norppa.io
Przewodniki

Przewodnik aktu o AI · 11 min

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Unijny akt o AI to pierwsza na świecie kompleksowa ustawa o sztucznej inteligencji. Klasyfikuje systemy AI według ryzyka i nakłada większość ciężkich obowiązków na systemy wysokiego ryzyka, ale nakłada też konkretne obowiązki na organizacje, które używają AI, nie tylko na te, które ją budują. Już obowiązuje i jest stosowany etapami do 2027 roku. Ten przewodnik wyjaśnia poziomy ryzyka, istotne daty, obowiązki podmiotu stosującego z artykułu 26 oraz co to oznacza, gdy kupujesz lub wdrażasz AI w swoim łańcuchu dostaw.

Najważniejsze punkty

  • Akt o AI (rozporządzenie (UE) 2024/1689) klasyfikuje AI według ryzyka: zakazane, wysokie ryzyko, ograniczone (przejrzystość) i minimalne.
  • Etapowe daty: obowiązuje od 1 sierpnia 2024 r.; praktyki zakazane od 2 lutego 2025 r.; AI ogólnego przeznaczenia od 2 sierpnia 2025 r.; wysokie ryzyko i większość obowiązków od 2 sierpnia 2026 r.
  • Jeśli używasz systemu AI wysokiego ryzyka, jesteś „podmiotem stosującym” z własnymi obowiązkami z artykułu 26 (nadzór człowieka, monitorowanie, rejestry i więcej) mimo że dostawca ponosi większość obowiązków po stronie budowy.

Czym jest akt o AI

Akt o AI (rozporządzenie (UE) 2024/1689) to oparte na ryzyku, produktowe rozporządzenie dla systemów AI wprowadzanych na rynek UE lub których wynik jest wykorzystywany w UE. Ponieważ jest rozporządzeniem, obowiązuje bezpośrednio we wszystkich państwach członkowskich. Rozdziela obowiązki wzdłuż łańcucha wartości: głównie na dostawców (którzy rozwijają AI) i podmioty stosujące (które używają jej pod własnym nadzorem), z lżejszymi rolami dla importerów i dystrybutorów.

Zamiast regulować „AI” jednolicie, sortuje systemy na poziomy ryzyka i odpowiednio skaluje obowiązki: garść praktyk jest całkowicie zakazana, określony zbiór zastosowań wysokiego ryzyka niesie ciężkie wymogi, niektóre systemy wymagają jedynie przejrzystości, a zdecydowana większość (AI o minimalnym ryzyku) nie niesie praktycznie żadnych.

Gdzie są obowiązki

Praktyki zakazane (zabronione), systemy wysokiego ryzyka (ciężkie obowiązki: np. AI stosowana w zatrudnieniu, kredytach, infrastrukturze krytycznej czy biometrii) oraz systemy ograniczonego ryzyka wymagające przejrzystości (np. informowanie użytkowników, że wchodzą w interakcję z AI lub że treść jest wygenerowana przez AI).

Minimalne ryzyko (większość AI)

Zdecydowana większość systemów AI (filtry antyspamowe, silniki rekomendacji, większość narzędzi produktywności) należy do minimalnego ryzyka i nie niesie szczególnych obowiązków na mocy aktu, poza dobrowolnymi kodeksami i ogólnym oczekiwaniem kompetencji w zakresie AI.

Harmonogram

Akt jest stosowany etapami. Daty wyznaczające planowanie:

1 sie 2024

Wszedł w życie. Zegar rusza; obowiązki wchodzą w życie etapami od tego momentu.

2 lut 2025

Praktyki zakazane obowiązują: AI o „niedopuszczalnym ryzyku” (np. ocena społeczna, niektóre manipulacyjne lub biometryczne zastosowania kategoryzacji) jest zabroniona. Rozpoczynają się też obowiązki w zakresie kompetencji AI.

2 sie 2025

Rozpoczynają się obowiązki dla modeli AI ogólnego przeznaczenia (GPAI), wraz ze strukturami zarządzania i krajowymi właściwymi organami.

2 sie 2026

Główne wydarzenie: obowiązują obowiązki dla systemów wysokiego ryzyka: w tym obowiązki podmiotu stosującego z artykułu 26.

2 sie 2027

Przedłużony termin dla AI wysokiego ryzyka będącej elementem bezpieczeństwa produktów już regulowanych innymi przepisami UE (załącznik I).

Co muszą robić podmioty stosujące (artykuł 26)

Jeśli używasz systemu AI wysokiego ryzyka pod własnym nadzorem, artykuł 26 nakłada na Ciebie obowiązki operacyjne. W skrócie, podmiot stosujący musi:

  • Używać systemu zgodnie z instrukcją obsługi dostawcy.
  • Powierzyć nadzór człowieka osobom kompetentnym, przeszkolonym i odpowiednio wyposażonym, które mogą zainterweniować lub wstrzymać jego działanie.
  • Monitorować działanie systemu oraz zawiesić używanie i poinformować dostawcę i organy, gdy stwarza ryzyko lub wystąpi poważny incydent.
  • Przechowywać automatycznie generowane rejestry przez odpowiedni okres: co najmniej sześć miesięcy, chyba że inne przepisy wymagają dłużej.
  • Zapewnić, by dane wejściowe były istotne i wystarczająco reprezentatywne dla zamierzonego celu, w zakresie, w jakim je kontrolujesz.
  • Poinformować pracowników i ich przedstawicieli przed wdrożeniem systemu wysokiego ryzyka w miejscu pracy oraz poinformować osoby objęte jego decyzjami.
  • Przeprowadzić ocenę skutków dla praw podstawowych tam, gdzie jest wymagana (art. 27), i współpracować z właściwymi organami.

Jak łączy się z NIS2 i RODO

Akt o AI nie zastępuje Twoich innych obowiązków: nakłada się na nie. System AI przetwarzający dane osobowe nadal podlega RODO (i może wymagać oceny skutków dla ochrony danych obok oceny praw podstawowych z aktu o AI). System AI będący częścią działania Twoich usług kluczowych nadal podlega obowiązkom bezpieczeństwa i zgłaszania z NIS2. Te trzy nakładają się, a nie zastępują.

Dla zakupów właśnie ta zbieżność jest kwestią praktyczną. Gdy wprowadzasz system AI do swojego łańcucha dostaw, dziedziczysz obowiązki podmiotu stosującego (art. 26) i musisz znać stan zgodności dostawcy: zgodność, instrukcję obsługi, rejestrowanie, klasę ryzyka systemu. To ten sam mięsień należytej staranności wobec dostawców, który NIS2 każe Ci już budować, skierowany na AI.

Klasyfikacja systemów AI (zwłaszcza granica wysokiego ryzyka i reguły GPAI) jest szczegółowa i zależna od konkretnego przypadku, a akty wykonawcze i normy wciąż się pojawiają. Potwierdź klasę konkretnego systemu i swoją rolę u wykwalifikowanego doradcy oraz w tekście urzędowym.

Co to oznacza dla Ciebie

Twoje obowiązki zależą od Twojej roli wobec systemu:

Dostawca (rozwijasz lub istotnie modyfikujesz system AI)

Ponosisz obowiązki po stronie budowy: zarządzanie ryzykiem, zarządzanie danymi, dokumentacja techniczna, ocena zgodności i oznakowanie CE dla systemów wysokiego ryzyka. W dużej mierze od 2 sierpnia 2026 r.

Podmiot stosujący (używasz AI pod własnym nadzorem)

Artykuł 26 ma zastosowanie do systemów wysokiego ryzyka: nadzór człowieka, monitorowanie, rejestry, informowanie pracowników i ocena praw podstawowych tam, gdzie jest wymagana. Zbuduj to teraz na termin 2 sierpnia 2026 r.

Importer lub dystrybutor

Możesz udostępniać wyłącznie zgodne systemy wysokiego ryzyka, musisz zweryfikować zgodność i oznakowanie CE dostawcy oraz działać, gdy dowiesz się, że system jest niezgodny.

Nabywca kupujący AI do swojego łańcucha dostaw

Zwykle jesteś podmiotem stosującym. Żądaj instrukcji dostawcy, klasy ryzyka, statusu zgodności i zdolności rejestrowania, i traktuj dostawców AI jako część należytej staranności wobec dostawców NIS2.

Źródła: Rozporządzenie (UE) 2024/1689 (akt o AI) oraz strony Komisji Europejskiej poświęcone aktowi o AI. Daty, poziomy i role odzwierciedlają opublikowane rozporządzenie; potwierdź klasyfikację konkretnego systemu u wykwalifikowanego doradcy.

Jak pomaga norppa.io

norppa.io nie sprawi, że system AI będzie zgodny z aktem o AI (to zadanie dostawcy i podmiotu stosującego) ale daje Ci wgląd w ekspozycję na AI w Twoim łańcuchu dostaw, od czego zaczyna się należyta staranność podmiotu stosującego. Skanowanie ujawnia punkty końcowe usług AI, wystawione API modeli i wnioskowania oraz interfejsy związane z AI (w tym punkty końcowe Model Context Protocol) na powierzchni ataku Twoich dostawców.

Kwestionariusze samooceny ujmują to, czego nie widzi żadne skanowanie zewnętrzne (jakie systemy AI wdraża dostawca, ich klasę ryzyka, status zgodności i rozwiązania w zakresie nadzoru człowieka) a każda odpowiedź jest zestawiana z technicznym profilem na żywo, gotowa do Twoich akt dostawcy. To to samo ciągłe, poparte dowodami podejście, którego oczekuje NIS2, rozszerzone na AI, którą uruchamiają Twoi dostawcy.

Zobacz ekspozycję dostawców na AI

Zobacz przykładowy raport dostawcy (ustalenia, dowody i mapowanie na artykuły) w około dwie minuty.

Zobacz przykładowy raport
Zobacz przykładowy pulpit

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.