I
Impetora

ES DI akto įgyvendinimo sąrašelis tiekėjams ir naudotojams

By Impetora -

Reglamentas (ES) 2024/1689, ES Dirbtinio intelekto aktas, taikomas DI sistemų tiekėjams, naudotojams, importuotojams ir platintojams, kurie sistemą pateikia ES rinkai arba kurių sistemos rezultatas naudojamas Sąjungoje, neatsižvelgiant į tai, kur veiklos vykdytojas yra įsteigtas [1]. Atitiktis yra etapinė: Aktas galioja nuo 2024 m. rugpjūčio 1 d., draudžiamos praktikos taikomos nuo 2025 m. vasario 2 d., bendrosios paskirties DI prievolės nuo 2025 m. rugpjūčio 2 d., didžioji aukšto rizikos sistemų prievolių dalis nuo 2026 m. rugpjūčio 2 d. [1]. Šis sąrašelis apima dvylika konkrečių žingsnių, kuriuos kiekvienas veiklos vykdytojas turėtų atlikti iki 2026 m. rugpjūčio termino.

2026-08
didžioji aukšto rizikos DI prievolių dalis pradeda taikyti
EUR-Lex
35 mln. EUR / 7 %
didžiausia bauda už draudžiamas praktikas (99 str.)
EUR-Lex
III priedas
aštuonios aukšto rizikos naudojimo kategorijos
EUR-Lex

1 žingsnis. Nustatykite savo vaidmenį pagal Aktą

3 straipsnis apibrėžia keturis veiklos vykdytojo vaidmenis, ir ta pati organizacija gali turėti daugiau nei vieną. Tiekėjas kuria DI sistemą arba užsako jos sukūrimą ir pateikia rinkai arba pradeda eksploatuoti savo vardu. Naudotojas naudoja DI sistemą savo įgaliojimais profesinėje veikloje. Importuotojas ES rinkai pateikia sistemą su ne ES tiekėjo vardu. Platintojas tiekia sistemą rinkai nepakeisdamas jos savybių [1].

Esmingai, naudotojas, kuris iš esmės modifikuoja aukšto rizikos sistemą, perženklina ją arba pakeičia jos numatytą paskirtį, modifikuotos sistemos atžvilgiu tampa tiekėju pagal 25 straipsnį. Prieš darydami bet ką kitą, susiekite kiekvieną DI sistemą savo portfelyje su šiais keturiais vaidmenimis, nes nuo atsakymo priklauso visi likę sąrašelio žingsniai.

2 žingsnis. Klasifikuokite kiekvieną DI sistemą

Aktas DI sistemas suskirsto į keturias rizikos pakopas. Draudžiamos praktikos pagal 5 straipsnį apima paslėptąją manipuliaciją, pažeidžiamų grupių išnaudojimą, viešųjų institucijų socialinio reitingavimo sistemas, neselektyvų veido vaizdų rinkimą, biometrinį kategorizavimą pagal jautrius požymius, realiu laiku vykdomą nuotolinį biometrinį atpažinimą viešose erdvėse (su siaurai apibrėžtomis teisėsaugos išimtimis) ir emocijų atpažinimą darbo bei švietimo aplinkoje [1]. Aukšto rizikos sistemos apibrėžtos 6 straipsnyje ir III priede ir apima aštuonias kategorijas: biometrija, kritinė infrastruktūra, švietimas ir profesinis mokymas, įdarbinimas ir darbuotojų valdymas, prieiga prie esminių viešųjų ir privačiųjų paslaugų (įskaitant kreditingumo vertinimą), teisėsauga, migracija ir sienų kontrolė, teismų administravimas ir demokratiniai procesai. Riboto rizikos sistemos paleidžia 50 straipsnio skaidrumo prievoles (pokalbių robotai, deepfake, DI generuojamas turinys). Minimalaus rizikos sistemoms specifinių Akto prievolių nėra, išskyrus savanoriškus elgesio kodeksus.

Klasifikavimo sprendimą kiekvienai sistemai dokumentuokite kartu su pagrindimu. Europos Komisijos DI biuras leidžia klasifikavimo gaires, ir tas dokumentas yra patikimas šaltinis, ne tiekėjų rinkodaros medžiaga [2].

3 žingsnis. Įdiekite Rizikos valdymo sistemą (9 straipsnis)

Kiekvienai aukšto rizikos sistemai 9 straipsnis reikalauja rašytinės, nuolatinės ir iteracinės rizikos valdymo sistemos, veikiančios per visą sistemos gyvavimo ciklą. Ji turi nustatyti ir analizuoti numatomas rizikas sveikatai, saugai ir pagrindinėms teisėms, įvertinti rizikas, kurios gali atsirasti numatytame naudojime ir pagrįstai numatomame netinkamame naudojime, įvertinti kitas rizikas remdamasi poprodukcinio stebėjimo duomenimis, ir priimti tinkamas rizikos valdymo priemones.

RVS dokumentas nėra vienkartinis rezultatas. Jis sistemingai peržiūrimas ir atnaujinamas, o testavimas turi patikrinti, ar pasirinktos priemonės veikia atitinkamame eksploatacijos kontekste. Traktuokite jį kaip gyvą artefaktą, už kurį atsako įvardytas asmuo.

4 žingsnis. Duomenų valdymas (10 straipsnis)

Mokymo, validavimo ir testavimo duomenys turi būti aktualūs, pakankamai reprezentatyvūs, be klaidų ir išsamūs atsižvelgiant į numatytą paskirtį. 10 straipsnis reikalauja dokumentuotų duomenų valdymo praktikų: dizaino sprendimai, duomenų rinkimo procesai, duomenų paruošimo operacijos (anotavimas, žymėjimas, valymas, praturtinimas, agregavimas), prielaidų formulavimas, prieinamumo išankstinis vertinimas, šališkumo, galinčio paveikti sveikatą, saugą ar pagrindines teises, tikrinimas ir reikšmingų duomenų spragų nustatymas su mažinimo priemonėmis.

Kai būtina, asmens duomenų specialių kategorijų tvarkymas leidžiamas pagal 10 straipsnio 5 dalį šališkumui aptikti ir ištaisyti, taikant tinkamas apsaugos priemones. Dokumentuokite kiekvieną pasirinkimą; atitikties vertinimas be to nepraeis.

5 žingsnis. Techninė dokumentacija (11 straipsnis ir IV priedas)

Techninė dokumentacija turi būti parengta prieš pateikiant sistemą rinkai ir nuolat atnaujinama. IV priede nustatytas minimalus turinys: bendras sistemos aprašymas, detalus dizainas ir architektūra, stebėjimas ir kontrolė, validavimo ir testavimo duomenys ir procedūros, vertinimo rezultatai, įskaitant metrikas ir žinomus apribojimus, kibernetinio saugumo priemonės, pakeitimų valdymo procedūros ir ES atitikties deklaracija.

MVĮ ir startuoliai gali naudoti supaprastintą IV priedo formą, kurią pateiks DI biuras, tačiau pagrindinės prievolės nesikeičia. Dokumentaciją laikykite tokia forma, kurią nacionalinė kompetentinga institucija galėtų pareikalavusi perskaityti.

6 žingsnis. Automatinis žurnalų vedimas (12 straipsnis)

Aukšto rizikos sistemos visą savo gyvavimo laiką turi automatiškai įrašinėti įvykius (žurnalus) tokiu išsamumu, koks atitinka numatytą paskirtį. Žurnalai turi leisti nustatyti situacijas, dėl kurių sistema gali kelti riziką pagal 79 straipsnį, palengvinti poprodukcinį stebėjimą ir leisti naudotojo stebėjimą pagal 26 straipsnį. 12 straipsnio 3 dalis nuotolinio biometrinio atpažinimo sistemoms nustato specifinius minimalius žurnalų reikalavimus (naudojimo laikotarpis, etalono duomenų bazė, įvesties duomenys, identifikuojantys darbuotojai).

Nustatykite saugojimo terminą, proporcingą numatytai paskirčiai, bet ne trumpesnį kaip šeši mėnesiai, jei kita Sąjungos ar nacionalinė teisė nenustato kitaip.

7 žingsnis. Skaidrumas naudotojams (13 straipsnis)

Aukšto rizikos sistemos turi būti suprojektuotos taip, kad naudotojai galėtų interpretuoti rezultatus ir tinkamai juos naudoti. Prie jų turi būti pridėtos glaustos, išsamios, tikslios ir aiškios naudojimo instrukcijos, kuriose nurodyta: tiekėjo tapatybė, sistemos charakteristikos ir numatyta paskirtis, tikslumo ir patikimumo lygis, numatomos aplinkybės, galinčios kelti riziką, techninės galimybės ir charakteristikos, susijusios su rezultatų aiškinimu, veikimas konkrečių asmenų ar grupių atžvilgiu, įvesties duomenų reikalavimai, žmogaus priežiūros priemonės, numatomas eksploatavimo laikas ir būtina priežiūra.

Riboto rizikos sistemoms 50 straipsnis nustato papildomas skaidrumo prievoles: vartotojai turi būti informuojami, kad bendrauja su DI sistema, DI sukurtas sintetinis turinys turi būti identifikuojamas kaip toks mašininiu būdu, deepfake turi būti atskleidžiami.

8 žingsnis. Žmogaus priežiūra (14 straipsnis)

Aukšto rizikos sistemos turi būti suprojektuotos taip, kad jas naudojant fiziniai asmenys galėtų vykdyti veiksmingą priežiūrą. Priežiūros priemonės turi leisti paskirtam asmeniui: suprasti atitinkamas sistemos galimybes ir apribojimus, žinoti automatizavimo šališkumą, teisingai interpretuoti rezultatą, nuspręsti nenaudoti sistemos arba kitaip nepaisyti, panaikinti ar atšaukti rezultato, ir įsikišti, kad veikimas būtų sustabdytas mygtuku ar panašia procedūra.

Nuotoliniam biometriniam atpažinimui pagal III priedo 1(a) punktą jokio veiksmo ar sprendimo negalima priimti remiantis identifikavimu, jei jo nepatikrino ir nepatvirtino bent du atitinkamą kompetenciją, mokymą ir įgaliojimus turintys fiziniai asmenys.

9 žingsnis. Tikslumas, patikimumas ir kibernetinis saugumas (15 straipsnis)

15 straipsnis reikalauja, kad aukšto rizikos sistemos, atsižvelgiant į jų numatytą paskirtį, pasiektų tinkamą tikslumo, patikimumo ir kibernetinio saugumo lygį ir veiktų nuosekliai per visą gyvavimo ciklą. Tikslumo lygiai ir atitinkamos metrikos turi būti nurodytos naudojimo instrukcijose.

Patikimumas turi spręsti grįžtamojo ryšio kilpas, klaidas ir nenuoseklumus. Kibernetinis saugumas turi būti atsparus bandymams pakeisti naudojimą, elgesį ar veikimą, įskaitant duomenų užterštumą, modelio užterštumą, priešininkų pavyzdžius, modelio apėjimą ir konfidencialumo atakas. DI biuras kartu su ENISA rengia technines specifikacijas [3].

10 žingsnis. Atitikties vertinimas, CE ženklas, ES duomenų bazė

Prieš pateikdamas aukšto rizikos sistemą rinkai, tiekėjas turi atlikti atitikties vertinimą. Daugumai III priedo sistemų gali būti taikoma vidaus kontrolė pagal VI priedą. III priedo 1 dalies biometrinėms sistemoms turi būti taikoma notifikuotosios įstaigos procedūra pagal VII priedą, jei tiekėjas nepritaiko darniųjų standartų. Sėkmingo vertinimo rezultatas yra: ES atitikties deklaracija (47 str.), CE ženklo žymėjimas (48 str.) ir sistemos registracija ES duomenų bazėje (49 str.) prieš pradedant eksploatuoti. Viešojo sektoriaus naudotojai pagal 49 straipsnio 1a dalį atskirai registruoja savo naudojimą.

Tiekėjo prievolės nustatytos 16-26 straipsniuose ir apima kokybės valdymą, dokumentų saugojimą, automatiškai sukurtų žurnalų saugojimą, taisomuosius veiksmus, bendradarbiavimą su institucijomis ir prieinamumą.

11 žingsnis. Poprodukcinis stebėjimas ir rimtų incidentų pranešimas (72-73 str.)

Tiekėjai turi nustatyti dokumentuotą poprodukcinio stebėjimo sistemą, proporcingą DI technologijų pobūdžiui ir aukšto rizikos sistemos rizikoms. Planas yra techninės dokumentacijos dalis. Duomenys aktyviai ir sistemingai renkami, dokumentuojami ir analizuojami per visą sistemos gyvavimo laiką, ir tiekėjas vertina nuolatinį Akto reikalavimų laikymąsi.

73 straipsnis reikalauja pranešti apie rimtus incidentus tos valstybės narės, kurioje incidentas įvyko, rinkos priežiūros institucijai iš karto, kai tiekėjas nustato priežastinį ryšį arba pagrįstą jo tikimybę, ir ne vėliau kaip per 15 dienų po sužinojimo. Mirtis ar rimta žala paleidžia 10 dienų terminą. Plačiai paplitęs pažeidimas arba kritinės infrastruktūros sutrikimas paleidžia 2 dienų terminą.

12 žingsnis. Viešojo sektoriaus naudotojai - Pagrindinių teisių poveikio vertinimas (27 str.)

Prieš diegdami III priede išvardytą aukšto rizikos sistemą (su ribotomis išimtimis), viešosios teisės reglamentuojamos įstaigos ir viešąsias paslaugas teikiantys privatūs subjektai, taip pat kreditingumo vertinimo arba gyvybės ir sveikatos draudimo rizikos vertinimo sistemų naudotojai turi atlikti Pagrindinių teisių poveikio vertinimą (FRIA). FRIA turi aprašyti: diegimo procesą, naudojimo laikotarpį ir dažnumą, fizinių asmenų, kurie gali būti paveikti, kategorijas, konkrečias žalas, pagrįstai galinčias kilti, žmogaus priežiūros priemones ir priemones, kurių bus imtasi, jei rizikos materializuotųsi.

FRIA rezultatas pranešamas rinkos priežiūros institucijai per DI biuro paskelbtą šabloną. Naują FRIA reikia atlikti, jei kuris nors elementas iš esmės pasikeičia.

ES DI akto taikymo grafikas

  • 2024 m. rugpjūčio 1 d. - Reglamentas įsigalioja.
  • 2025 m. vasario 2 d. - 5 straipsnio draudžiamos praktikos pradeda taikyti, DI raštingumo prievolė (4 str.) taikoma tiekėjams ir naudotojams.
  • 2025 m. rugpjūčio 2 d. - Bendrosios paskirties DI modelių prievolės (51-55 str.), valdysenos struktūra, sankcijos, notifikuojančiųjų institucijų ir notifikuotųjų įstaigų sistema.
  • 2026 m. rugpjūčio 2 d. - Didžioji prievolių dalis pradeda taikyti, įskaitant 6 straipsnio 2 dalies ir III priedo aukšto rizikos sistemas, 26 straipsnio naudotojo prievoles, 27 straipsnio FRIA, 49 straipsnio ES duomenų bazės registraciją.
  • 2027 m. rugpjūčio 2 d. - Prievolės taikomos aukšto rizikos DI sistemoms, kurios yra produktų, kuriems taikoma I priedo sektorių teisė, saugos komponentai.

Sankcijos (99 straipsnis)

Sankcijos yra pakopinės. Už 5 straipsnio draudimų pažeidimą skiriamos baudos iki 35 mln. eurų arba 7 % bendros pasaulinės metinės apyvartos, taikoma didesnė suma. Už daugumos kitų veiklos vykdytojo prievolių (16-26 str. tiekėjams, 26 str. naudotojams, 31, 33, 34 str. notifikuotosioms įstaigoms) pažeidimą skiriamos baudos iki 15 mln. eurų arba 3 % apyvartos. Už neteisingos, neišsamios ar klaidinančios informacijos pateikimą institucijoms skiriamos baudos iki 7,5 mln. eurų arba 1 % apyvartos. MVĮ ir startuolių riba skaičiuojama pagal mažesnę iš dviejų sumų.

Bendrosios paskirties DI modelių tiekėjams pagal 101 straipsnį taikomas atskiras režimas su 15 mln. eurų arba 3 % apyvartos riba.

Dažniausiai užduodami klausimai

Ar ES DI aktas taikomas ne ES tiekėjui, parduodančiam į Europą?
Taip. 2 straipsnio 1 dalies c punktas Akto taikymą išplečia ES nesteigtiems tiekėjams ir naudotojams, kai sistemos sukurtas rezultatas naudojamas Sąjungoje. JAV ar JK tiekėjas, parduodantis aukšto rizikos DI sistemą ES klientui, prieš pateikdamas sistemą rinkai turi paskirti įgaliotąjį atstovą pagal 22 straipsnį ir įvykdyti visas 16-26 straipsnių tiekėjo prievoles. Sutarties, kuri tai perduoda ES klientui, parengimas neveikia; Aktas tiekėjo vaidmenį traktuoja kaip faktinį, ne sutartinį klausimą.
Kaip persidengia bendrosios paskirties DI ir III priedo aukšto rizikos prievolės?
Tai du atskiri režimai. Bendrosios paskirties DI modelių prievolės (51-55 str.) taikomos modelio tiekėjui nepriklausomai nuo žemesnio lygio naudojimo, su griežtesnėmis taisyklėmis modeliams su sisteminiu rizikos lygiu virš 10^25 FLOPs mokymo slenksčio. Jei toks modelis integruojamas į žemesnio lygio sistemą, atitinkančią III priedo aukšto rizikos kriterijus, žemesnio lygio tiekėjui papildomai taikomos visos 6 straipsnio prievolės, ir per 53 straipsnio 1 dalies b punkto informacijos prievolę jis paveldi dokumentaciją iš modelio tiekėjo. Pirkėjai pirkimo metu turėtų reikalauti abiejų sluoksnių įrodymų.
Ar DI reguliavimo smėlio dėžių programos naudingos atitikčiai?
Daugumai tiekėjų - taip. 57 straipsnis reikalauja, kad valstybės narės iki 2026 m. rugpjūčio 2 d. įsteigtų bent vieną nacionalinę DI reguliavimo smėlio dėžę (Komisija gali organizuoti ir bendras smėlio dėžes). Smėlio dėžės suteikia teisinį tikrumą testuojant inovacines sistemas reguliuotojo priežiūroje, o dalyvavimo įrodymai palengvina vėlesnį atitikties vertinimą. 59 straipsnis suteikia konkretų teisinį pagrindą tvarkyti kitais teisėtais tikslais surinktus asmens duomenis kuriant viešojo intereso DI smėlio dėžėje, taikant griežtas apsaugos priemones.
Kada 2026 m. rugpjūtis iš tiesų pradeda veikti įmonės pirkėjui?
Praktiškai - jau iki 2025 m. ketvirto ketvirčio. Pirkimo ciklai sistemoms, kurios turi veikti 2026 m. vasarą, prasideda 9-12 mėn. anksčiau, ir bet kuris tiekėjas, kuris iki to laiko negali pateikti atitikties vertinimo plano, IV priedo techninės dokumentacijos eskizo ir poprodukcinio stebėjimo požiūrio, yra pirkimo rizika. Sąžiningas atsakymas - organizacijos, pradedančios 2026 m., jau vėluoja. Anksčiausiai pateikiamas rezultatas yra DI portfelio inventorizacija ir 2 žingsnio klasifikacija kiekvienai sistemai; vien tas darbas paprastai užtrunka 3-4 savaites.
Ar ISO/IEC 42001 sertifikatas pakeičia DI akto atitiktį?
Ne, bet yra stiprus pamatas. ISO/IEC 42001:2023 yra DI valdymo sistemos standartas ir kol kas nėra darnusis Akto standartas. Sertifikavimas parodo valdysenos brandą, kuri tiesiogiai atitinka 17 straipsnio kokybės valdymo prievoles ir mažina atstumą iki švaraus atitikties vertinimo. Kai Europos darniųjų standartų organizacijos (CEN-CENELEC JTC 21) paskelbs DI akto darniuosius standartus, jų taikymas suteiks atitikties prielaidą pagal 40 straipsnį.
Kas yra nacionalinė kompetentinga institucija pagal DI aktą?
Kiekviena valstybė narė iki 2025 m. rugpjūčio 2 d. turi paskirti bent vieną notifikuojančiąją instituciją ir bent vieną rinkos priežiūros instituciją (70 str.). Sąrašai skelbiami Komisijos DI biuro puslapyje, ir kelios valstybės narės paskyrė savo duomenų apsaugos instituciją, telekomunikacijų reguliuotoją arba naują specializuotą DI agentūrą. Daugiašalio diegimo atveju įvardykite instituciją kiekvienoje veiklos valstybėje narėje, nes incidentų pranešimo ir registro prievolės yra nacionalinės.
Kas yra DI raštingumo prievolė pagal 4 straipsnį?
Tiekėjai ir naudotojai turi imtis priemonių, kad pagal galimybes užtikrintų pakankamą DI raštingumo lygį tarp savo darbuotojų ir kitų asmenų, kurie eksploatuoja ir naudoja DI sistemas jų vardu, atsižvelgdami į techninę žinią, patirtį, išsilavinimą ir kontekstą, kuriame sistemos naudojamos. Tai taikoma nuo 2025 m. vasario 2 d. ir nėra apribota tik aukšto rizikos sistemomis. Dokumentuokite mokymo programą, turinį ir pateikimą, nes institucijos gali pareikalauti.
Kur registruoti aukšto rizikos sistemą ES duomenų bazėje?
ES aukšto rizikos DI sistemų duomenų bazę pagal 71 straipsnį tvarko Komisija ir prie jos prieinama per DI biuro portalą. Tiekėjas sistemą užregistruoja prieš pateikdamas rinkai (49 str. 1 d.). Viešojo sektoriaus naudotojai atskirai užregistruoja savo naudojimą pagal 49 str. 1a d. prieš pradedant eksploatuoti. Daugumas laukų yra vieši; kai kurie saugos, saugumo ir teisėsaugos laukai yra apriboti.
Impetora

Pasiruošę aptarti savo projektą? Pateikite trumpą santrauką - atsakysime per vieną darbo dieną.

Cituoti šaltiniai

Šaltiniai (7) - rodyti
  1. Reglamentas (ES) 2024/1689 (DI aktas) - konsoliduotas tekstas. EUR-Lex, Europos Sąjungos oficialusis leidinys, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  2. Europos DI biuras - gairės ir įgyvendinimo aktai. Europos Komisija, 2025-01. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  3. Daugiasluoksnė geros DI kibernetinio saugumo praktikos sistema. ENISA, 2023-06. https://www.enisa.europa.eu/publications/multilayer-framework-for-good-cybersecurity-practices-for-ai
  4. ISO/IEC 42001:2023 - DI valdymo sistemos. Tarptautinė standartizacijos organizacija, 2023-12. https://www.iso.org/standard/81230.html
  5. Nacionalinių notifikuojančiųjų institucijų ir notifikuotųjų įstaigų sąrašas. Europos Komisija, NANDO duomenų bazė, 2025-08. https://single-market-economy.ec.europa.eu/single-market/european-standards/notified-bodies_en
  6. 27 straipsnio FRIA šablonas. Europos DI biuras, 2026-02. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  7. Reglamentas (ES) 2016/679 (BDAR). EUR-Lex, Europos Sąjungos oficialusis leidinys, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj
Apie Impetora
Impetora projektuoja, kuria ir diegia pritaikytas dirbtinio intelekto sistemas įmonėms reguliuojamuose sektoriuose. Veikiame iš Vilniaus ir o, dirbame penkiomis kalbomis.
Pažintinis pokalbis

Užsisakykite pažintinį pokalbį

Papasakokite, ką norėtumėte sukurti. Atsakome per vieną darbo dieną.

30 minučių pokalbis. Nemokamai. Be įsipareigojimų.