Hajde da se ne lažemo: vaši zaposlenici već koriste AI! ChatGPT, Copilot, Gemini... neko iz vašeg tima je već neko vrijeme, redovno "puni" AI alate podacima vaše kompanije.
Nekada je to brzinski draft emaila. Nekada finansijski izvještaj. Nekada su u pitanju lični podaci klijenta? Pitanje nije da li je AI alat dio vaše organizacije - pitanje je upravljate li rizicima povezanim sa upotrebom AI alata u kontekstu informacione sigurnosti. .
S druge strane, ako ste kompanija u Bosni i Hercegovini koja sarađuje s EU partnerima (npr. u Hrvatskoj, Sloveniji ili Njemačkoj), ovo više nije samo interna briga unutar firme, ovo već postaje postaje poslovni zahtjev.
AI rizici o kojima morate voditi računa
When we talk about AI risks in the context of information security, we’re not talking about sci-fi scenarios. We’re talking about practical, everyday problems that are already happening in organizations across the region.
Curenje podataka upotrebom AI alata. Kad vaš zaposlenik ubaci osjetljive podatke u javni AI chatbot, postoji realna šansa da te informacije završe u treningu modela i da se pojave u nečijem drugom upitu. Povjerljive poslovne strategije, lični podaci, izvorni kod softvera... sve to može "procuriti" jednim copy-paste-om. Zvuči dramatično? Dešava se svaki dan.
Tzv. shadow AI Znate za shadow IT? E, ovo je ista priča, samo s AI alatima. Zaposlenici počnu koristiti alate na svoju ruku, bez ikakvog odobrenja ili nadzora. Niko ne zna koji se alati koriste, koji podaci prolaze kroz njih, niti da li ispunjavaju bilo kakve sigurnosne zahtjeve. A ne možete upravljati rizikom za koji ni ne znate da postoji!
"Halucinacije" AI-a u donošenju odluka. AI modeli imaju jednu nezgodnu osobinu: generišu netačne informacije s ogromnim samopouzdanjem. Ovo dovodi do toga da je vrlo lako prepustiti se i povjerovati svemu što AI napiše. Ukoliko se vaš tim osloni na AI-generirani izvještaj ili analizu, a da niko ne provjeri podatke pogrešne informacije mogu završiti u poslovnim odlukama, ugovorima, isporukama klijentima... S tim da ste vi odgovorni za posljedice, ne ChatGPT.
Pritisak od EU partnera i klijenata. Vaši partneri iz EU podliježu EU AI Act-u (Nova legislativa o umjetnoj inteligenciji)koji se primjenjuje fazno tokom ove i naredne godine. Ova legislativa dovodi do jednog potencijalnog izazova za naše firme: iako BiH nije u EU, ako ste dio njihovog lanca snabdijevanja, njihove obaveze usklađenosti postaju vaš problem. Već sada (ili uskoro) možete očekivati pitanja tipa: "Kako upravljate AI rizicima? Imate li to dokumentovano?"
Regulatorni sat otkucava
Tri regulatorne komponente su na snazi (ili u fazi uspostave) - i sve tri ukazuju u istom smjeru za kompanije u Bosni i Hercegovini:
EU AI Act je stupio na snagu u augustu 2024. Zabranjene AI prakse su već na snazi. Pravila za visokorizične AI sisteme postaju obavezna od augusta 2026., a neke kategorije slijede u 2027. Dakle, ako isporučujete bilo šta na EU tržište ovo vas direktno pogađa.
Novi Zakon o zaštiti ličnih podataka BiH (Zakonom o zaštiti ličnih podataka) je u primjeni od oktobra 2025. AI alati koji obrađuju lične podatke (a ruku na srce, većina njih to radi) potpuno su u dometu ovog zakona. Znate li uopšte gdje završavaju podaci koje vaši zaposlenici svakodnevno unose u AI alate?
Nacrt zakona o informacionoj sigurnosti FBiH (Nacrt zakona o informacionoj sigurnosti FBiH) has been sent to parliamentary procedure, partially aligned with the EU’s NIS2 Directive. It signals a clear direction: Bosnia and Herzegovina is building its cybersecurity regulatory framework, and organizations need to be ready.
I da ne zaboravimo - BiH je kandidat (kakav-takav) za članstvo u EU. Što znači da usklađivanje s EU standardima nije stvar izbora, to je smjer u kojem idemo. Firme koje se pripreme sada biće u prednosti. One koje čekaju će improvizirati pod pritiskom, a to nikada ne ide dobro. alignment with EU standards isn’t optional — it’s the trajectory. The companies that prepare now will have a competitive advantage. Those that wait will scramble.
Već imate ISO 27001? U boljoj ste situaciji nego što mislite!
Here’s the good news. If your organization already operates an Information Security Management System (ISMS) based on ISO 27001, you have a solid foundation for managing AI risks. Many of the controls you’ve already implemented are directly relevant.
Pogledajte tabelu koja pokazuje šta vaš postojeći ISMS već rješava, a gdje su potencijalna mjesta za poboljšanja:
| AI rizici | Šta ISO 27001 već pokriva | Šta vam još treba |
|---|---|---|
| Curenje podataka kroz AI alate | A.8.10 Brisanje informacija, A.8.12 Prevencija curenja podataka | Politika prihvatljive upotrebe AI alata. Jasna klasifikacija podataka koji smiju (i ne smiju) ući u AI sisteme |
| Shadow AI (neodobreni alati) | A.5.9 Evidencija informacija i druge povezane imovine, A.8.20 Sigurnost mreža | Popis AI imovine (Alata). Praćenje korištenja neodobrenih AI alata |
| Greške AI-a u odlučivanju | A.5.1 Politike informacione sigurnosti (upravljački okvir) | Obaveza ljudske provjere kod AI-potpomognutih odluka. Procedure validacije AI-generiranog sadržaja |
| AI usluge trećih strana | A.5.19–A.5.22 Odnosi s dobavljačima i sigurnost | Specifične klauzule vezane za AI u ugovorima s dobavljačima. Provjera kako provajderi AI modela postupaju s vašim podacima |
| Pristranost i etička pitanja | Ograničena direktna pokrivenost | Procjene uticaja AI sistema. Detekcija pristranosti; etičko upravljanje AI alatima - ovdje već imamo i integraciju sistema upravljanja sa novim standardom ISO 42001 |
Dakle? Vaš ISMS vam daje strukturu koju treba proširiti da pokrije AI specifične rizike. Konkretno, to znači: ažurirati procjenu rizika s AI scenarijima, dodati AI alate u inventar informacijske imovine, napisati jasnu politiku prihvatljive upotrebe AI-a, i pregledati/doraditi ugovore s dobavljačima za AI-relevantne klauzule.
For organizations looking to go further, ISO/IEC 42001 - novi međunarodni standard za sistem upravljanja umjetnom inteligencijom (objavljen u decembru 2023.). Izgrađen je na istoj strukturi kao ISO 27001, što znači da integracija ne predstavlja značajan problem. Zamislite ga kao prirodno sljedeće poglavlje vašeg ISMS-a u doba AI-a.
Nemate ISMS? AI vam je upravo dao najbolji argument zašto vam treba
Možda već neko vrijeme razmišljate o ISO 27001. Možda ga je klijent spomenuo. Možda je na onoj listi "doći ćemo do toga kad-tad" koja svaka firma ima. Izgleda da je AI je upravo premjestio ISO 27001 na vrh te liste.
Bez strukturiranog okvira upravljanja, gotovo je nemoguće upravljati AI rizicima na bilo koji smislen način. Završite s ad-hoc pravilima koja niko ne poštuje, nemate pojma koji se alati koriste po odjelima, nema dokumentovanog procesa za procjenu novih rizika, i (što je možda najgore) nemate način da klijentu ili partneru pokažete da informacionu sigurnost uopšte shvatate ozbiljno.
ISMS baziran na ISO 27001 daje vam upravo ono što vam nedostaje: sistematičan, ponovljiv pristup identifikaciji i upravljanju rizicima - uključujući i ove nove rizike povezane sa upotrebom AI alata. Ali ne radi se o uvođenju dodatne "papirologije", nego o tome da imate jasnu sliku svojih rizika i konkretan plan za njihovo rješavanje.
A evo i praktične realnosti: ako sarađujete s firmama iz EU - posebno u reguliranim industrijama (finansije, zdravstvo, kritična infrastruktura), pitanje "imate li ISO 27001?" sve češće postaje preduslov za saradnju, a ne bonus. NIS2 Direktiva i EU AI Act podižu letvicu kroz čitave lance snabdijevanja, i to se neće zaustaviti na granicama EU.
Dobra vijest je da uspostava ISMS-a ne mora biti zastrašujuća. Kreće se od razumijevanja gdje ste sada, identifikacije najkritičnijih rizika, pa onda Izgradnjom jakih temelja postavljate zdrave osnove. A kada ga od starta dizajnirate s AI rizicima na umu, osiguravate investiciju za budućnost.
Tri stvari koje možete uraditi već ove sedmice
Bez obzira na to gdje se danas nalazite, evo šta možete uraditi odmah:
1. Otkrijte koje AI alate vaši ljudi zaista koriste. Pošaljite jednostavnu anketu ili jednostavno popričajte s voditeljima odjela. Skoro sigurno ćete biti iznenađeni. Ovo je vaša prva vježba "otkrivanja shadow AI-a", i ujedno prvi korak svake gap analysis.
2. Klasificirajte podatke prema AI izloženosti. Jasno definišite koje kategorije informacija nikada, ali nikada ne smiju biti unesene u AI alate: lični podaci, povjerljivi podaci klijenata, finansijski podaci, intelektualno vlasništvo. I onda to komunicirajte timu - jasno i glasno.
3. Stavite ovo na dnevni red menadžmenta. Upravljanje AI rizicima nije IT problem nego poslovni rizik. Potrebna je podrška rukovodstva i "među-funkcionalni" pristup. Što se ranije rukovodstvo uključi, efikasniji ćete biti u odgovoru na ove izazove.
Ukratko
AI is already transforming how organizations in Bosnia and Herzegovina operate — and the risks it introduces are real. But they’re also manageable. Whether you already have an ISMS or are starting from scratch, the path forward is the same: understand your risks, build (or extend) a structured framework to manage them, and stay ahead of the regulatory curve.
Firme u regionu koje djeluju sada (umjesto da čekaju da ih propisi na to prisile) će biti one koje će zadržati jake EU partnerske odnose, osvojiti nove poslove i izbjeći skupa iznenađenja.
Niste sigurni odakle početi? Javite nam se za besplatne konsultacije od 30 minuta. Pomoći ćemo vam da utvrdite gdje stojite s AI rizicima i koji vam je sljedeći konkretan korak. Bez žargona, bez pritiska, bez prodajnih taktika.