Omnibus 2026 за Закона на ЕС за ИИ: Обяснение на новите срокове за съответствие

Digital Omnibus 2026 за ИИ удължи два критични срока по Закона за ИИ: самостоятелните системи с висок риск по Приложение III до 2 декември 2027 г. и вградените системи по Приложение I до 2 август 2028 г. Ето какво се промени, защо и какво трябва да направи вашата програма за съответствие сега.

Какво промени Digital Omnibus 2026 за ИИ

Digital Omnibus за ИИ измени две централни дати за прилагане в Регламент 2024/1689 на ЕС (Закона на ЕС за ИИ):

Не бяха изменени никакви други основни срокове. Забранените практики (2 февруари 2025 г.), правилата за GPAI (2 август 2025 г.) и задълженията за прозрачност за маркиране на GPAI съдържание (2 август 2025 г.) остават в сила на оригиналните си дати.

Защо omnibus отложи сроковете за ИИ с висок риск

Европейската комисия цитира три движещи фактора:

1. Съответствие с изпълнителните актове — техническите стандарти и хармонизираните норми за оценка на ИИ с висок риск (работна програма на CEN/CENELEC) не бяха финализирани навреме за август 2026 г. Оценките на съответствието изискват тези стандарти.
2. Пропуск в инфраструктурата за съответствие — нотифицираните органи, националните компетентни органи и Службата по ИИ на ЕС се нуждаеха от допълнително време за настройка. Без оперативна инфраструктура за правоприлагане срокът от август 2026 г. на практика би бил неприложим.
3. Готовност на МСП — по-малките доставчици, особено в медицинските технологии, HR технологиите и финансовите услуги, съобщиха за недостатъчно време за завършване на внедряването на СУК и техническата документация наред с паралелните задължения по DORA и NIS2.

Удължаването е гратисен период, а не намаляване на обхвата. Всички задължения остават; само техният времеви план се измества.

Приложение III — самостоятелен ИИ с висок риск (краен срок: 2 декември 2027 г.)

Самостоятелното Приложение III обхваща системи за ИИ, самостоятелно пускани на пазара или въвеждани в употреба като системи с висок риск, без да са компонент за безопасност на друг продукт. Примери:

• ИИ за набиране на персонал и скрийнинг (класиране на автобиографии, анализ на интервюта)
• ИИ за кредитен скоринг и оценка на кредитоспособността
• Биометрична категоризация (не биометрична идентификация в реално време, която е забранена)
• ИИ, използван в управлението на критична инфраструктура
• ИИ при оценка в образование и професионално обучение
• ИИ, използван от правоприлагащите органи и органите по миграция

Задължения на доставчиците до 2 декември 2027 г.:

1. Завършване на оценка на съответствието по чл. 43
2. Внедряване на система за управление на качеството (чл. 17)
3. Съставяне на техническа документация (чл. 11 + Приложение IV)
4. Регистриране на системата в базата данни на ЕС за ИИ (чл. 71)
5. Нанасяне на CE маркировка (чл. 48)
6. Назначаване на представител в ЕС, ако е установен извън ЕС

Задължения на крайните потребители (също до 2 декември 2027 г.):

1. Провеждане на оценка на въздействието върху основните права (ОВОР) за крайни потребители — публични органи
2. Внедряване на мерки за човешки надзор (чл. 26)
3. Документиране на входни и изходни данни (чл. 26(6))
4. Информиране на служителите, когато решения, засягащи ги, са подпомогнати от ИИ

Приложение I — вграден ИИ с висок риск (краен срок: 2 август 2028 г.)

Вграденото Приложение I обхваща ИИ, представляващ компонент за безопасност на продукт, вече регулиран по съществуващото законодателство на ЕС за безопасност на продуктите. Съответствието по Закона за ИИ е интегрирано в съществуващата процедура за оценка на съответствието за съответния продукт. Примери:

• ИИ компоненти в медицински изделия (MDR/IVDR)
• ИИ в автомобилни системи (рамки за одобряване на типа)
• ИИ в машини (Регламент за машините)
• ИИ в авиационни компоненти
• ИИ в играчки и потребителски продукти (ниско напрежение/ЕМС)

Допълнителното двугодишно удължение (спрямо 16 месеца за Приложение III) отразява наслоената сложност на оценката на съответствието в два регулаторни режима едновременно.

Промяненото е срокът — не задълженията

Честото погрешно тълкуване на omnibus: удължаването на срока означава, че задълженията са облекчени. Те не са.

Изискванията за оценка на съответствието, СУК, техническа документация, CE маркировка и регистрация са идентични с изисквания по август 2026 г. Omnibus не намалява обхвата, не създава изключения и не добавя преходни дерогации. Само измества финалната линия.

Практическо значение: Организациите, използващи удължаването като извинение за пауза на програмите за съответствие, ще се изправят пред по-тежка криза в края на 2027 г. По-продуктивното използване на допълнителното време е завършване на внедряването на СУК, стрес тестване на техническата документация спрямо проектите на хармонизирани стандарти и ранно ангажиране с нотифицирани органи — техният капацитет ще бъде ограничен с наближаването на срока от декември 2027 г.

Забранени практики, вече в сила

Тези забрани по чл. 5 се прилагат от 2 февруари 2025 г. и не бяха засегнати от omnibus:

• Сублиминална манипулация — техники на ИИ, използващи подсъзнателни уязвимости за промяна на поведението срещу интересите на потребителите
• Използване на уязвимости — насочване към деца, възрастни хора или лица в неравностойно положение
• Социален скоринг — базиран на ИИ скоринг с общо предназначение на физически лица от публични органи
• Дистанционна биометрична идентификация в реално време на обществено достъпни места от правоприлагащите органи (с тесни изключения)
• Разпознаване на емоции на работното място и в образователни институции
• Биометрична категоризация, извеждаща чувствителни характеристики (раса, политически възгледи, членство в профсъюзи, сексуална ориентация, религия) — освен за законни цели на правоприлагането със съдебно разрешение
• NCII/CSAM — генерирането или манипулирането на интимни изображения без съгласие или материали за сексуална злоупотреба с деца чрез ИИ е забранено

Несъответствието с забраните по чл. 5 от 2 февруари 2025 г. носи глоби до 35 милиона евро или 7% от глобалния годишен оборот, което от двете е по-голямо.

Правила за GPAI модели: вече приложими

Задълженията по Глава 5 за GPAI се прилагат от 2 август 2025 г.:

• Всички доставчици на GPAI трябва да спазват задълженията за прозрачност (чл. 53)
• Доставчиците на GPAI модели с системен риск (над 10²⁵ FLOP изчислителен ресурс за обучение) се изправят пред допълнителни задължения, включително тестване срещу противника и докладване на инциденти
• Маркирането на генерирано от ИИ съдържание (воден знак) за синтетични медии се прилага за генеративни GPAI системи

Сближаване с DORA и NIS2

Организациите в сферата на финансовите услуги се изправят пред тройната тежест от задълженията по Закона за ИИ, DORA и NIS2 с припокриващи се времеви планове. Ключови пресечни точки:

• Управление на ИКТ риска по DORA (чл. 5–16) трябва да обхваща ИКТ системи, управлявани от ИИ — DORA не освобождава инструментите за ИИ от рамката за управление на ИКТ риска
• Докладване на инциденти по DORA (чл. 19–23) се прилага за инциденти, причинени от или включващи системи за ИИ
• Мерките за сигурност по NIS2 (чл. 21) включват в обхвата свързаните с ИИ кибер рискове
• Управлението на риска по чл. 9 от Закона за ИИ за ИИ с висок риск значително се припокрива с управлението на ИКТ риска по DORA — двойното картографиране е възможно и препоръчително за избягване на дублирана документация

Вижте нашия пълен анализ на сближаването → или нашия партньорски сайт regulation-dora.eu за специфично покритие на DORA.