Dva robota drže vagu.

Potpuni vodič kroz Zakon EU o umjetnoj inteligenciji (AI Act)

Blog /

Zakon EU o umjetnoj inteligenciji – Uredba (EU) 2024/1689 – postavlja pravno obvezujuća pravila za svaki sustav umjetne inteligencije stavljen na europsko tržište ili čiji rezultati dopiru do korisnika EU, što ga čini prvim horizontalnim zakonom o umjetnoj inteligenciji temeljenim na riziku bilo gdje. Bez obzira gradite li modele, integrirate li alate trećih strana ili jednostavno primjenjujete chatbotove za posluživanje kupaca, Zakon stvara nove dužnosti i izlaže vas vrtoglavim kaznama do 7 % globalnog prometa po kršenju. Stupanje na snagu bilo je 1. kolovoza 2024.; obveze usklađenosti postupno se primjenjuju od veljače 2025. do kolovoza 2027., što znači da je vrijeme pripreme ograničeno.

Ovaj praktični vodič probija se kroz pravni žargon i objašnjava točno ono što trebate znati: opseg Zakona i ključne definicije, njegovu četverostupanjsku klasifikaciju rizika, vremenski okvir i mehanizme provedbe, konkretne obveze za pružatelje usluga, korisnike, uvoznike i distributere te kazne za neispunjavanje obveza. Također, propise usklađujemo s GDPR-om, NIS2, pravilima o sigurnosti proizvoda i specifičnim sektorskim zahtjevima, prije nego što vam damo detaljnu kontrolnu listu za usklađenost na koju inženjerski, pravni i vodeći timovi mogu odmah djelovati. Pripremimo vas - mnogo prije nego što revizori pokucaju na vrata.

Ukratko: Što je zapravo Zakon EU o umjetnoj inteligenciji

Uredba (EU) 2024/1689 - poznatija kao Zakon EU-a o umjetnoj inteligenciji - izravno je primjenjiva uredba EU-a, a ne direktiva. To znači da se njezini članci automatski primjenjuju u svakoj državi članici bez potrebe za nacionalnim prenošenjem, slično kao i GDPR učinio 2018. Cilj je dvostruk: zaštititi temeljna prava i sigurnost, a istovremeno tvrtkama pružiti pravnu sigurnost za odgovorno inoviranje s umjetnom inteligencijom. Kako bi se to postiglo, Zakon uvodi horizontalni skup alata temeljen na riziku koji obuhvaća svaki sektor, od financija do zdravstva, ocjenjujući sustave od „minimalnog“ do „neprihvatljivog“ rizika s odgovarajućim pravnim obvezama.

Opseg i definicije koje trebate znati

Prije izrade plana usklađenosti, savladajte osnovni vokabular:

  • AI sustav: „sustav temeljen na stroju dizajniran za rad s različitim razinama autonomije i koji, za eksplicitne ili implicitne ciljeve, iz ulaznih podataka zaključuje kako generirati izlaze - poput predviđanja, sadržaja, preporuka ili odluka - koji mogu utjecati na fizička ili virtualna okruženja.“
  • Opća umjetna inteligencija (GPAI): sustav umjetne inteligencije sposoban za obavljanje širokog raspona različitih zadataka, bez obzira na to kako se naknadno podešava ili primjenjuje.
  • Pružatelj usluga: svaka fizička ili pravna osoba koja razvija – ili je razvila – sustav umjetne inteligencije s ciljem njegovog stavljanja na tržište ili puštanja u rad pod svojim imenom ili zaštitnim znakom.
  • Korisnik (često nazivan „postavljač“): osoba ili subjekt koji koristi sustav umjetne inteligencije pod svojim ovlaštenjem, isključujući privatnu, neprofesionalnu upotrebu.
  • Uvoznik: Stranka s poslovnim nastanom u Uniji koja na tržište EU stavlja sustav umjetne inteligencije koji nosi ime ili zaštitni znak subjekta koji se nalazi izvan Unije.
  • Distributer: sudionik u lancu opskrbe - osim pružatelja usluga ili uvoznika - koji stavlja na raspolaganje sustav umjetne inteligencije bez njegovog mijenjanja.

Teritorijalni doseg je širok: svaki sustav stavljen na tržište EU-a ili čiji se proizvod koristi u EU-u potpada pod Zakon, bez obzira gdje se nalazi programer. Iznimke postoje za isključivo vojne ili primjene u području nacionalne sigurnosti, prototipove istraživanja i razvoja koji još nisu stavljeni na tržište i osobne hobi projekte.

Ključna načela ugrađena u Zakon

Uredba spaja dugogodišnje etičke koncepte u provedivo pravo:

  • Ljudska agencija i nadzor
  • Tehnička robusnost i sigurnost
  • Privatnost i upravljanje podacima
  • Transparentnost i objašnjivost
  • Raznolikost, nediskriminacija i pravednost
  • Društvena i ekološka dobrobit

To odražava OECD-ova načela umjetne inteligencije i ranije EU-ove „Etičke smjernice za Pouzdan AI", ali sada nose regulatorne ovlasti.

Regulativa u odnosu na postojeće smjernice mekog prava

Do 2024. godine, upravljanje umjetnom inteligencijom u Europi oslanjalo se na dobrovoljne okvire poput Pakta EU o umjetnoj inteligenciji ili korporativnih kodeksa etike. Zakon o umjetnoj inteligenciji mijenja pravila igre: usklađenost je obvezna, podložna reviziji i potkrijepljena kazne do 35 milijuna eura ili 7 % globalnih prihoda. Drugim riječima, deklaracije o „etičkoj umjetnoj inteligenciji“ više nisu dovoljne - organizacije moraju izraditi ocjene sukladnosti, CE oznake i provjerljive zapise ili riskiraju da im se zabrani ulazak na tržište EU.

Vremenski okvir, pravni status i faze provedbe

Zakon EU o umjetnoj inteligenciji putovao je od prijedloga do obvezujućeg zakona za nešto više od tri godine - brzinom svjetlosti prema briselskim standardima. Budući da se radi o Uredbi, većina članaka se automatski primjenjuje u cijelom bloku bez nacionalne transpozicije. Ono što se s vremenom mijenja jest koje obveze prve nastaju. Raspored u nastavku prikazuje političke prekretnice koje su nas dovele dovde i postavlja temelje za postupno uvođenje obveza usklađenosti koje vaša organizacija sada mora ispuniti.

Datum Prekretnica Značaj
21 travnja 2021 Komisija objavljuje nacrt Zakona o umjetnoj inteligenciji Formalni početak zakonodavnog procesa
9 prosinac 2023 Parlament i Vijeće postigli politički dogovor Osnovni tekst je uglavnom zaključan
Ožujak 13 2024 Konačno glasovanje Europskog parlamenta (523-46) Osigurano demokratsko odobrenje
21 svibnja 2024 Usvajanje Vijeća EU-a Uklonjena posljednja zakonodavna prepreka
Srpnja 10 2024 Tekst objavljen u Službenom listu Počinje pravno odbrojavanje
Kolovoz 1 2024 Uredba (EU) 2024/1689 stupa na snagu „Dan 0“ za sve buduće rokove

Datum stupanja na snagu pokreće niz postupnih datuma primjene raspoređenih tijekom tri godine. Ovakav dizajn daje pružateljima usluga, korisnicima, uvoznicima i distributerima prostor za izgradnju procesa sukladnosti, nadogradnju modela i obuku osoblja - no to također znači da će revizori očekivati ​​dokaziv napredak znatno prije 2027. godine.

Plan provedbe: Što se primjenjuje kada

  • 6 mjeseci | 1. veljače 2025.
    • Zabranjene prakse umjetne inteligencije (čl. 5.) moraju biti uklonjene s tržišta - bez ikakvih izgovora.
  • 12 mjeseci | 1. kolovoza 2025.
    • Stupaju na snagu obveze transparentnosti za deepfakeove, chatbotove i prepoznavanje emocija.
    • Očekuje se donošenje pravila prakse za opću umjetnu inteligenciju (GPAI); dobrovoljno, ali se toplo preporučuje.
  • 24 mjeseci | 1. kolovoza 2026.
    • Zahtjevi za visokorizične sustave počinju: upravljanje rizicima, upravljanje podacima, tehnička dokumentacija, ljudski nadzor i pripreme za CE označavanje.
    • Pružatelji usluga moraju registrirati visokorizične sustave u novoj bazi podataka EU.
  • 36 mjeseci | 1. kolovoza 2027.
    • Primjenjuje se puni režim, uključujući biometrijske identifikacijske sustave, ocjenjivanje sukladnosti prijavljenih tijela i obveznu EU izjavu o sukladnosti za sve visokorizične umjetne inteligencije.
    • Tijela za nadzor tržišta dobiti ovlasti narediti opoziv ili povlačenje proizvoda koji nisu u skladu s propisima.

Prijelazne klauzule omogućuju visokorizičnim sustavima koji su već zakonito u upotrebi prije kolovoza 2026. da ostanu na tržištu dok ne prođu „značajnu modifikaciju“. Pažljivo planirajte nadogradnje kako biste izbjegli slučajno resetiranje sata za usklađenost.

Institucije i nadzorna tijela

Zakon EU o umjetnoj inteligenciji provodi se na tri razine nadzora:

  1. Ured EU-a za umjetnu inteligenciju (Europska komisija) – Koordinira smjernice, održava registar GPAI-a i može izreći kazne pružateljima sistemskih modela.
  2. Nacionalna nadležna tijela – Jedan po državi članici; bavi se inspekcijama, pritužbama i svakodnevnim nadzorom tržišta.
  3. Prijavljena tijela – Neovisne organizacije za ocjenjivanje sukladnosti koje provode reviziju visokorizičnih sustava prije označavanja CE oznakom.

Ovi akteri surađuju putem Europski odbor za umjetnu inteligenciju (EAIB), koja izdaje usklađene interpretativne bilješke - zamislite je kao ekvivalent umjetne inteligencije EDPB-a GDPR-a. Budite svjesni njihovih smjernica; one će oblikovati način na koji se vaše tehničke datoteke i procjene rizika ocjenjuju u praksi.

Okvir za klasifikaciju rizika u četiri razine

U središtu Zakona EU o umjetnoj inteligenciji (AI Act) nalazi se model semafora koji određuje koliko su pravila stroga: što je veći rizik za prava i sigurnost ljudi, to je veći teret usklađenosti. Svaki AI sustav mora biti mapiran u jednu od četiri klase - neprihvatljivo, visoko, ograničeno ili minimalno. Klasifikacija određuje sve ostalo: dubinu dokumentacije, rigoroznost testiranja, nadzor i, u konačnici, pristup tržištu.

Razina rizika Tipični primjeri Osnovna pravna posljedica Datum prve prijave*
Neprihvatljivo Društveno bodovanje, biometrijska identifikacija u stvarnom vremenu u javnim prostorima, manipulativni "nudge" mehanizmi Potpuna zabrana; povlačenje i kazne do 35 milijuna eura / 7 % Veljače 1 2025
visok Alati za provjeru životopisa, softver za medicinsku dijagnostiku, bodovanje kreditne sposobnosti, moduli za autonomnu vožnju Ocjena sukladnosti, označavanje CE oznakom, upis u registar, posttržišni nadzor 1. kolovoza 2026. (biometrijski podaci: 1. kolovoza 2027.)
ograničen Chatbotovi, generatori deepfakeova, widgeti za analizu emocija Obavijest o transparentnosti i osnovne korisničke kontrole Kolovoz 1 2025
minimum Filteri za neželjenu poštu pokretani umjetnom inteligencijom, NPC-ovi iz videoigara Nema obveznih pravila; samo dobrovoljni kodeksi Već na snazi

* Izračunato od datuma stupanja na snagu 1. kolovoza 2024.

Okvir je dinamičan: ako dodate nove značajke ili promijenite ciljne korisnike, vaš sustav može prijeći na jednu razinu, što će pokrenuti nove zadatke.

Neprihvatljiv rizik: Zabranjene prakse umjetne inteligencije

Članak 5. povlači crvenu liniju ispod upotreba koje EU smatra inherentno nespojivima s temeljnim pravima. To uključuje:

  • Subliminalne tehnike koje materijalno iskrivljuju ponašanje
  • Iskorištavanje ranjivosti maloljetnika ili osoba s invaliditetom
  • Neselektivno u stvarnom vremenu biometrijska identifikacija u javno dostupnim prostorima (primjenjuju se uske iznimke za provođenje zakona)
  • Društveno bodovanje od strane javnih tijela
  • Prediktivno policijsko djelovanje temeljeno isključivo na profiliranju ili podacima o lokaciji

Takvi sustavi nikada ne smiju doći na tržište EU. Nacionalne vlasti mogu narediti trenutno povlačenje, a kazne su na vrhu ljestvice novčanih kazni Zakona.

Visokorizični sustavi umjetne inteligencije: Kategorije iz Priloga III.

Sustav spada u skupinu visokog rizika ako je:

  1. Sigurnosna komponenta proizvoda koji je već reguliran (npr. prema Pravilniku o strojevima ili medicinskim uređajima) ili
  2. Navedeno u osam osjetljivih područja Priloga III. - biometrija, kritična infrastruktura, obrazovanje, zapošljavanje, osnovne usluge, provedbu zakona, migracije i pravosuđe.

Nakon što se klasificira kao visokorizični, pružatelji usluga moraju provoditi sustav upravljanja kvalitetom, provoditi ciklus upravljanja rizicima i osigurati ocjenu sukladnosti - ponekad putem vanjskog prijavljenog tijela. Korisnici (implementatori) nasljeđuju dužnosti evidentiranja, nadzora i izvješćivanja o incidentima.

Ograničeni rizik: Obveze transparentnosti

Alati s ograničenim rizikom nisu bezopasni, ali EU vjeruje da svijest korisnika ublažava većinu opasnosti. Proizvođači chatbotova, generativnih AI mehanizama ili usluga sintetičkog glasa moraju:

  • Obavijestite korisnike da komuniciraju s umjetnom inteligencijom („Ova slika je generirana umjetnom inteligencijom“)
  • Otkrivanje deeplake sadržaja u strojno čitljivom vodenom žigu
  • Suzdržite se od tajnog prikupljanja osobnih podataka izvan onoga što je strogo potrebno

Nedostavljanje obavijesti izravno degradira sustav na područje neusklađenosti i dovodi do administrativnih kazni.

Minimalni/Zanemarivi rizik: Nema obveznih pravila

Filteri neželjene pošte, prediktivni tekst u e-pošti ili umjetna inteligencija koja optimizira korištenje energije HVAC sustava općenito spadaju ovdje. Zakon EU o umjetnoj inteligenciji (AI Act) ne nameće nikakve stroge obveze, ali aktivno potiče dobrovoljne kodekse, regulatorne sandboxe i pridržavanje međunarodnih standarda poput ISO/IEC 42001. Vođenje jednostavne dokumentacije i osnovnih testova pristranosti i dalje je pametan potez - regulatori mogu reklasificirati granične slučajeve ako se pojave dokazi o šteti.

Osnovne obveze pružatelja usluga, implementatora i drugih aktera

Zakon EU o umjetnoj inteligenciji raspoređuje dužnosti usklađenosti na cijeli lanac opskrbe. Budući da odgovornost slijedi funkciju, a ne veličinu tvrtke, prvo morate odrediti koju ulogu imate - pružatelja usluga, korisnika (implementatora), uvoznika ili distributera - a zatim dodati sve zahtjeve specifične za rizik. Nedostatak ispravne klasifikacije čest je nalaz revizije, stoga vježbu mapiranja tretirajte kao nulti korak vašeg programa.

Pružatelji visokorizičnih sustava

Pružatelji usluga snose najveći teret jer kontroliraju odluke o dizajnu. Ključni zadaci:

  • Uspostavite dokumentirani Sustav upravljanja kvalitetom (QMS) koji obuhvaća upravljanje podacima, upravljanje rizicima, kontrolu promjena i kibernetičku sigurnost.
  • Provedite ex-ante ocjenu sukladnosti. Većina sustava iz Priloga III može se samostalno procijeniti, ali biometrijski identifikacijski dokumenti, medicinski uređaji i drugi slučajevi upotrebe kritični za sigurnost zahtijevaju prijavljeno tijelo.
  • Sastaviti tehničku dokumentaciju: arhitekturu modela, porijeklo podataka za obuku, metrike evaluacije, testove robusnosti, mehanizme ljudskog nadzora i plan praćenja nakon stavljanja na tržište.
  • Izraditi EU izjavu o sukladnosti, staviti oznaku CE i registrirati sustav u javnoj bazi podataka umjetne inteligencije prije prve implementacije.
  • Uspostaviti kontinuirani posttržišni nadzor: evidentirati ozbiljne incidente, prekvalifikovati kada se prijeđu pragovi drifta i obavijestiti nadležna tijela u roku od 15 dana.

Zanemarivanje bilo kojeg od ovih koraka može rezultirati kaznama do 15 milijuna eura ili 3 % globalnog prometa - čak i ako ne nastane šteta.

Korisnici / Implementatori visokorizičnih sustava

Implementatori pretvaraju kod u stvarni utjecaj, pa im Zakon daje vlastitu kontrolnu listu:

  • Sustav koristite strogo u skladu s uputama pružatelja usluga i dokumentiranim slučajem upotrebe.
  • Provedite procjenu utjecaja na temeljna prava (FRIA) kada je korisnik javno tijelo ili kada umjetna inteligencija utječe na pristup bitnim uslugama poput stanovanja ili kredita.
  • Osigurati kvalificirani ljudski nadzor: osoblje mora biti obučeno, ovlašteno za poništavanje rezultata i sposobno objasniti odluke pogođenim pojedincima.
  • Čuvajte zapisnike najmanje šest godina, uključujući ulazne podatke, izlazne podatke, ljudske intervencije i anomalije u performansama.
  • Prijavite ozbiljne incidente i pružatelju usluga i nacionalnom tijelu bez „nepotrebnog odgađanja“, što se obično tumači kao 72 sata.

Uvoznici i distributeri

Akteri koji uvode ili prenose sustave umjetne inteligencije u EU imaju dužnosti nadzora:

  • Provjerite postoje li oznaka CE, EU izjava o sukladnosti i upute te odgovaraju li funkcionalnosti na tržištu.
  • Suzdržati se od isporuke proizvoda ako znaju - ili bi trebali znati - da nije u skladu s propisima; umjesto toga, obavijestiti dobavljača i nadležno tijelo.
  • Vodite registar pritužbi i opoziva te ga na zahtjev stavite na raspolaganje nadležnim tijelima.
  • Surađujte u korektivnim radnjama, uključujući povlačenje proizvoda ili softverske zakrpe.

Obveze općenite umjetne inteligencije (temeljni modeli)

Zakon dodaje posebna pravila za kreatore GPAI ili modela temelja koji se mogu ugraditi bilo gdje:

  • Dostavite sveobuhvatnu tehničku dokumentaciju i sažetak korištenih skupova podataka, uključujući status licence i geografsko podrijetlo.
  • Objavite izjavu o usklađenost s autorskim pravima i, gdje je to izvedivo, implementirati mehanizme isključivanja za zaštićena djela.
  • Provesti i dokumentirati testiranje sistemskog rizika ako model premaši računalni prag u Prilogu XI (zamislite 10^25 FLOP-ova). Dodatne dužnosti stupaju na snagu za „sistemski GPAI“, kao što je ponuda referentnih implementacija i suradnja s Uredom EU za umjetnu inteligenciju.
  • Modeli otvorenog koda imaju manje obveze u pogledu dodira, ali i dalje moraju označavati generirani sadržaj vodenim žigom i pružati upute za korištenje s detaljima o predvidljivim ograničenjima.

Usklađivanjem svojih internih kontrola s gore navedenim kontrolnim listama specifičnim za svaku ulogu, možete zatvoriti najočitije nedostatke u usklađenosti mnogo prije nego što isteknu rokovi za provedbu u kolovozu 2026. i 2027.

Tehnički i organizacijski zahtjevi za postizanje usklađenosti

Zakon EU o umjetnoj inteligenciji ne propisuje univerzalne nacrte. Umjesto toga, definira „bitne zahtjeve“ usmjerene na rezultate i ostavlja vam slobodu da odaberete kontrole koje ih dokazuju. Trik je u spajanju dobre inženjerske prakse s regulatornom higijenom, tako da svako ažuriranje modela ili osvježavanje podataka automatski ulazi u ponovljivi cjevovod usklađenosti. Pet gradivnih blokova u nastavku prevode pravne članke Zakona u konkretne zadatke koje vaši timovi za proizvode, podatke i pravni timovi mogu preuzeti.

Upravljanje i upravljanje podacima

Loši podaci jednaki su regulatornom kriptonitu. Članak 10. prisiljava pružatelje visokorizične umjetne inteligencije da dokumentiraju i opravdaju svaki bajt koji ulazi u cjevovod.

  • Prikupite skupove podataka koji su relevantno, reprezentativno, bez grešaka i ažurno za namijenjenu populaciju.
  • Vodite „podatkovni list“ za svaki korpus: izvor, datum prikupljanja, uvjeti licenciranja, koraci predobrade, provjere pristranosti i razdoblje čuvanja.
  • Pratite porijeklo u repozitoriju s kontroliranim verzijama kako biste se mogli vratiti ako nadležni organ zahtijeva ispravke.
  • Provedite testiranje pristranosti i neravnoteže koristeći statistički ispravne metode (χ², KS-test, ili metrike pravednosti neovisne o modelu) i mjere ublažavanja zapisnika.

Održavajte cjeloviti trag - sirove podatke, skripte, rezultate testova - dostupnim za 10 godina; retrospektivno razdoblje Zakona je dugo.

Okvir za upravljanje rizicima

Članak 9. zahtijeva kontinuirani i dokumentirani proces koji odražava ISO 31000 i nacrt ISO/IEC 23894.

  1. Identificirajte opasnosti: scenarije zlouporabe, neprijateljske napade, pomicanje podataka.
  2. Analizirajte utjecaj i vjerojatnost; ocijenite ih na zajedničkoj ljestvici (npr. risk = probability × severity).
  3. Odredite kontrole: tehničke zaštitne mjere, ljudski nadzor, ugovorna ograničenja.
  4. Provjerite kontrole nakon svakog većeg ažuriranja; unesite nalaze u sljedeći sprint.

Pohranite sve u registar živih rizika; regulatori očekuju vremenske oznake, vlasnike i dokaze o zatvaranju.

Ljudski nadzor i transparentnost po dizajnu

Članci 14. i 52. pretvaraju razgovor „čovjek u krugu“ u obvezne dizajnerske zadatke.

  • Definirajte način nadzora: u toku (ručno odobrenje), u toku (obavijesti u stvarnom vremenu) ili preko petlje (post-hoc revizije).
  • Ugradite slojeve objašnjivosti: karte istaknutosti, protučinjenične primjere, pojednostavljena pravila odlučivanja.
  • Navedite opcije nadjačavanja i rezervne opcije koje su obje tehnički izvedivo i organizacijski ovlašten.
  • Ponudite korisničke obavijesti jednostavnim jezikom („U interakciji ste s AI sustavom“) i gdje je to izvedivo, istaknite ocjene pouzdanosti.

Robusnost, točnost i kibernetička sigurnost

Prema članku 15., modeli moraju ostati unutar deklariranih stopa pogrešaka i oduprijeti se zlonamjernom uplitanju.

  • Utvrdite minimalne pragove performansi; pratite točnost, preciznost, privremenu pouzdanost i odstupanje kalibracije u proizvodnji.
  • Prije svakog objavljivanja provedite testove otpornosti na suprotstavljene sustave (FGSM, PGD, trovanje podataka).
  • Ojačati infrastrukturu u skladu s NIS2 i ETSI EN 303 645: sigurni API-ji, pristup temeljen na ulogama, šifrirane kontrolne točke modela.
  • Pripremite rezervne planove - zadane postavke sigurnog načina rada, eskalaciju ljudskog pregleda - kada performanse padnu ispod granica tolerancije.

Vođenje evidencije, evidentiranje i CE dokumentacija

Ako nije zapisano, nikada se nije ni dogodilo - mantra koja postaje zakon u člancima 11. i 19.

dokument Ključni sadržaji Zadržavanje
Tehnička datoteka arhitektura modela, sažetak podataka o obuci, metrike evaluacije, kontrole kibernetičke sigurnosti Životni ciklus + 10 godina
Drva ulazi, izlazi, događaji nadjačavanja, statistike performansi, incidenti ≥ 6 godina
EU izjava o sukladnosti izjava o sukladnosti, primijenjeni standardi, podaci o pružatelju usluga Javno dostupno
Plan postmarketnog praćenja KPI-jevi, kanali izvještavanja, pragovi okidanja Kontinuirano ažuriran

Automatizirajte snimanje zapisnika gdje je to moguće; koristite nepromjenjivu pohranu ili knjige samo s dodavanjem kako bi dokazi preživjeli forenzičku analizu. Nakon što je dosje dovršen, pričvrstite CE oznaka i poslati sustav u bazu podataka EU - tek tada može doći na tržište.

Ugradnjom ovih tehničkih i organizacijskih kontrola u vaš razvojni ciklus, transformirate usklađenost iz žurbe u zadnji čas u stalno dostupnu sposobnost koju će revizori prepoznati – i nagraditi.

Kazne, pravni lijekovi i izloženost parnicama

Zakon EU o umjetnoj inteligenciji ne oslanja se na pristojne poticaje; on koristi štap dovoljno velik da natjera rukovoditelje da se stresu. Financijske sankcije odražavaju razmjere GDPR-a, no Zakon također ovlašćuje vlasti da povlačenje proizvoda s polica, brisanje podataka o narudžbi ili prisilno ponovno osposobljavanje modela ako rizici ostanu nesmanjeni. Kazne su ograničene većim iznosom - apsolutnim iznosom u eurima ili postotkom prometa u prethodnoj godini na svjetskoj razini - tako da čak i startupovi u ranoj fazi izbjegavaju samozadovoljstvo. Tablica u nastavku sažima sankcionirane razine:

Vrsta kršenja Maksimalna fiksna kazna Maks. % globalnog prometa Tipični okidači
Zabranjene prakse (čl. 5.) 35 milijuna eura 7% Socijalno bodovanje, ilegalni biometrijski masovni nadzor
Obveze visokog rizika (članci 8. – 15.) 15 milijuna eura 3% Nedostaje ocjenjivanje sukladnosti, manjkavo upravljanje podacima
Neuspjesi u informacijama i registraciji 7.5 milijuna eura 1% Netočna tehnička dokumentacija, kasno izvještavanje o incidentima
Rutinska obavijest o neusklađenosti 500 tisuća eura n / a Manje povrede nakon upozorenja

Nadzorna tijela mogu nametnuti dnevne novčane kazne kako bi ubrzala sanaciju. Proizvodi koji i dalje predstavljaju „ozbiljan rizik“ suočavaju se s obveznim opoziv ili povlačenje s tržišta—udar na ugled koji nijedan PR plan ne može prikriti.

Upravne sankcije u odnosu na građansku odgovornost

Regulatorne kazne nisu kraj priče. Predstojeća Direktiva o odgovornosti za umjetnu inteligenciju (AILD) i revidirana Direktiva o odgovornosti za proizvod (PLD) otvaraju paralelne puteve za privatni zahtjevi za odštetuŽrtve ozlijeđene odlukom umjetne inteligencije imat će sljedeće:

  • A oboriva pretpostavka uzročnosti kada pružatelji usluga krše dužnosti iz Zakona o umjetnoj inteligenciji, olakšavajući teret dokazivanja.
  • Proširena prava na otkrivanje informacija, omogućujući tužiteljima da zatraže zapisnike i procjene rizika koji bi inače ostali interni.
  • Usklađena pravila u državama članicama, no nacionalno pravo o deliktima i dalje može pružati strože standarde (npr. nizozemska doktrina o nezakonitom djelu).

Tvrtke bi se stoga mogle suočiti s dvostrukim udarcem: višemilijunskom administrativnom kaznom nakon koje bi uslijedile kolektivne građanske tužbe, posebno u područjima poput uskraćivanja kredita ili diskriminirajućeg zapošljavanja.

Mehanizmi pravne zaštite i zaštita zviždača

Pojedinci i nevladine organizacije mogu podnijeti pritužbe izravno svojim nacionalno nadležno tijelo ili Ured EU-a za umjetnu inteligenciju. Vlasti moraju provesti istragu u „razumnom roku“ i mogu odobriti privremene mjere, uključujući naloge za suspenziju. Pogođene osobe također zadržavaju sudska sredstva - sudske zabrane, tužbe za naknadu štete i žalbe na nadzorne odluke.

Zaposlenika koji uoče nepravilnosti zaštićeni su EU-om Direktiva o zviždačima:

  • Povjerljivi kanali za prijavljivanje obvezni su za tvrtke s 50 i više zaposlenika.
  • Odmazda - otkaz, degradacija, zastrašivanje - izričito je zabranjena.
  • Zviždači mogu eskalirati izvana regulatorima ili medijima ako interni putovi ne uspiju.

Uspostavljanje dobro reklamirane, anonimne linije za prijavljivanje stoga je i zakonska obveza i sustav ranog upozorenja koji vas može spasiti od skuplje provedbe zakona u budućnosti.

Mapiranje Zakona o umjetnoj inteligenciji na GDPR, NIS2, sigurnost proizvoda i sektorska pravila

Zakon EU o umjetnoj inteligenciji (AI Act) nije samostalni otok. On se uključuje u prepuni ocean usklađenosti koji već uključuje okvire zaštite podataka, kibernetičke sigurnosti i vertikalne sigurnosti. Ignoriranje tih unakrsnih struja je rizično: AI sustav koji ispunjava sve uvjete Zakona o AI i dalje može kršiti GDPR ili NIS2 i obrnuto. U nastavku ističemo ključne dodirne točke kako bi vaši pravni, sigurnosni i proizvodni timovi mogli izgraditi jedinstvenu, integriranu mapu kontrole umjesto da žongliraju s četiri odvojene kontrolne liste.

Preklapanje s GDPR-om i e-privatnošću

  • Pravna osnova i ograničenje svrhe: obrada osobnih podataka unutar modela visokog rizika mora zadovoljiti barem jednu osnovu GDPR-a (često legitimni interes ili privola).
  • Ograničenja automatiziranog donošenja odluka: Članak 22. GDPR-a ograničava potpuno automatizirane odluke s pravnim ili značajnim učincima; zahtjev Zakona o umjetnoj inteligenciji za ljudskim nadzorom često djeluje kao tehnička zaštita koja otključava izuzeća iz članka 22.(2)(b) ili (c).
  • Scenariji zajedničkog kontrolera: kada implementator fino podešava GPAI koji pruža dobavljač, oboje mogu postati zajednički kontrolorprema GDPR-u - planirajte Ugovore o obradi podataka u skladu s tim.
  • Dvostruka obveza transparentnosti: Zakon o umjetnoj inteligenciji nalaže otkrivanje podataka od strane korisnika („generirano umjetnom inteligencijom“), dok članci 12. do 14. GDPR-a zahtijevaju obavijesti o privatnosti koje detaljno opisuju tokove podataka, zadržavanje i prava. Izradite jednoslojnu obavijest koja pokriva oboje.

Sinergije kibernetičke sigurnosti i NIS2

NIS2 zahtijeva procjene rizika, odgovor na incidente i sigurnost lanca opskrbe za „bitne“ i „važne“ subjekte. Zakon o umjetnoj inteligenciji to odražava zahtijevajući testiranje robusnosti, praćenje ranjivosti i prijavljivanje povreda u roku od 15 dana. Iskoristite jedan SOC tijek rada:

  1. Provedite testove robusnosti na temelju kontradiktornosti tijekom procjene sukladnosti sa Zakonom o umjetnoj inteligenciji.
  2. Unesite rezultate u registar rizika NIS2.
  3. Koristite isti 72-satni priručnik za prijavljivanje incidenata za oba režima.

Integracija s postojećim zakonodavstvom o proizvodima

Ako je vaša umjetna inteligencija sigurnosna komponenta reguliranog proizvoda (medicinski uređaj, stroj, igračka, dizalo, automobilski sustav), morate provesti jedan ocjenjivanje sukladnosti koje obuhvaća:

  • Opći sigurnosni ili izvedbeni zahtjevi prema sektorskom zakonodavstvu; i
  • Osnove Zakona o umjetnoj inteligenciji (upravljanje rizicima, upravljanje podacima, ljudski nadzor).

Usklađene norme prema Novom zakonodavnom okviru uskoro će se pozivati ​​na oba skupa zahtjeva, dopuštajući jednu tehničku datoteku i jednu CE oznaku.

Primjeri specifični za sektor

  • Financijske usluge: kombinirati evidentiranje prema Zakonu o umjetnoj inteligenciji sa smjernicama EBA-e o sprječavanju pranja novca kako bi se dokazala pravednost i objašnjivost modela.
  • Upravljanje energetskom mrežom: kontrole rizika prema Zakonu o umjetnoj inteligenciji u mreži s ENTSO-E zahtjevima za kibernetičku sigurnost za SCADA sustave.
  • Automobilska industrija: UNECE WP.29 nalaže upravljanje ažuriranjima softvera; integrirajte te zapisnike ažuriranja u praćenje nakon stavljanja na tržište u skladu sa Zakonom o umjetnoj inteligenciji.
  • Zdravstvo: uparite artefakte sustava upravljanja kvalitetom prema standardu ISO 13485 s dokumentacijom skupa podataka Zakona o umjetnoj inteligenciji kako biste izbjegli suvišne revizije.

Međunarodne usporedbe

Globalne tvrtke moraju uskladiti Zakon EU o umjetnoj inteligenciji (AI Act) s novonastalim pravilima u drugim zemljama:

Nadležnost Ključni instrument Značajna divergencija
US Izvršna naredba i NIST AI RMF Dobrovoljno, ali može postati osnova za federalnu nabavu
Kina Privremene mjere Gen-AI Registracija pod pravim imenom i filtriranje sadržaja su obavezni
UK Okvir za inovacije Smjernice specifične za regulatora, još nema horizontalnog zakona

Ranim mapiranjem preklapanja, multinacionalni timovi mogu osmisliti kontrolne okvire koji prvo zadovoljavaju najstroži skup pravila, a zatim ih smanjiti tamo gdje su lokalni zakoni blaži.

Praktična kontrolna lista usklađenosti i najbolje prakse

Primjena članaka i odredbi Zakona EU o umjetnoj inteligenciji (AI Act) u svakodnevnu praksu može biti zastrašujuća. Trik je u tome da se putovanje podijeli na male akcije kojima mogu upravljati pravni, proizvodni i sigurnosni timovi. Koristite donji plan od 12 koraka kao živi plan projekta - pregledajte ga na svakoj demonstraciji sprinta i sastanku odbora do kolovoza 2027.

  1. Popisati svaku komponentu umjetne inteligencije ili algoritma u proizvodnji i istraživanju i razvoju.
  2. Klasificirajte razinu rizika svakog sustava i svoju ulogu aktera (pružatelj usluga, korisnik, uvoznik, distributer).
  3. Mapirajte primjenjive zakone (GDPR, NIS2, sektorska pravila) i identificirajte preklapanja.
  4. Provedite analizu nedostataka u odnosu na bitne zahtjeve Zakona o umjetnoj inteligenciji.
  5. Dizajnirajte ili ažurirajte svoj Sustav upravljanja kvalitetom (QMS).
  6. Uspostaviti multidisciplinarnu strukturu upravljanja.
  7. Izradite predloške tehničke dokumentacije i počnite ih popunjavati.
  8. Izgradite cjevovode za upravljanje podacima i testiranje pristranosti.
  9. Provedite početne ocjene sukladnosti ili probne revizije.
  10. Obučite osoblje - inženjere, odgovorne za rizike i korisničku podršku.
  11. Pokrenite tijekove rada za praćenje nakon stavljanja na tržište i izvještavanje o incidentima.
  12. Planirajte periodične preglede i cikluse kontinuiranog poboljšanja.

Procjena spremnosti i analiza nedostataka

Započnite s proračunskom tablicom ili pločom s zahtjevima: naziv sustava, svrha, izvori podataka za obuku, razina rizika, postojeće kontrole i otvorene praznine. Svakoj praznini dodijelite vlasnika i rok. Ponovno ocijenite preostali rizik nakon svakog zatvaranja; regulatori vole vidjeti taj iterativni trag poboljšanja.

Izgradnja prave strukture upravljanja

Dajte ljudima, a ne samo politikama, kontrolu:

  • Službenik za usklađenost s umjetnom inteligencijom: jednim grlom za gušenje.
  • Međufunkcionalni etički odbor: proizvodni, pravni, sigurnosni, ljudski.
  • Vanjski recenzent ili kontakt osoba prijavljenog tijela.
  • Uska veza s vašim DPO-om i CISO-om kako bi se izbjeglo izolirano donošenje odluka.

Dokumentirajte ritam sastanaka, prava odlučivanja i putove eskalacije.

Dokumentacija i alati

Standardizirajte artefakte kako inženjeri ne bi iznova izmišljali kotač:

predložak Svrha Preporučeni format
Kartica modela Mogućnosti, ograničenja, metrike Markdown + JSON
Data Sheet Testovi izvora, licenciranja i pristranosti proračunske tablice
Izvješće o transparentnosti Objava usmjerena prema korisniku HTML / PDF
Temeljna prava IA Javni sektorski implementatori Alat temeljen na obrascima

Pomoć otvorenog koda: EU AI Toolkit, nacrti kontrolnih popisa ISO/IEC 42001 i GitHub repozitorij za metrike pristranosti.

Upravljanje dobavljačima i lancem opskrbe

Dužnosti Zakona o umjetnoj inteligenciji toka nizvodno:

  • Dodajte jamstva za ocjenjivanje sukladnosti i prava na reviziju ugovori.
  • Zahtijevajte od dobavljača da dijele kartice modela, rezultate testova robusnosti i zapisnike incidenata.
  • Postavite zajednički Slack ili red čekanja za brzo otkrivanje ranjivosti.

Kontinuirano praćenje i ažuriranja životnog ciklusa modela

Praćenje prije implementacije, tijekom upotrebe i nakon implementacije trebalo bi se izvoditi s istog telemetrijskog stoga. Pokrenite ponovnu procjenu kada:

  • Pomaci distribucije ulaznih podataka (KL divergence > unaprijed postavljeni prag).
  • Točnost pada ispod deklariranog minimuma.
  • Zabilježen je ozbiljan incident ili zamalo izbjegnuta nesreća.

Zatvorite krug tromjesečnim pregledima upravljanja i godišnjom vanjskom revizijom – dokaz da usklađenost nije jednokratni projekt već trajna sposobnost.

Često postavljana pitanja: Brzi odgovori na česta pitanja

Je li Zakon EU o umjetnoj inteligenciji već na snazi?
Da. Uredba (EU) 2024/1689 stupila je na snagu 1. kolovoza 2024. Međutim, većina konkretnih obveza postupno se primjenjuje kasnije: zabranjene prakse nestaju do veljače 2025., pravila o transparentnosti počinju u kolovozu 2025., a visokorizične dužnosti stupaju u kolovozu 2026. (biometrija u kolovozu 2027.). Dakle, vrijeme istječe iako je puna primjena još uvijek u fazi.

Koje su četiri razine rizika?
Zakon EU o umjetnoj inteligenciji grupira sustave u (1) Neprihvatljiv rizik - potpuno zabranjen; (2) Visoki rizik - dopušten tek nakon ocjene sukladnosti i označavanja CE oznakom; (3) Ograničeni rizik - uglavnom dužnosti transparentnosti (npr. chatbotovi, deepfakeovi); i (4) Minimalni rizik - nema strogih pravila, ali se potiču dobrovoljni kodeksi. Vaš prvi zadatak je mapirati svaki model na jednu od ovih razina.

Je li Zakon zamijenio nacionalne strategije za umjetnu inteligenciju?
Ne. Države članice mogu zadržati ili stvoriti nacionalne strategije, sandboxe i sheme financiranja. Zakon jednostavno usklađuje regulatorni zahtjeve kako bi se poduzeća suočila s jednim pravilnikom diljem EU-a. Lokalne inicijative ne smiju biti u suprotnosti s okvirom za upravljanje rizicima Uredbe ili potkopavati mehanizme njezine provedbe.

Imaju li startupovi izuzeća?
Ne baš. Pravila se primjenjuju bez obzira na veličinu tvrtke jer rizik, a ne prihod, određuje obveze. Uz to, sandboxovi, jednostavnija dokumentacija za neke GPAI modele i smjernice koje financira Komisija imaju za cilj smanjenje administrativnih trenja za mala i srednja poduzeća. Ignoriranje usklađenosti jer ste „mali“ opasna je zabluda.

Kako Zakon o umjetnoj inteligenciji tretira modele otvorenog koda?
Javno objavljivanje težina modela vas ne oslobađa odgovornosti. I dalje morate pružati sažetke podataka za obuku, generirati sadržaj vodenim žigom i objavljivati ​​upute za korištenje. Obveze su lakše nego za zatvorene komercijalne modele, ali ako vaš sustav otvorenog koda postane „sistemski GPAI“, stupaju na snagu dodatne dužnosti testiranja i izvještavanja.

Je li Zakon direktiva?
Ne. To je Uredba – izravno primjenjiva u svakoj državi članici bez nacionalne transpozicije. Zamislite je kao GDPR: nakon što je stupila na snagu, pravne obveze postojale su diljem EU-a, a samo praktične smjernice za provedbu mogu se razlikovati lokalno.

Što se događa ako se moj pružatelj usluga nalazi izvan EU?
Slijedi teritorijalni doseg izlaz, a ne sjedište. Ako se sustav inozemnog dobavljača prodaje u EU ili se njegovi rezultati koriste ovdje, pružatelj usluga mora ispunjavati zahtjeve Zakona EU o umjetnoj inteligenciji i imenovati pravnog zastupnika sa sjedištem u EU. Implementatori unutar Unije i dalje imaju korisničke obveze, stoga pažljivo birajte dobavljače.

Ključni za poneti

Još uvijek pregledavate? Evo varalice:

  • Zakon EU o umjetnoj inteligenciji (AI Act) više nije nacrt - on je na snazi ​​od 1. kolovoza 2024. i donosi prvi horizontalni zakon o umjetnoj inteligenciji temeljen na riziku bilo gdje.
  • Raspoređivanje rizika pokreće sve: neprihvatljivi sustavi su zabranjeni, Sustavi visokog rizika trebaju CE oznaku i upis u registar, dok se alati s ograničenim i minimalnim rizikom suočavaju s lakšim - ali ne i nultim - carinama.
  • Nepoštivanje propisa je skupo: do 35 milijuna eura ili 7 % globalnog prometa za zabranjene prakse, plus potencijalnu građansku odgovornost prema budućim direktivama EU.
  • Obveze se odnose na cijeli lanac opskrbe: pružatelji usluga, korisnici, uvoznici i distributeri imaju posebne kontrolne liste, a modeli opće namjene sada imaju prilagođena pravila.
  • Zakon ne zamjenjuje GDPR, NIS2 ili zakone o sigurnosti proizvoda; sve okvire morate povezati u jedan integrirani program upravljanja.

Trebate li pomoć pri pretvaranju pravnog teksta u funkcionalni kodeks, pravila i ugovore? Odvjetnici za tehnologiju i privatnost u Law & More može izvršiti brzo skeniranje spremnosti za Zakon o umjetnoj inteligenciji, izraditi potrebnu dokumentaciju i voditi vas kroz procjenu sukladnosti - prije nego što revizori pokucaju na vrata.

Povezivati ​​se Pošta

Law & More