I
Impetora

ES Dirbtinio intelekto akto apžvalga: apimtis, rizikos klasės ir taikymo grafikas

By Impetora -

ES Dirbtinio intelekto aktas, oficialiai Reglamentas (ES) 2024/1689, yra pirmoji pasaulyje horizontali dirbtinio intelekto teisinė sistema. Jis įsigaliojo 2024 m. rugpjūčio 1 d. ir taikomas etapais iki 2027 m., didžiajai daliai aukšto rizikos sistemos prievolių pradėjus galioti 2026 m. rugpjūčio 2 d. [1]. Aktas taikomas bet kuriai DI sistemai, pateiktai ES rinkai arba naudojamai ES, neatsižvelgiant į tai, kur tiekėjas yra įsteigtas, ir suskirsto sistemas į keturias rizikos klases su proporcingomis prievolėmis ir sankcijomis iki 35 mln. eurų arba 7 proc. pasaulinės metinės apyvartos.

4
Rizikos klasės
Reglamentas 2024/1689
2026-08-02
Aukšto rizikos prievolės
113 straipsnis
35 mln. EUR
Maks. sankcija (99 str.)
99 straipsnis
8
Aukšto rizikos sritys (III priedas)
AI Act Explorer

Kas yra ES DI aktas ir ką jis reguliuoja?

ES DI aktas yra tiesiogiai taikomas reglamentas, kuris sukuria vieną horizontalią dirbtinio intelekto sistemą visose 27 ES valstybėse narėse. Jis apibrėžia DI sistemą 3 straipsnyje kaip mašininę sistemą, sukurtą veikti su skirtingais autonomijos lygiais, galinčią prisitaikyti po įdiegimo ir iš įvesties išvedančią išėjimus, kurie gali paveikti fizines ar virtualias aplinkas [1]. Apibrėžimas yra plačios apimties ir atspindi EBPO apibrėžimą.

Aktas reguliuoja visą DI sistemos gyvavimo ciklą - nuo duomenų rinkimo ir modelio mokymo iki diegimo, stebėjimo ir incidentų pranešimo - ir taikomas tiekėjams, naudotojams, importuotojams, platintojams ir įgaliotiems atstovams. Tiekėjai turi sunkiausią naštą, nes jie pateikia sistemą rinkai savo vardu. Naudotojai - organizacijos, faktiškai naudojančios sistemą - turi lengvesnį, bet vis tiek svarbų prievolių rinkinį dėl priežiūros, instrukcijų laikymosi ir incidentų pranešimo [3].

Svarbu, kad Aktas turi eksteritorinį poveikį. JAV, JK ar Azijos tiekėjas, kuris ES naudotojams pateikia aukšto rizikos sistemą, turi paskirti ES įgaliotą atstovą, atitikti tas pačias dokumentacijos prievoles kaip ir ES tiekėjas, ir pripažinti ES jurisdikciją sankcijoms.

Kam taikomas ES DI aktas?

Aktas taikomas keturiems vaidmenims. Tiekėjai kuria DI sistemas ir pateikia jas ES rinkai savo vardu ar prekės ženklu. Naudotojai profesionaliai naudoja DI sistemas ES viduje. Importuotojai pateikia trečiųjų šalių tiekėjų DI sistemas ES rinkai. Platintojai pateikia DI sistemas ES tiekimo grandinėje jų nemodifikuodami. Įgalioti atstovai veikia ne ES tiekėjų vardu.

Daugumai įmonių praktinis klausimas yra, kuriuos vaidmenis jos užima visame DI portfelyje. Bankas, kuris kuria vidinį kreditingumo modelį, yra tiekėjas. Bankas, kuris perka trečiosios šalies sukčiavimo aptikimo produktą, yra naudotojas. Bankas, kuris perparduoda partnerio KYC įrankį savo vardu, vėl yra tiekėjas. Šie vaidmenys gali keistis kiekvienai sistemai atskirai, todėl sutartinis atsakomybės paskirstymas turi būti aiškus prieš pasirašymą.

Aktas atleidžia DI sistemas, naudojamas išskirtinai karinei, gynybinei arba nacionalinio saugumo reikmėms, sistemas, naudojamas tik moksliniams tyrimams ir plėtrai, ir asmeninį neprofesionalų naudojimą. Atviro kodo DI komponentai yra iš dalies atleisti, nors bendrosios paskirties DI modeliai su sisteminiu pavojumi yra reguliuojami nepaisant licencijos [3].

Kokios yra keturios rizikos klasės?

Aktas suskirsto DI sistemas į keturias klases su proporcingomis prievolėmis. Draudžiamos praktikos (5 straipsnis) apima manipuliacinį elgesio keitimą, netikslinį veidų vaizdų rinkimą veidų atpažinimo duomenų bazėms, viešųjų institucijų socialinį reitingavimą, biometrinį kategorizavimą pagal jautrius požymius, emocijų atpažinimą darbo vietose ir mokymo įstaigose, ir realaus laiko biometrinį identifikavimą viešose erdvėse su siauromis teisėsaugos išimtimis. Šios prievolės taikomos nuo 2025 m. vasario 2 d. [1].

Aukšto rizikos sistemos (III priedas) apima aštuonias sritis: biometriją, kritinę infrastruktūrą, švietimą, įdarbinimą, prieigą prie esminių paslaugų (įskaitant kreditingumą), teisėsaugą, migraciją ir teisingumo administravimą. Aukšto rizikos sistemoms taip pat priskiriami DI saugos komponentai reguliuojamuose produktuose pagal I priedą. Daugumai prievolių taikoma 2026 m. rugpjūčio 2 d. data [2].

Riboto rizikos sistemoms taikomos skaidrumo prievolės pagal 50 straipsnį - pokalbių robotai turi atskleisti, kad jie yra DI, sintetinis turinys turi būti pažymėtas, kaip mašinos sukurtas. Minimalaus rizikos sistemoms specialios prievolės netaikomos, nors DI raštingumo reikalavimas pagal 4 straipsnį taikomas visoms klasėms.

Detalią klasių analizę rasite rizikos klasifikacijos gide.

Kaip Aktas reguliuoja bendrosios paskirties DI modelius?

Bendrosios paskirties DI modeliai - pamatiniai modeliai, varantys žemesnio lygio taikomąsias programas - turi savo prievoles pagal V skyrių. Visi tokių modelių tiekėjai turi paskelbti pakankamai išsamią mokymo duomenų santrauką, palaikyti techninę dokumentaciją, laikytis ES autorių teisių teisės ir bendradarbiauti su Europos Komisijos DI biuru. Šios prievolės taikomos nuo 2025 m. rugpjūčio 2 d. [1].

Modeliams su sisteminiu pavojumi - apibrėžtiems kaip bendrosios paskirties modeliai, mokomi naudojant daugiau nei 10^25 slankiojo kablelio operacijų - taikomos papildomos prievolės: pažangiausi vertinimai, sisteminio pavojaus mažinimas, rimtų incidentų pranešimas ir adekvatus kibernetinis saugumas. Sąrašą tvarko DI biuras.

Įmonėms pirkėjams praktinė reikšmė yra ta, kad ant GPT-4 klasės, Claude klasės arba atvirojo svorio pamatinių modelių sukurtos sistemos paveldi dalį atitikties paketo iš modelio tiekėjo. Pirkėjo paties taikoma sistema užkloja sistemos lygio atitikties paketą viršuje.

Koks yra etapinis taikymo grafikas?

Akto taikymas yra etapinis, kad rinka ir reguliuotojai turėtų laiko sukurti valdymo pajėgumus. Pagrindinės datos:

  • 2024-08-01 - įsigaliojimas.
  • 2025-02-02 - draudžiamų praktikų (5 str.) ir DI raštingumo prievolių (4 str.) taikymas.
  • 2025-08-02 - bendrosios paskirties DI modelių prievolių (V sk.), valdymo struktūros, sankcijų (99 str.) taikymas.
  • 2026-08-02 - didžiosios dalies aukšto rizikos prievolių (III priedas) taikymas.
  • 2027-08-02 - aukšto rizikos sistemų, integruotų į I priedo reguliuojamus produktus, prievolių taikymas.
2024-08-01
Įsigaliojimo data
113 straipsnis

Įmonėms, pasirašančioms DI sutartis 2026 metais, praktinė prielaida yra tokia, kad iki paleidimo visos aukšto rizikos prievolės bus aktyvios. Sutartys, kurios atideda atitikties darbą "po bandomojo etapo", paprastai sukuria spragas, kurias pataisyti vėliau kainuoja brangiau nei suprojektuoti iš anksto.

Kokios sankcijos numatytos už pažeidimus?

99 straipsnis nustato tris sankcijų lygius. Draudžiamų praktikų pažeidimas (5 str.) - iki 35 mln. eurų arba 7 proc. pasaulinės metinės apyvartos, kurioje yra didesnis. Daugumos kitų prievolių pažeidimas - aukšto rizikos sistemų reikalavimai, skaidrumas, valdymas - iki 15 mln. eurų arba 3 proc. apyvartos. Neteisingos, neišsamios ar klaidinančios informacijos pateikimas notifikuotosioms įstaigoms ir institucijoms - iki 7,5 mln. eurų arba 1 proc. apyvartos.

Sankcijų režimą įgyvendina nacionalinės kompetentingos institucijos pagal valstybės narės procedūrines taisykles. Europos Komisijos DI biuras tiesiogiai taiko prievoles bendrosios paskirties DI modelių tiekėjams, su sankcijomis iki 3 proc. apyvartos arba 15 mln. eurų. Lietuvoje nacionalinė priežiūros struktūra apima Ryšių reguliavimo tarnybą, Valstybinę duomenų apsaugos inspekciją ir sektorinius reguliuotojus.

Reputacijos ir sutartinės pasekmės paprastai yra didesnės nei pati bauda. Viešieji pirkimai jau reikalauja DI akto atitikties patvirtinimo, ir didelės įmonės šį reikalavimą perduoda žemyn savo tiekimo grandine.

Ką įmonės turėtų daryti 2026 metais?

Šeši praktiniai žingsniai dengia didžiąją dalį planavimo ploto. Pirma, atlikti DI portfelio inventorizaciją - kurios sistemos veikia, kurios planuojamos, ir kokia rizikos klasė kiekvienai. Antra, įdiegti DI raštingumo programą darbuotojams, kurie naudoja arba prižiūri DI sistemas. Ši prievolė galioja nuo 2025 m. vasario.

Trečia, kiekvienai aukšto rizikos sistemai parengti rašytinį atitikties vertinimo planą ir techninės dokumentacijos paketą pagal IV priedą. Ketvirta, atnaujinti tiekėjų sutartis, paskirstant atsakomybę už atitikties vertinimą, duomenų valdymą, poprodukcinį stebėjimą ir incidentų pranešimą. Penkta, sukurti incidentų pranešimo procedūrą su paskirtu atsakingu asmeniu, kuris bendradarbiauja su nacionaliniais reguliuotojais. Šešta, suderinti DI valdymą su esamu BDAR, ISO 27001 ir, kur taikoma, DORA, NIS2 darbu, nes dokumentacijos lūkesčiai labai persidengia.

Stanford HAI 2024 metų DI ataskaita rodo, kad daugiau nei 78 proc. organizacijų jau naudoja DI bent vienoje verslo funkcijoje [7]. Dauguma šių organizacijų 2026 metais portfelyje turi bent vieną riboto arba aukšto rizikos sistemą, net jei jos dar nebuvo klasifikuotos.

Kaip Impetora padeda dirbant su DI aktu?

Impetora yra DI konsultacijų ir sprendimų partnerystė. Projektuojame, kuriame ir diegiame pritaikytas DI sistemas įmonėms reguliuojamuose sektoriuose. Mūsų TRACE metodologija turi DI aktą integruotą iš pagrindų: Patikimumas dengia ES duomenų rezidenciją ir audito pėdsakus kaip rezultatus, Pasirengimas dengia duomenų ir rizikos auditą prieš bet kokį kodą, Architektūra dengia gamybinės kokybės dizainą su žurnalais ir stebėjimu, Citatos ir įrodymai dengia kiekvieno atsakymo atsekimą iki šaltinio.

Pirkėjams, vykdantiems DI akto atitikties programą, kiekvienoje paslaugoje pateikiame šiuos artefaktus kaip rezultatus: atitikties vertinimo planą, duomenų valdymo aprašą pagal 10 straipsnį, IV priedo techninės dokumentacijos paketą, žmogaus priežiūros dizainą ir poprodukcinio stebėjimo planą.

Dažniausiai užduodami klausimai

Kada ES DI aktas pradeda visiškai galioti?
Aktas įsigaliojo 2024 m. rugpjūčio 1 d. su etapiniu taikymu. Draudžiamos praktikos ir DI raštingumo prievolės taikomos nuo 2025 m. vasario 2 d. Bendrosios paskirties DI modelių prievolės ir sankcijų režimas - nuo 2025 m. rugpjūčio 2 d. Didžioji dalis aukšto rizikos sistemų prievolių - nuo 2026 m. rugpjūčio 2 d. Aukšto rizikos sistemų, integruotų į I priedo reguliuojamus produktus, prievolės - nuo 2027 m. rugpjūčio 2 d. Pirkėjai, pasirašantys DI sutartis 2026 metais, turėtų laikyti, kad iki paleidimo visas aukšto rizikos prievolių rinkinys bus aktyvus.
Ar ES DI aktas taikomas ne ES įmonėms?
Taip, trimis pagrindais. Aktas taikomas, jei tiekėjas pateikia DI sistemą ES rinkai, neatsižvelgiant į tai, kur tiekėjas yra įsteigtas. Jis taikomas, jei naudotojas yra įsteigtas arba yra ES. Jis taikomas, jei DI sistemos išvestis naudojama ES, net jei pati sistema veikia už ES ribų. Ne ES tiekėjai, pateikiantys aukšto rizikos sistemas ES rinkai, turi paskirti ES įgaliotą atstovą pagal 22 straipsnį ir pripažinti ES jurisdikciją sankcijoms.
Ar BDAR aktualus ES DI aktui?
Taip, lygiagrečiai. DI aktas nepakeičia BDAR DI sistemoms, kurios apdoroja asmens duomenis. Du režimai persidengia: BDAR 22 straipsnis dėl automatizuoto sprendimų priėmimo, BDAR 35-36 straipsniai dėl poveikio duomenų apsaugai vertinimų ir EDPB DI gairės veikia lygiagrečiai su DI akto 10 straipsniu dėl duomenų valdymo ir 27 straipsniu dėl pagrindinių teisių poveikio vertinimų. Gerai suprojektuota atitikties programa apima abu režimus viename darbo sraute.
Ar atviro kodo DI modeliai atleisti?
Iš dalies. 2 straipsnio 12 dalis atleidžia laisvus ir atviro kodo DI sistemas nuo daugumos prievolių, bet atleidimas netaikomas aukšto rizikos sistemoms, draudžiamoms praktikoms, riboto rizikos sistemų skaidrumo prievolėms ir bendrosios paskirties DI modeliams su sisteminiu pavojumi. Praktiškai įmonė, kuri patikslina atvirojo svorio modelį ir diegia jį aukšto rizikos kontekste, paveldi visas tiekėjo prievoles, neatsižvelgiant į pradinę licenciją.
Kas įgyvendina ES DI aktą?
Įgyvendinimas suskaldytas. Kiekviena valstybė narė paskiria nacionalinę rinkos priežiūros instituciją, kuri įgyvendina Aktą sistemoms, pateiktoms jos teritorijoje. Europos Komisijos DI biuras, įsteigtas DG CNECT, tiesiogiai įgyvendina prievoles bendrosios paskirties DI modelių tiekėjams ir koordinuoja Europos dirbtinio intelekto valdybą. Notifikuotosios įstaigos atlieka trečiųjų šalių atitikties vertinimus, kur reikia. Sektoriniai reguliuotojai išlaiko savo kompetencijas DI sistemoms savo srityje.
Koks skirtumas tarp tiekėjo ir naudotojo?
Tiekėjas kuria DI sistemą ir pateikia ją rinkai savo vardu ar prekės ženklu. Naudotojas profesionaliai naudoja DI sistemą. Tiekėjai turi didžiąją dalį projektavimo prievolių: rizikos valdymas, duomenų valdymas, techninė dokumentacija, atitikties vertinimas, registracija ES duomenų bazėje, poprodukcinis stebėjimas. Naudotojai turi naudojimo prievoles: laikytis instrukcijų, užtikrinti žmogaus priežiūrą, stebėti sistemą, fiksuoti žurnalus, pranešti apie incidentus ir, kur taikoma, atlikti pagrindinių teisių poveikio vertinimą pagal 27 straipsnį.
Kas yra pagrindinių teisių poveikio vertinimas?
27 straipsnis reikalauja, kad tam tikrų aukšto rizikos sistemų naudotojai - ypač viešosios teisės reglamentuojami subjektai, privatūs viešąsias paslaugas teikiantys operatoriai, kreditingumo arba draudimo kainodaros sistemų naudotojai - prieš pirmąjį naudojimą atliktų pagrindinių teisių poveikio vertinimą. Vertinime aprašomi naudotojo procesai, naudojimo trukmė, paveiktų asmenų kategorijos, konkrečios žalos rizikos, žmogaus priežiūros priemonės ir veiksmai, kai rizika materializuojasi. Rezultatas perduodamas nacionalinei rinkos priežiūros institucijai. Vertinimas vyksta lygiagrečiai su BDAR poveikio duomenų apsaugai vertinimu pagal 35 straipsnį.
Impetora

Pasiruošę aptarti savo projektą? Pateikite trumpą santrauką - atsakysime per vieną darbo dieną.

Cituoti šaltiniai

Šaltiniai (8) - rodyti
  1. Reglamentas (ES) 2024/1689 (Dirbtinio intelekto aktas). Europos Sąjungos oficialusis leidinys, 2024-07-12. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  2. DI reguliavimo sistema. Europos Komisija, DG CNECT, 2026-01. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  3. AI Act Explorer (konsoliduotas tekstas). Future of Life Institute, 2024-08. https://artificialintelligenceact.eu/the-act/
  4. Daugiasluoksnė geros DI kibernetinio saugumo praktikos sistema. ENISA, 2023-06. https://www.enisa.europa.eu/publications/multilayer-framework-for-good-cybersecurity-practices-for-ai
  5. ISO/IEC 42001:2023 - DI valdymo sistemos. Tarptautinė standartizacijos organizacija, 2023-12. https://www.iso.org/standard/81230.html
  6. AI Risk Management Framework. NIST, 2023-01. https://www.nist.gov/itl/ai-risk-management-framework
  7. AI Index Report 2024. Stanford HAI, 2024-04. https://aiindex.stanford.edu/report/
  8. Generative artificial intelligence in finance. Bank for International Settlements, 2024-08. https://www.bis.org/fsi/publ/insights63.htm
About Impetora
Impetora projektuoja, kuria ir diegia pritaikytas dirbtinio intelekto sistemas įmonėms reguliuojamuose sektoriuose. Veikiame iš Vilniaus ir Amsterdamo, dirbame penkiomis kalbomis.