Член 17 — Система за управление на качеството (Регламент ЕС за ИИ)

Член 17 от Регламент (ЕС) 2024/1689 — Система за управление на качеството. Официален текст, практическо тълкуване, ключови задължения и последици за съответствие.

Резюме на официалния текст

Член 17 от Регламент (ЕС) 2024/1689 изисква от доставчиците на високорискови системи за ИИ да въведат система за управление на качеството (СУК) преди пускането на такива системи на пазара или въвеждането им в експлоатация. СУК трябва да бъде документирана по систематичен и подреден начин и да обхваща всички етапи от жизнения цикъл на системата за ИИ.

Регламентът определя, че СУК трябва да обхваща като минимум: стратегията на доставчика за регулаторно съответствие, включително процедурите за оценка на съответствието; техниките, процедурите и систематичните действия, използвани за проектиране, контрол на проектирането и верификация на системата за ИИ; процедурите за управление на данни, обхващащи придобиването, събирането, анализа, етикетирането, съхранението, филтрирането, извличането, агрегирането и задържането на данни; системата за управление на риска, предвидена в Член 9; създаването и прилагането на системата за наблюдение след пускането на пазара в съответствие с Член 72; процедурите за докладване на инциденти в съответствие с Член 73; управлението на комуникацията с компетентните органи, нотифицираните органи и другите съответни оператори; системите и процедурите за водене на документация; управлението на ресурсите, включително мерки, свързани с веригата за доставки; и рамка за отчетност, документираща отговорностите в цялата организация.

Когато доставчиците са физически лица или микропредприятия, определени в Препоръка 2003/361/ЕО на Комисията, Комисията е упълномощена да приема актове за изпълнение, позволяващи опростени схеми на СУК, признавайки принципа на пропорционалност, залегнал в регламента.

Какво означава това на практика

За всяка организация, която разработва или пуска на пазара на ЕС високорискова система за ИИ, Член 17 означава, че съответствието не може да бъде еднократно упражнение, провеждано в момента на пускането. То трябва да бъде вградено в живата организационна система, която управлява целия жизнен цикъл на продукта — от първоначалните решения за проектиране до внедряването, наблюдението и евентуалното извеждане от употреба.

В конкретни термини, доставчикът трябва да може да демонстрира, че документирани процедури съществуват и се следват на всеки етап. Доставчик на система за ИИ в здравеопазването, например, не може просто да обучи модел и да го представи за оценка на съответствието. Организацията трябва да покаже, че придобиването на данни е следвало документирани правила за управление, че изборът на проектиране е бил преглеждан спрямо критерии за риск, че отговорностите за надзор са определени и записани, и че съществува механизъм за откриване и докладване на инциденти след внедряването.

Изискването за СУК означава, че съответствието е толкова организационно и процедурно предизвикателство, колкото и техническо. Компаниите, които вече работят по ISO 9001 или секторно специфични рамки за управление — като ISO 13485 при медицинските изделия — ще намерят значително припокриване, но все пак ще трябва изрично да съпоставят съществуващите си системи с изискванията на Регламента за ИИ, вместо да приемат еквивалентност.

По-малките доставчици се възползват от разпоредбата за пропорционалност: микропредприятията могат да се квалифицират за опростени схеми съгласно актовете за изпълнение, издадени от Комисията. Това обаче не ги освобождава от основните съществени задължения; то може да засяга само формата, в която тези задължения се документират и управляват.

На практика доставчиците трябва да третират СУК като централна основа, от която се генерират и управляват всички останали артефакти на съответствието — техническа документация, регистри на рисковете, планове за наблюдение след пускането на пазара, журнали на инциденти.

Ключови задължения

• Създаване на документирана система за управление на качеството преди пускането на високорискова система за ИИ на пазара или въвеждането й в експлоатация, обхващаща всички фази от жизнения цикъл.
• Интегриране на процедурите за управление на риска, изисквани от Член 9, в СУК, като се гарантира, че идентифицирането, оценяването и ограничаването на риска са систематични и проследими.
• Документиране на практиките за управление на данни, обхващащи придобиването, етикетирането, обработката, съхранението и задържането, в съответствие с изискванията за управление на данни по Член 10.
• Поддържане на техническата документация, определена в Член 11 и Приложение IV, като изход от СУК, поддържайки я актуална и достъпна за оценка на съответствието и надзор на пазара.
• Прилагане на процедури за наблюдение след пускането на пазара и докладване на инциденти в рамките на СУК, в съответствие съответно с Членове 72 и 73.
• Определяне и документиране на структурите за отчетност, ролите и отговорностите в цялата организация, включително надзор на веригата за доставки, когато компоненти на трети страни допринасят за системата за ИИ.

Връзка с други членове

Член 17 функционира като организационния гръбнак на режима на съответствие за системи за ИИ с висок риск, установен в Дял III, Глава 3. Той черпи своето съдържание от множество взаимосвързани задължения: системата за управление на риска на Член 9, изискванията за данни и управление на данни на Член 10 и режимът на техническа документация на Член 11 — всички те пряко допринасят за това, което СУК трябва да обхваща и произвежда.

СУК трябва също да подпомага процедурите за оценка на съответствието в Членове 43 и 44, тъй като генерираната от нея документация представлява основното доказателство, прегледано от нотифицираните органи или процесите за самооценка. Задълженията след внедряването по Член 72 (наблюдение след пускането на пазара) и Член 73 (докладване на сериозни инциденти) трябва да бъдат вградени в процедурите на СУК, а не управлявани като отделни ad hoc дейности.

Член 26 налага задължения на ползвателите, които са различни от, но допълват задълженията на СУК за доставчиците. Когато доставчиците и ползвателите съвпадат — например когато дадена организация едновременно разработва и внедрява вътрешно високорискова система за ИИ — СУК по Член 17 трябва да се чете заедно със задълженията на ползвателя по Член 26, за да се осигури пълно покритие.

График за съответствие

Регламентът за ИИ на ЕС влезе в сила на 1 август 2024 г. след публикуването му в Официален вестник на Европейския съюз. Прилагането на разпоредбите му е поетапно:

• Февруари 2025 г. — Забраните за практики на ИИ с неприемлив риск (Член 5) станаха приложими.
• Август 2025 г. — Задълженията, свързани с модели с общо предназначение (Дял VIII), станаха приложими.
• 2 август 2026 г. — Член 17 става приложим за доставчиците на системи за ИИ с висок риск, изброени в Приложение III (системи в области като биометрия, критична инфраструктура, образование, заетост, основни услуги, правоприлагане, миграция и правосъдие).
• 2 август 2027 г. — Член 17 става приложим за доставчиците на системи за ИИ с висок риск, управлявани от Приложение I (компоненти на ИИ в продукти, вече обект на хармонизационното законодателство на ЕС, като медицински изделия, машини и авиационно оборудване).

Доставчиците, чиито системи вече са на пазара преди тези дати, се ползват от преходни разпоредби съгласно Член 111, които могат да отложат пълните задължения за съответствие на СУК при условия, свързани със значителни модификации и текущи цикли на оценка на съответствието. Организациите трябва да започнат проектирането на СУК и оценките на пропуските доста преди приложимия краен срок, за да позволят вътрешно валидиране, ангажиране с нотифицирания орган, когато е необходимо, и итеративно усъвършенстване преди задължението да стане приложимо.