[2]

To podejście dramatycznie podnosi wiarygodność certyfikatów, eliminując sytuacje, w których certyfikator „audytuje własną pracę”. Jak podsumowuje Sam De Silva z CMS Law: „ISO 42006 represents an important addition to the assurance landscape, elevating certification of AI management systems from a box-ticking exercise to a robust, defensible control”.

Trójwymiarowe kompetencje audytorów systemów AI

ISO 42006 ustanawia najbardziej szczegółowe w historii certyfikacji wymagania kompetencyjne dla audytorów systemów AI. Zgodnie z klauzulą 7.2.3 standardu, audytorzy muszą posiadać kompetencje w trzech kluczowych wymiarach:^[2]

Kompetencje techniczne AI

Audytor musi rozumieć koncepcje i technologie AI wymienione w ISO/IEC 42001, w tym procesy cyklu życia AI zgodnie z ISO/IEC 5338. Standard ISO/IEC 5338 definiuje 13 procesów cyklu życia AI – od planowania, przez pozyskiwanie danych, budowę modelu, walidację, aż po monitorowanie i wycofanie systemu. Audytor musi potrafić ocenić, czy organizacja skutecznie zarządza każdym z tych etapów.^[5]^[2]

Dodatkowo wymagana jest znajomość zarządzania ryzykiem AI według ISO/IEC 23894, który wprowadza specyficzne kategorie ryzyka AI: ryzyka związane z danymi (bias, jakość), ryzyka algorytmiczne (explainability, robustness) oraz ryzyka związane z ludźmi i społeczeństwem (privacy, autonomy).^[6]^[2]

Kompetencje systemowe i zarządzania

Audytor musi znać wymagania ISO/IEC 42001 oraz powiązane standardy systemów zarządzania, w szczególności ISO/IEC 27001 (bezpieczeństwo informacji) i ISO/IEC 27701 (zarządzanie prywatnością). Zgodnie z Aneksem B ISO 42006, audytor powinien posiadać co najmniej 4 lata doświadczenia w IT, bezpieczeństwie informacji lub ochronie danych, w tym minimum 1 rok związany bezpośrednio z AI.^[4]^[2]

Kompetencje sektorowe i prawne

Klauzula 7.2.3.2 wymaga od audytora znajomości „AI-related legal obligations applicable to the client’s organization”. Obejmuje to zrozumienie EU AI Act, regulacji sektorowych (np. MDR dla urządzeń medycznych, przepisów automotive dla systemów autonomicznych) oraz lokalnych przepisów o ochronie danych osobowych.^[1]^[2]

Dla liderów zespołów audytowych wymagania są jeszcze wyższe – muszą wykazać się uczestnictwem w co najmniej 4 pełnych audytach AIMS lub równoważnych audytach ISMS (ISO 27001), z czego przynajmniej jeden jako lider zespołu.^[2]

Ścieżka tranzycyjna dla doświadczonych audytorów

ISO 42006 przewiduje pragmatyczne rozwiązanie dla audytorów posiadających już doświadczenie w certyfikacji ISO 27001. Jak stanowi Annex B.3: „For a transition period of two years from the publication of this document, experience in auditing ISMS (ISO/IEC 27001) may substitute for experience in auditing AIMS”.^[2]

Oznacza to, że do lipca 2027 roku audytorzy z solidnym doświadczeniem w audytowaniu systemów zarządzania bezpieczeństwem informacji mogą kwalifikować się jako liderzy zespołów AIMS, nawet jeśli nie przeprowadzili jeszcze pełnych audytów ISO 42001. To praktyczne podejście umożliwia jednostkom certyfikującym budowanie kompetencji stopniowo, przy jednoczesnym wykorzystaniu istniejącej ekspertyzy w pokrewnych obszarach.^[1]^[2]

Kalkulacja czasu audytu oparta na ryzyku

Jedną z najbardziej innowacyjnych części ISO 42006 jest Annex A, który wprowadza precyzyjną metodologię kalkulacji czasu audytu opartą na czynnikach ryzyka. W przeciwieństwie do tradycyjnych podejść opartych wyłącznie na liczbie pracowników, ISO 42006 uwzględnia:^[1]^[2]

Bazę personelu AI: Liczba osób zaangażowanych w cykl życia AI (planowanie, rozwój, wdrożenie, monitorowanie)^[2]

Role stakeholderów: Czy organizacja jest producentem AI (AI producer), dostawcą (AI provider), czy użytkownikiem (AI deployer) – każda rola ma inne profile ryzyka^[4]^[2]

Czynniki addytywne:

Liczba ram regulacyjnych, którym podlega organizacja (EU AI Act, MDR, przepisy sektorowe)
Liczba systemów AI wysokiego ryzyka
Złożoność łańcucha dostaw i outsourcingu
Wielolokalizacyjność operacji AI^[1]^[2]

Zgodnie z tabelami w Annex A, bazowy czas audytu dla organizacji z 25 osobami w cyklu życia AI wynosi 6 dni audytowych (stage 1 + stage 2). Następnie dodawane są dni za każdy czynnik ryzyka – np. +0.5 dnia za każdy dodatkowy framework regulacyjny, +1 dzień za systemy wysokiego ryzyka.^[2]

To podejście zapewnia, że audyty są „neither superficial nor generic, but instead are tailored to the actual risk landscape of the organisation”. Dla organizacji planujących certyfikację oznacza to bardziej przewidywalny proces i uzasadnienie kosztów audytu.^[1]^[2]

Zarządzanie poufnością i własnością intelektualną

Audyt systemów AI często wymaga dostępu do wrażliwych informacji – kodu źródłowego algorytmów, zbiorów danych treningowych, dokumentacji technicznej zawierającej know-how. ISO 42006 w klauzuli 8.5 nakłada na jednostki certyfikujące obowiązek ustanowienia „safeguards for the exchange of information”.^[1]^[2]

Kluczowe jest wymaganie z klauzuli 9.1.2.4: przed rozpoczęciem audytu klient musi zadeklarować, jakie informacje nie mogą być udostępnione audytorom ze względu na tajemnicę handlową lub ochronę IP. Jeśli te informacje są krytyczne dla oceny zgodności z ISO 42001, jednostka certyfikująca może odmówić przeprowadzenia audytu lub wstrzymać certyfikację, dopóki nie zostaną wynegocjowane odpowiednie zabezpieczenia (np. NDA, ograniczony dostęp, audyt w obecności przedstawiciela klienta).^[2]^[1]

Dla audytorów oznacza to konieczność wypracowania elastycznych metod weryfikacji – np. gdy pełny kod nie może być ujawniony, audytor może weryfikować wyniki testów, raporty z walidacji, dokumentację procesu code review, zamiast bezpośrednio przeglądać kod źródłowy.^[2]

Praktyczne rekomendacje dla audytorów i konsultantów

Budowanie kompetencji AI

Audytorzy planujący specjalizację w AIMS powinni:

Ukończyć dedykowane szkolenie ISO/IEC 42001 – zarówno w zakresie wymagań standardu, jak i praktyk audytowych^[2]
Pogłębić wiedzę o cyklu życia AI – przestudiować ISO/IEC 5338, zrozumieć różnice między machine learning, deep learning, AI symboliczną^[5]
Opanować zarządzanie ryzykiem AI – ISO/IEC 23894 wprowadza specyficzne kategorie ryzyka nieobecne w tradycyjnym zarządzaniu ryzykiem^[6]
Śledzić ewolucję regulacji – EU AI Act, GDPR AI amendments, regulacje sektorowe zmieniają się dynamicznie^[1]^[2]
Rozważyć certyfikację przejściową – wykorzystać 2-letnie okno tranzycyjne dla audytorów ISO 27001, aby zbudować doświadczenie AIMS przy jednoczesnym wykorzystaniu istniejących kompetencji^[2]

Narzędzia i metodyki audytowe

Skuteczny audyt AIMS wymaga nowych narzędzi:

Checklista procesów cyklu życia AI oparta na ISO/IEC 5338^[5]
Matryce oceny ryzyka AI zgodne z ISO/IEC 23894^[6]
Szablony śledzenia incydentów umożliwiające powiązanie negatywnych skutków systemów AI z konkretnymi elementami AIMS^[1]^[2]
Rejestry compliance mapujące wymagania różnych regulacji (EU AI Act, GDPR, przepisy sektorowe) na kontrole ISO 42001^[4]

Zarządzanie karierą audytora AI

Rynek audytorów AI znajduje się w fazie wzrostu. Jak zauważa materiał źródłowy: „Demand for personnel who combine deep AI knowledge, sector expertise and audit skills will outstrip supply in the medium term”. Audytorzy inwestujący w kompetencje AI mogą oczekiwać:^[1]

Wyższych stawek za dzień audytowy ze względu na specjalistyczną wiedzę
Szerszych możliwości współpracy z jednostkami certyfikującymi
Ról liderów zespołów w audytach wielostandardowych (ISO 42001 + ISO 27001 + ISO 27701)^[1]

Jeśli interesujesz się certyfikacją ISO 42001 dla Twojej organizacji lub rozwojem kompetencji audytowych, zapoznaj się z naszą ofertą certyfikacji ISO 42001.

Podsumowanie - Powiązanie z EU AI Act i przyszłość regulacji

ISO 42006 nabiera szczególnego znaczenia w kontekście wdrażania EU AI Act, który wymaga od dostawców systemów AI wysokiego ryzyka przeprowadzenia procedury oceny zgodności. Certyfikacja przez jednostkę akredytowaną według ISO 42006 może służyć jako dowód compliance z wieloma wymaganiami Aktu.

ISO 42001 w swoim Annex A zawiera kontrole bezpośrednio adresujące wymagania EU AI Act, takie jak zarządzanie jakością danych (Art. 10), dokumentacja techniczna (Art. 11), record-keeping (Art. 12), transparentność (Art. 13), human oversight (Art. 14) czy robustness i accuracy (Art. 15). Audytor certyfikowany według ISO 42006, znający te powiązania, jest w stanie nie tylko ocenić zgodność z ISO 42001, ale również wskazać obszary pokrycia z wymogami regulacyjnymi.

W miarę jak kolejne jurysdykcje wprowadzają własne regulacje AI (USA, Chiny, Kanada, Australia), standard ISO 42006 może stać się globalnym benchmarkiem dla jednostek oceniających zgodność organizacji z wymogami prawnymi. Dla audytorów oznacza to długoterminową perspektywę rozwoju zawodowego w szybko rosnącym segmencie rynku compliance.

Kontakt ws. certyfikacji

Trochę więcej wiedzy, jak to wygląda od strony realizacji

Zadzwoń lub napisz

FAQ - ISO/IEC 42006:2025 – Nowy Standard Podnoszący Jakość Certyfikacji Systemów Zarządzania AI

1. Czym różni się ISO 42006 od ISO 42001?

ISO/IEC 42001 określa wymagania dla organizacji wdrażających system zarządzania AI (AIMS), natomiast ISO/IEC 42006 ustanawia wymagania dla jednostek certyfikujących, które audytują te systemy. ISO 42001 mówi "co" organizacja musi wdrożyć, a ISO 42006 – "jak" powinien działać certyfikator i jakie kompetencje muszą posiadać audytorzy. ISO 42006 jest rozszerzeniem ISO/IEC 17021-1 o specyficzne wymagania związane z audytowaniem AI

2. Jakie minimalne wymagania musi spełnić audytor ISO 42001?

Audytor AIMS musi posiadać: wykształcenie na poziomie uniwersyteckim, minimum 4 lata doświadczenia w IT/bezpieczeństwie informacji/ochronie danych (w tym co najmniej 1 rok związany z AI), ukończone specjalistyczne szkolenie z audytu ISO 42001, oraz znajomość ISO/IEC 5338 (cykl życia AI) i ISO/IEC 23894 (zarządzanie ryzykiem AI). Liderzy zespołów muszą dodatkowo wykazać się uczestnictwem w minimum 4 pełnych audytach AIMS lub ISO 27001

3. Czy jednostki certyfikujące mogą świadczyć konsulting ISO 42001?

Nie. ISO 42006 kategorycznie zabrania jednostkom certyfikującym świadczenia usług doradczych dotyczących systemów zarządzania AI, bezpieczeństwa informacji, ochrony danych lub zarządzania ryzykiem swoim klientom certyfikacyjnym. Zakaz obejmuje także audyty wewnętrzne, nawet jeśli są nazywane "ocenami" lub "inspekcjami". Jednostki mogą jedynie oferować ogólnodostępne szkolenia publiczne nieprzeznaczone dla konkretnego klienta.

4. Ile czasu trwa audyt certyfikacyjny według ISO 42006?

Czas audytu jest kalkulowany na podstawie liczby personelu zaangażowanego w cykl życia AI, roli organizacji (producer/provider/deployer), profilu ryzyka systemów AI, liczby ram regulacyjnych i innych czynników określonych w Annex A standardu. Dla organizacji z 25 osobami w cyklu życia AI bazowy czas to około 6 dni audytowych (stage 1 + stage 2), z dodatkowymi dniami za czynniki ryzyka. Szczegółowa kalkulacja jest określana indywidualnie dla każdej organizacji

5. Czy ISO 42006 pomaga w compliance z EU AI Act?

Tak. Certyfikacja przez jednostkę akredytowaną według ISO 42006 może służyć jako dowód zgodności z wieloma wymaganiami EU AI Act dla systemów wysokiego ryzyka. ISO 42001, którego audyt reguluje ISO 42006, zawiera kontrole bezpośrednio adresujące wymagania Aktu dotyczące jakości danych, dokumentacji technicznej, transparentności, human oversight i robustness. Audytorzy certyfikowani według ISO 42006 muszą znać zobowiązania prawne związane z AI, w tym EU AI Act

6. Czy doświadczenie w audytowaniu ISO 27001 może być wykorzystane przy audytach ISO 42001?

Tak, w okresie przejściowym. ISO 42006 przewiduje 2-letni okres tranzycyjny (do lipca 2027), w którym doświadczenie w audytowaniu ISO/IEC 27001 (ISMS) może zastępować doświadczenie w audytowaniu AIMS dla celów kwalifikacji jako lider zespołu audytowego. To pragmatyczne rozwiązanie umożliwia doświadczonym audytorom ISO 27001 budowanie kompetencji AIMS przy jednoczesnym wykorzystaniu istniejącej ekspertyzy w bezpieczeństwie informacji.

Bibliografia

Oficjalne dokumenty:

ISO/IEC 42006:2025 Artificial intelligence — Requirements for bodies providing audit and certification of artificial intelligence management systems, ISO.org, 2025, https://www.iso.org/standard/44546.html
ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system, ISO.org, 2023, https://www.iso.org/standard/81230.html
ISO/IEC 17021-1:2015 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements, ISO.org, 2015, https://www.iso.org/standard/61651.html
ISO/IEC 5338:2023 Information technology — Artificial intelligence — AI system life cycle processes, ISO.org, 2023, https://www.iso.org/standard/81118.html
ISO/IEC 23894:2023 Information technology — Artificial intelligence — Guidance on risk management, ISO.org, 2023, https://www.iso.org/standard/77304.html

Publikacje eksperckie:

De Silva, Sam. „ISO 42006: Elevating Confidence In AI Management System Certification”, Risk & Compliance Magazine, Oct-Dec 2025, CMS Cameron McKenna Nabarro Olswang LLP
Regulation (EU) 2024/1689 of the European Parliament and of the Council on harmonised rules on artificial intelligence (Artificial Intelligence Act), Official Journal of the European Union, 2024, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

Dodatkowe materiały:

ISO Survey of Management System Standard Certifications 2024, ISO.org, 2025, https://www.iso.org/iso-survey.html
Artificial Intelligence Standards Roadmap, ISO/IEC JTC 1/SC 42, 2024, https://www.iso.org/committee/6794475.html

Zwiększanie zaufania do certyfikacji systemów zarządzania sztuczną inteligencją