Pokud byla data v našem minulém článku krví systému, pak je evidence aktiv jeho mapou. Bez ní se moderní digitální infrastruktura mění v bludiště, kde rizika číhají v každém neschváleném API nebo zapomenutém modelu.

V dubnu 2026 už není otázkou, zda AI používáte, ale zda máte přehled o tom, kde všude ji máte a jak funguje. S blížící se plnou účinností EU AI Act a aktualizovanými rámci NIST AI RMF 1.0 se evidence AI aktiv přesunula z kategorie „dobré vědět“ do kategorie „kritická zákonná povinnost“.

Od statických tabulek k dynamickému AI inventáři

Doba, kdy stačilo mít Excel s přehledem softwarových licencí, je nenávratně pryč. AI aktiva v roce 2026 nepředstavují jednu položku, ale celý propojený ekosystém.

Podle bezpečnostního standardu OWASP Top 10 for LLM Applications tvoří jádro těchto aktiv samotné váhy modelů (model weights) a systémové prompty, které představují nejcennější duševní vlastnictví firmy a zároveň primární cíle útoků. Spolu s nimi tvoří moderní evidenci také mikroslužby, které jako základní stavební kameny AI systémů definuje rámec NIST.

Podle mezinárodního standardu ISO/IEC 42001:2023 musí moderní evidence zahrnovat:

• Původ dat (Data Lineage): Odkud pocházejí trénovací sady a jaká je jejich licence.
• Klasifikaci rizik: Určení, zda daný model spadá pod „vysoké riziko“ (např. systémy pro biometrii či kritickou infrastrukturu).
• Závislosti na třetích stranách: Přehled externích API, která systém využívá, a jejich SLA.

Aktualita: Paradox viditelnosti

Nejnovější analýza Menlo Security: 2025 Report odhaluje alarmující rozpor: zatímco 90 % IT lídrů vyjadřuje vážné obavy z rizik spojených s AI, celých 68 % zaměstnanců přiznává používání neschválených „stínových“ nástrojů (Shadow AI), přičemž více než polovina z nich do těchto modelů vkládá citlivá firemní data.

Tento rozpor vytváří tzv. „AI Shadow Gap“ – rozdíl mezi tím, co si organizace myslí, že používá, a tím, co se ve skutečnosti děje v její infrastruktuře.

Pro rok 2026 se proto prioritou stává automatizované vyhledávání AI (AI Discovery) – proces, při kterém specializované nástroje v reálném čase identifikují skrytá volání modelů v rámci firemní sítě, o kterých bezpečnostní týmy dosud nevěděly.

Rámec NIST AI RMF a role AI Asset Managerů

Americký národní institut standardů ve svém rámci zdůrazňuje, že „nemůžete chránit to, o čem nevíte“. Evidence aktiv je zde definována jako základní kámen pilíře GOVERN (řízení).

S rostoucí komplexitou AI systémů a regulatorními požadavky vzniká v moderních firmách nová role: AI Asset Manager. Jeho úkolem je dozor nad „životním cyklem důvěry“ – tedy zajištění, aby každé AI aktivum mělo jasného vlastníka, definovaný účel a pravidelný plán auditů.

Součástí této správy je i sledování tzv. „model drift“ (ztráty přesnosti modelu v čase). Tato role vychází z aktuálních standardů správy technologií, které prosazuje ITAM Forum.

Inventář jako štít proti NIS2 a AI Act

Pro české firmy je evidence aktiv klíčová i kvůli provázanosti se směrnicí NIS2, kterou zastřešuje NÚKIB.

Pokud útočník kompromituje váš model pomocí tzv. Adversarial Attacks (metod, jak oklamat AI manipulovaným vstupem), bez mapy aktiv nebudete schopni rychle určit rozsah incidentu ani splnit povinnost jeho reportování.

„Evidence není jen seznamem položek; je to graf závislostí. V roce 2026 musíte vědět nejen to, že model máte, ale i jaké procesy ovlivňuje a k jakým datům má přístup.“ – Metodika implementace EU AI Act.

Praktické kroky pro efektivní kontrolu rizik

Strategie kontroly v roce 2026 vycházejí z doporučení ENISA (European Union Agency for Cybersecurity) a zaměřují se na tři klíčové pilíře:

• Centralizace pomocí AIIM (AI Inventory Management): Nasazení platforem pro centralizovaný přehled o všech využívaných modelech.
• Klasifikace dle dopadu: Každé aktivum musí mít přiřazenou úroveň kritičnosti. Marketingová AI má jiný režim a frekvenci kontrol než AI systémy v kritické infrastruktuře.
• Auditovatelnost logů: Transparentní záznamy o tom, kdy byl model naposledy validován, zda nedochází k jeho degradaci (model drift) a zda stále odpovídá nastaveným etickým standardům.

Závěr: Transparentnost jako konkurenční výhoda

Evidence AI aktiv se v roce 2026 stává měřítkem digitální zralosti. Organizace, které tento krok podcení, riskují nejen drastické pokuty podle EU AI Act, ale i ztrátu důvěry trhu.

Budoucnost patří firmám, které dokáží doložit integritu každého algoritmu, jejž používají. Evidence není byrokracií, ale nezbytným navigačním systémem v éře, kdy se AI stává neoddělitelnou součástí korporátní identity.