Почему регулирование ИИ теперь стало операционной моделью
Примечание редактора: ниже публикуется гостевой материал Аднама Масуда, главного архитектора по ИИ в UST.
Хотя некоторые компании долгое время рассматривали регулирование ИИ как риск, который проявится в будущем, изменения в законодательстве заставили CIO пересмотреть подход.
В 2026 году ландшафт сместился от принципов и предложений к обязательным срокам, целевым законам штатов и договорным требованиям. Практический вопрос для руководителей теперь не в том, будет ли ИИ регулироваться, а в том, смогут ли они последовательно, в масштабе и по всем вендорам демонстрировать контроль на протяжении всего жизненного цикла.
Еще в конце 2023 года Европейский союз продолжал финализировать свой AI act, а США в основном опирались на добровольные фреймворки и отраслевое правоприменение по действующим законам. Большинство организаций подходили к ответственному ИИ как к программе политик и обучения.
Но теперь EU AI Act действует, а поэтапные даты внедрения уже меняют закупки и продуктовую стратегию. Одновременно штаты и города США приняли обязательные правила в областях с высоким уровнем воздействия, а регуляторы в здравоохранении и страховании сформулировали конкретные ожидания к управлению жизненным циклом.
В этой новой реальности от руководителей ожидают, что они будут знать, где развернут ИИ, классифицировать риски, управлять ими на протяжении всего жизненного цикла и предоставлять доказательства по запросу.
Регуляторная карта
EU AI Act — самый всеобъемлющий закон об ИИ на сегодняшний день; он служит глобальной базой для компаний, которые продают решения в Европе или обслуживают жителей Европы.
Важно, что у закона нет одного момента запуска: он внедряется поэтапно. Закон вступил в силу в 2024 году, а запрещенные практики и обязательства по AI literacy начали действовать 2 февраля 2025 года. Обязательства будут последовательно расширяться до 2027 года.
Для CIO это имеет операционное значение. Область применения определяется тем, где системы выводятся на рынок, вводятся в эксплуатацию или используются, а не местом расположения штаб-квартиры. CIO, отвечающим за глобальные операции, нужно требовать от поставщиков подтверждения классификации рисков и наличия контроля жизненного цикла в рамках стандартной проверки due diligence.
США по-прежнему остаются фрагментированной средой без всеобъемлющего федерального закона об ИИ. Вместо этого компании сталкиваются с сочетанием добровольных стандартов и фреймворков, определяющих разумную осторожность, адресных федеральных законов, направленных против отдельных видов вреда, и растущего набора законов штатов и местных властей с операционными требованиями.
Кроме того, международные инструменты укрепляют подход к управлению на протяжении жизненного цикла.
Совет Европы в своей Framework Convention on AI выстраивает обязательства через призму прав человека. Отдельно G7 Hiroshima Process выпустил добровольные руководящие принципы и кодекс поведения для организаций, разрабатывающих продвинутые AI systems, с акцентом на выявление рисков, их оценку и смягчение на всем протяжении жизненного цикла ИИ.
Вместе эти инструменты подталкивают крупные компании к единому языку для управления рисками, прозрачности и подотчетности — даже если внутреннее законодательство различается.
Когда регулирование неоднородно, CIO стоит опираться на эти фреймворки, включая широко применяемый NIST Artificial Intelligence Risk Management Framework.
Прозрачность становится операционной задачей
Регуляторы ответили на растущие возможности generative AI требованиями к прозрачности и реагированию. В ЕС обязательства по прозрачности применяются к определенным AI systems, взаимодействующим с людьми, а также к определенному AI-generated или измененному контенту.
В США Take It Down Act, принятый в мае 2025 года, требует от подпадающих платформ внедрить механизмы уведомления и удаления для несанкционированных интимных визуальных изображений.
Для CIO вывод таков: governance для generative AI должен включать механики trust-and-safety — раскрытие информации, происхождение контента там, где это применимо, сообщения о злоупотреблениях, SLA на реакцию, журналы аудита и устойчивость к повторной загрузке контента.
Компании, внедряющие ассистентов на базе generative AI, support agents и инструменты для работы с контентом, все чаще будут сталкиваться с ожиданиями по прозрачности со стороны клиентов и регуляторов.
Приоритеты CIO на 2026 год
Для CIO задача состоит в том, чтобы соблюдать сегодняшние требования и при этом выстраивать подходы к управлению, которые будут работать и тогда, когда появятся следующие нормы.
Решение — построить единую корпоративную систему контроля ИИ, которая сможет соответствовать нескольким режимам регулирования, не создавая несколько параллельных инженерных реальностей.
Читать дальше в IT Strategy
Руководители финансов ожидают сокращения финансовых команд и уменьшения числа младших ролей на фоне ИИ-перехода — 7 мая 2026 года
Высокоценные сценарии отстают от хайпа вокруг корпоративного ИИ — 6 мая 2026 года
Frontier AI от Google, Microsoft и xAI пройдет проверку на национальную безопасность — 5 мая 2026 года
AWS и IBM улучшают совместимость мейнфреймов и облака — 5 мая 2026 года
General Mills добавляет трансформацию в зону ответственности технического директора — 5 мая 2026 года
SAP покупает Dremio и Prior Labs для усиления AI data push — 4 мая 2026 года
Технологические роли расширяются в C-suite на фоне вопросов о ценности ИИ — 4 мая 2026 года
Технический директор Shake Shack выстраивает практичную стратегию ИИ — 4 мая 2026 года
Эта повестка связана с безопасным масштабированием ИИ без замедления инноваций. Лидирующие компании будут рассматривать compliance как ограничение проектирования, а governance — как продуктовую возможность: это снижает трение для клиентов, ускоряет закупки и предотвращает дорогостоящие операционные паузы после предотвратимых инцидентов.
Успешные CIO будут делать три вещи последовательно: знать, где развернут ИИ, управлять рисками на протяжении всего жизненного цикла и уметь быстро предоставлять доказательства без аврала. Именно этого требуют регуляторы, и все чаще этого будут требовать клиенты и советы директоров, прежде чем ИИ получит право на масштабирование.
Материал — перевод статьи с английского.