ES Dirbtinio intelekto aktas Lietuvoje 2026

Kas yra ES Dirbtinio intelekto aktas ir kam jis taikomas?

Aktas yra tiesioginio taikymo Europos Sąjungos reglamentas, kuris sukuria horizontalią dirbtinio intelekto sistemų reguliavimo sistemą visoje ES, įskaitant Lietuvą. Jis taikomas DI sistemų tiekėjams, kurie pateikia sistemą ES rinkai, ir DI sistemų naudotojams, kurie naudoja sistemą ES teritorijoje, neatsižvelgiant į tai, kur tiekėjas yra įsteigtas [1].

Praktinė pasekmė Lietuvos įmonei yra ta, kad Akto pareigos taikomos ne tik vidaus DI vystytojams, bet ir įmonėms, kurios perka DI sistemas iš JAV ar kitų ne ES tiekėjų. Pirkėjas, kaip naudotojas, turi savo pareigų rinkinį, ir didžiausia jų - užtikrinti, kad sistema yra naudojama pagal tiekėjo instrukcijas, kad žmogaus priežiūra yra efektyvi, ir kad incidentai pranešami.

Kokios yra DI rizikos klasės pagal Aktą?

Aktas išskiria keturias kategorijas. Draudžiamos praktikos (5 straipsnis) - manipuliacinė elgesio pakeitimo DI, socialinio reitingavimo sistemos, biometrinis kategorizavimas pagal jautrius požymius, masinis veidų atpažinimas viešose erdvėse su tam tikromis išimtimis. Šios praktikos taikomos nuo 2025 m. vasario 2 d. Aukšto rizikos sistemos (III priedas) - DI sistemos, naudojamos kreditingumui vertinti, darbuotojams atrinkti, švietimo sprendimams priimti, kritinei infrastruktūrai valdyti, teisėsaugai, migracijai ir teismų administravimui. Daugumai prievolių taikoma 2026 m. rugpjūčio 2 d. data.

Riboto rizikos sistemos - pokalbių robotai, deepfake turinys ir panašios sistemos, kurioms taikomos skaidrumo prievolės. Minimalaus rizikos sistemos - dauguma kitų DI taikymų, kurioms specialios prievolės netaikomos, nors savanoriški praktikos kodeksai skatinami. Stanford HAI 2024 metų ataskaita rodo, kad daugiau nei 78 procentai įmonių jau naudoja DI bent vienoje funkcijoje, todėl dauguma įmonių 2026 metais turi bent vieną riboto arba aukšto rizikos sistemą savo portfelyje [2].

Kada konkrečios prievolės pradeda galioti?

Akto taikymas yra etapinis. 2024 m. rugpjūčio 1 d. - įsigaliojimas. 2025 m. vasario 2 d. - draudžiamų praktikų taikymas, taip pat DI raštingumo prievolės organizacijoms. 2025 m. rugpjūčio 2 d. - bendrosios paskirties DI modelių prievolės, valdžios ir reguliavimo struktūros, sankcijų taikymas. 2026 m. rugpjūčio 2 d. - didžioji dauguma aukšto rizikos sistemų prievolių pagal III priedą. 2027 m. rugpjūčio 2 d. - aukšto rizikos sistemų, integruotų į reguliuojamus produktus pagal Akto I priedą, prievolės.

Lietuvos įmonėms, signaliuojančioms sutartis 2026 metais, praktinis darbinis prielaidas yra toks: visos aukšto rizikos prievolės iki paleidimo bus aktyvios. Sutartys turi tai atspindėti, įskaitant atsakomybę už atitikties vertinimą, techninę dokumentaciją ir poprodukcinį stebėjimą.

Kas Lietuvoje prižiūri Akto įgyvendinimą?

Lietuvoje paskirta nacionalinės kompetentingos institucijos struktūra apima kelias įstaigas. Lietuvos Respublikos ryšių reguliavimo tarnyba (RRT) atlieka koordinacinį vaidmenį bendrai DI politikai. Valstybinė duomenų apsaugos inspekcija (VDAI) prižiūri DI sistemas, kurios apdoroja asmens duomenis ir pateko į BDAR taikymo sritį. Sektoriniai reguliuotojai - Lietuvos bankas finansų sektoriui, Valstybinė vartotojų teisių apsaugos tarnyba, Lietuvos Respublikos sveikatos apsaugos ministerija sveikatos srityje - taiko Aktą savo kompetencijos ribose.

Europos lygmenyje Europos Komisijos DI biuras yra centrinis koordinatorius, leidžiantis gaires ir standartų užklausas. Jo medžiaga yra kanoninis šaltinis, ne tiekėjų rinkodaros puslapiai [1]. Lietuvos Respublikos Ekonomikos ir inovacijų ministerija 2024-2025 metais pradėjo nacionalinę DI strategijos peržiūrą, kuri apima atitikties palaikymo priemones įmonėms.

Ką Lietuvos įmonės turėtų daryti 2026 metais?

Penki praktiniai žingsniai. Pirma, atlikti DI portfelio inventorizaciją - kurios sistemos jau veikia, kurios planuojamos, ir kokia rizikos klasė pagal Aktą kiekvienai. Antra, įdiegti DI raštingumo programą darbuotojams, kurie naudoja arba prižiūri DI sistemas - ši prievolė taikoma nuo 2025 m. vasario. Trečia, kiekvienai aukšto rizikos sistemai parengti rašytinį atitikties vertinimo planą ir techninės dokumentacijos paketą pagal IV priedą. Ketvirta, atnaujinti tiekėjų sutartis, įskaitant atsakomybės paskirstymą už atitikties vertinimą, duomenų vietą, žurnalų laikymą ir poprodukcinį stebėjimą. Penkta, sukurti incidentų pranešimo procedūrą ir paskirti atsakingą asmenį už santykius su nacionaliniais reguliuotojais.

McKinsey 2024 m. apklausa rodo, kad organizacijos, kurios augina DI valdymą paraleliai su naudojimu, fiksuoja 30-40 procentų aukštesnį projektų sėkmės rodiklį [3]. Atitikties darbas nėra alternatyva inžinerijai. Tai yra inžinerijos dalis.

Kaip vertinti DI tiekėjų pasirengimą Aktui?

Penki dokumentai turėtų būti pateikti prieš sutartį. Atitikties vertinimo planas, kuris įvardija vertinimo kelią ir terminus. Duomenų valdymo aprašas pagal 10 straipsnį, dengiantis mokymo, validavimo ir testavimo duomenis, įskaitant kilmę, šališkumo mažinimą ir specialių kategorijų tvarkymą. Techninės dokumentacijos paketo juodraštis pagal IV priedą. Žmogaus priežiūros dizainas, įvardijantis konkrečius įsikišimo ir pakeitimo taškus. Poprodukcinio stebėjimo planas su įvardytomis metrikomis, savininkais ir ataskaitų ritmu.

Jei tiekėjas negali pateikti šių dokumentų kaip šabloninių artefaktų, pritaikytų pirkėjo užduočiai, atitikties darbas nėra atliktas. ISO/IEC 42001:2023, DI valdymo sistemos standartas, vis dažniau naudojamas kaip pirkimo orientyras [4].

Dažniausiai užduodami klausimai

Ar mažoms ir vidutinėms Lietuvos įmonėms ES DI aktas taikomas?

Taip, jei jos kuria, pateikia rinkai arba naudoja DI sistemas, kurios patenka į reglamentuotas kategorijas. Aktas neturi MVĮ atleidimo, bet turi proporcingumo nuostatas, kurios palengvina dokumentacijos naštą mažesniems tiekėjams. Praktinis testas - ne įmonės dydis, o sistemos rizikos klasė. MVĮ, kuri naudoja pokalbių robotą klientų aptarnavimui, turi tik skaidrumo prievoles. MVĮ, kuri kuria įdarbinimo DI sprendimą, turi visą aukšto rizikos pareigų rinkinį, įskaitant atitikties vertinimą.

Kokios sankcijos numatytos už Akto pažeidimus?

Aktas numato sankcijas iki 35 milijonų eurų arba 7 procentų pasaulinės metinės apyvartos rimčiausiems pažeidimams (draudžiamų praktikų pažeidimai), iki 15 milijonų eurų arba 3 procentų apyvartos kitiems pareigų pažeidimams ir iki 7,5 milijonų eurų arba 1,5 procentų apyvartos už neteisingą informaciją reguliuotojams. Lietuvos Respublikos Vyriausybei jau perduotas teisinis projektas dėl nacionalinių procedūrų ir paskirtų institucijų sankcijų taikymui.

Ar bendrieji modeliai, tokie kaip GPT-4 ar Claude, automatiškai patenka į Aktą?

Taip, kaip bendrosios paskirties DI modeliai. Šios kategorijos prievolės taikomos modelių tiekėjams nuo 2025 m. rugpjūčio. Lietuvos įmonė, kuri kuria taikomąją sistemą ant tokių modelių, paprastai nėra modelio tiekėjas, bet yra žemesnio lygio sistemos tiekėjas, su atitinkamomis prievolėmis dėl dokumentacijos ir rizikos valdymo. 2025 m. rugpjūčio data reiškia, kad modelių tiekėjų atitikties būklė dabar yra patikrinama, ir žemesnio lygio tiekėjai turėtų gebėti įvardyti, kurį modelį jie naudoja ir kurią atitikties paketą jie paveldi.

Ar Aktas reikalauja, kad DI sistema būtų hostinga ES?

Aktas tiesiogiai nereikalauja ES hostingo, bet faktinės pareigos dažnai veda prie tokios išvados. Jei sistema apdoroja asmens duomenis, BDAR taisyklės dėl tarptautinių duomenų perdavimų taikomos lygiagrečiai. Jei sistema yra aukšto rizikos, dokumentacijos prieinamumo ir audito pareigos yra paprastesnės, kai duomenys ir sistema yra ES jurisdikcijoje. Praktinis modelis 2026 metams yra ES hostingo numatytasis pasirinkimas, su išimtimis, paremtomis dokumentuotu Perdavimo poveikio vertinimu.

Ar reikalingas Akto specialistas papildomai prie tiekėjo?

Daugumai aukšto rizikos projektų - taip. Tiekėjas atlieka techninę atitikties darbo dalį, bet pirkėjas paprastai turi atskirą kontrolės funkciją - duomenų apsaugos pareigūną, atitikties skyrių arba išorinį konsultantą - kuri tikrina, ar tiekėjo dokumentacija atitinka įmonės rizikos apetitą ir nacionalinius reguliuotojus. Mažesniems projektams ši funkcija gali būti įtraukta į pagrindinę pirkimo komandą, su tiekėju, pateikiančiu dokumentaciją tiesiogiai.

Kur pradėti, jei dar nieko nepradėjome?

Tris savaites užtrunkanti DI portfelio inventorizacija ir rizikos klasifikavimas yra teisingas pirmasis žingsnis. Prieš to atlikus, dauguma kitų sprendimų yra spėjimai. Antras žingsnis yra DI raštingumo programa darbuotojams, kuri yra reikalavimas nuo 2025 m. vasario ir kuri pateikia natūralų organizacinį momentumą atitikties darbui. Trečias žingsnis yra aukšto rizikos sistemų atitikties vertinimo plano juodraštis, paprastai parengtas su tiekėju arba išoriniu konsultantu. Šis trijų žingsnių planas paprastai užtrunka 8-12 savaičių ir suteikia pakankamai struktūros, kad sutartys ir biudžetai 2026 metams būtų pagrįsti, ne spėjimai.

Impetora

Pasiruošę aptarti savo projektą? Pateikite trumpą santrauką - atsakysime per vieną darbo dieną.

Pateikti projektą TRACE metodologija

Cituoti šaltiniai

Šaltiniai (5) - rodyti

Reglamentas (ES) 2024/1689 (Dirbtinio intelekto aktas). Europos Sąjungos oficialusis leidinys, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
AI Index Report 2024. Stanford HAI, 2024-04. https://aiindex.stanford.edu/report/
The state of AI in early 2024. McKinsey & Company, 2024-05. https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
ISO/IEC 42001:2023 - DI valdymo sistemos. Tarptautinė standartizacijos organizacija, 2023-12. https://www.iso.org/standard/81230.html
Reglamentas (ES) 2016/679 (Bendrasis duomenų apsaugos reglamentas). Europos Sąjungos oficialusis leidinys, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj

About Impetora

Impetora projektuoja, kuria ir diegia pritaikytas dirbtinio intelekto sistemas įmonėms reguliuojamuose sektoriuose. Veikiame iš Vilniaus ir Amsterdamo, dirbame penkiomis kalbomis.

ES Dirbtinio intelekto aktas Lietuvoje 2026 m.: praktinis gidas