Секторно-специфични ръководства за съответствие с EU AI Act в здравеопазването, HR, публичния сектор, транспорта, застраховането, търговията на дребно, МСП и образованието.
Как секторът определя степента на изложеност на организацията по EU AI Act
EU AI Act е хоризонтално законодателство — то се прилага спрямо AI системи, пуснати на пазара или въведени в експлоатация във всеки сектор на икономиката в Европейския съюз. Въпреки това практическата тежест за съответствие не е еднаква. Секторът определя кои категории с висок риск по Annex III са приложими, кои съществуващи регулаторни рамки пораждат припокриващи се задължения и кои национални или европейски надзорни органи ще имат юрисдикция над AI внедряванията.
Актът установява многостепенна архитектура на риска: забранени практики по Art. 5, AI с висок риск по Art. 6 и Annex III, задължения за AI с общо предназначение (GPAI) по Art. 51 до Art. 55, и задължения за прозрачност по Art. 50. Всички сектори са обхванати от забраната на забранените практики и от слоя за прозрачност по Art. 50. Задълженията за AI с висок риск по Annex III се прилагат избирателно, в зависимост от това какъв AI използва организацията и за каква цел.
Разбирането на секторната изложеност започва с картографиране на оперативните случаи на използване на AI спрямо категориите по Annex III. Организациите трябва също да преценят дали внедреният AI представлява GPAI модел по смисъла на Art. 3(63) и дали отношенията с доставчиците пораждат задължения като ползвател или доставчик на GPAI.
Разбиране на Annex III по сектори
Annex III на EU AI Act определя 8 категории самостоятелни AI системи с висок риск. Всяка категория съответства на конкретни индустрии и случаи на използване на AI.
Категория 1 — Биометрия (приложимо за всички сектори)
Art. 6 във връзка с точка 1 на Annex III обхваща AI системи за биометрична идентификация и биометрична категоризация на физически лица. Дистанционната биометрична идентификация в реално време на публично достъпни места от правоприлагащите органи е забранена по Art. 5(1)(h), а не само с висок риск. Биометричната идентификация след факта и системите за биометрична категоризация, използвани при наемане на работа, граничен контрол, правоприлагане (в допустимите граници) и контрол на достъпа, остават в категорията с висок риск. Всяка организация, използваща разпознаване на лица, съпоставяне на пръстови отпечатъци, разпознаване на глас или подобни системи за вземане на последователни решения, е в обхвата на Акта.
Категория 2 — Критична инфраструктура (транспорт, енергетика, водоснабдяване)
Точка 2 на Annex III обхваща AI, използван като компонент за безопасност при управлението и експлоатацията на критична цифрова инфраструктура, пътен трафик, водоснабдяване, газоснабдяване, отопление и електроснабдяване. Транспортните оператори, операторите на електрически мрежи, водоснабдителните предприятия и доставчиците на цифрова инфраструктура трябва да преценят дали техните AI системи отговарят на критериите. Annex I на AI Act се пресича тук: компонентите за безопасност на AI, вградени в продукти, регулирани по Annex I (машини, превозни средства, оборудване за гражданска авиация, железопътни системи), са с висок риск по Art. 6(1), а не по Annex III.
Категория 3 — Образование и професионално обучение
Точка 3 на Annex III обхваща AI, който определя достъпа до образователни институции, разпределя учениците в образователни пътища, оценява представянето на изпити или тестове, оценява учебните постижения по начин, съществено засягащ бъдещите възможности, и наблюдава поведението на учениците по време на изпити. Платформите за образователни технологии, университетите, доставчиците на професионално обучение и изпитните органи трябва да оценят своите AI инструменти спрямо тези критерии.
Категория 4 — Заетост и HR
Точка 4 на Annex III обхваща AI, използван при подбор и набиране на персонал (скрининг на автобиографии, класиране на кандидати, автоматизиран анализ на интервюта), решения за повишение, прекратяване на трудовото правоотношение, разпределение на задачи за работниците на платформи, наблюдение на поведението на служителите и оценка на изпълнението. Тази категория е сред най-широките по обхват — практически всяка организация, използваща HR процеси с AI асистиране, трябва да оцени съответствието си. Задължението се прилага спрямо AI, използван от работодатели, агенции за наемане на персонал и платформи от гиг икономиката.
Категория 5 — Основни частни и публични услуги (финанси, застраховане, услуги, свързани с здравеопазването, обезщетения)
Точка 5 на Annex III е най-широката категория, обхващаща AI, използван при оценка на кредитоспособността и кредитен скоринг на физически лица, оценка на застрахователния риск и ценообразуване, преценка на допустимостта за публични обезщетения и социални услуги, и решения за спешно разпределение. Тази категория пряко засяга банки, застрахователи, публични администрации и доставчици на социални услуги. Здравно свързан AI, който оценява лица за допустимост за застраховане, също попада тук, създавайки припокриване между задълженията на финансовия сектор и на здравеопазването.
Категории 6, 7 и 8 — Правоприлагане, миграция, правосъдие
Точки 6, 7 и 8 на Annex III са насочени към органите на публичната власт и техните технологични доставчици. AI за правоприлагане (скоринг на риска, прогнозиране на рецидив, прогнозиране на престъпления, оценка на доказателства), AI за миграция и граничен контрол (оценка на риска при убежище, верификация на документи, обработка на заявления) и AI за правосъдие и демократични процеси (инструменти за съдебни изследвания, AI, свързан с избори) са всички с висок риск. Тези категории засягат предимно полицейски органи, гранични агенции, трибунали по въпросите на имиграцията, съдилища и техните договорени AI доставчици.
Секторни ръководства
Всяко от следните специализирани ръководства съпоставя задълженията по EU AI Act с конкретния регулаторен контекст, типичните случаи на използване на AI и архитектурата на правоприлагане в съответния сектор.
Здравеопазване и науки за живота
AI в здравеопазването функционира на пресечната точка на EU AI Act и Регламента за медицинските изделия (MDR) и Регламента за инвитро диагностичните медицински изделия (IVDR). AI системите, квалифицирани като медицински изделия, се регулират предимно по MDR/IVDR, но остават предмет на задълженията на AI Act за основни права и прозрачност. Точка 5 на Annex III обхваща AI, използван за скоринг на здравния риск в застраховането и допустимостта за публични обезщетения. Системите за подкрепа на клинични решения, диагностичният AI, инструментите за тризиране на пациенти и AI за разработване на лекарства носят конкретни задължения в зависимост от регулаторната им класификация.
HR и подбор на персонал
Точка 4 на Annex III поставя практически всички HR процеси с AI асистиране в категорията с висок риск. Инструментите за скрининг на автобиографии, платформите за психометрична оценка, автоматизираният видеоанализ на интервюта, системите за управление на изпълнението и AI за планиране на работната сила трябва да съответстват на задълженията на доставчиците и ползвателите. Това ръководство разглежда задълженията на работодателите като ползватели по Art. 26, изискванията за управление на данни по Art. 10 и взаимодействието с ограниченията за профилиране по GDPR.
Публичен сектор и правосъдие
Публичните органи са едновременно ползватели на AI с висок риск и субектите, които националните компетентни органи ще проверяват най-внимателно. Точки 5 до 8 на Annex III съвкупно обхващат голяма част от AI в публичния сектор: определяне на допустимостта за обезщетения, AI за спешни служби, инструменти за правоприлагане, системи за управление на границите и AI за правосъдие. Това ръководство разглежда конкретните задължения на публичните ползватели, мандатите за прозрачност при автоматизирани решения, засягащи гражданите, и взаимодействието с GDPR и Директивата за правоприлагането.
Транспорт и критична инфраструктура
Транспортните оператори трябва да се ориентират едновременно в точка 2 на Annex III (компоненти за безопасност в критична инфраструктура) и регулирането на безопасността на продуктите по Annex I. AI в системите за автономни превозни средства, управлението на железопътния трафик, управлението на въздушния трафик, пристанищните операции и логистичния маршрутинг може да задейства класификацията с висок риск по множество пътища. Това ръководство разглежда взаимодействието с разпоредбите на EASA, Директивата за железопътна безопасност и ролята на нотифицираните органи при оценката на съответствието.
МСП
Малките и средните предприятия носят същите задължения по EU AI Act като големите организации, когато са доставчици на AI с висок риск или ползватели на такъв AI. Въпреки това Актът предвижда механизми за пропорционалност. Това ръководство обяснява вариантите за опростена техническа документация, достъпа до регулаторни пясъчници по Art. 57 до Art. 63 и как да се изгради минимална, но правно достатъчна програма за съответствие. Разглежда и изложеността на МСП като ползватели на AI инструменти на трети страни.
Застраховане
AI в застраховането е предмет на точка 5(b) от Annex III (оценка на риска и ценообразуване при животозастраховане и здравно застраховане на физически лица) и се пресича с изискванията на Solvency II за управление на модели и използване на вътрешни модели. AI за ценообразуване при автомобилно, здравно, имуществено и животозастраховане, инструментите за вземане на решения при застраховане и системите за автоматизирано уреждане на претенции изискват оценка. Това ръководство разглежда ролите на EIOPA и националните застрахователни надзорници наред с рамката на НКО по AI Act.
Търговия на дребно и кол центрове
Търговията на дребно и операциите по обслужване на клиенти са засегнати предимно от задълженията за прозрачност по Art. 50 — оповестяване на AI-генерирано съдържание, идентифициране на чатботове и маркиране на дийпфейкове — и от AI, свързан със заетостта, по точка 4 на Annex III. Системите за разпознаване на емоции, използвани в контекст, насочен към клиенти, са изрично регулирани. Това ръководство разглежда AI за онлайн търговия, препоръчителни двигатели, автоматизирано обслужване на клиенти и управление на работната сила в контактните центрове.
Образование и образователни технологии
Точка 3 на Annex III поставя образователния AI в категорията с висок риск, когато той определя или съществено влияе върху достъпа до образователни пътища или оценява постиженията. Това ръководство разглежда задълженията на доставчиците на образователни технологии, университетите, органите за професионално обучение и публичните изпитни органи. Обхваща платформите за адаптивно обучение, софтуера за надзор по време на изпити, автоматизираното оценяване на есета и инструментите за прогнозиране на риска при учениците.
Финансов сектор (банкиране)
Ръководството за банковия сектор разглежда кредитния скоринг и оценката на кредитоспособността по точка 5(b) на Annex III, AI за откриване на измами, системи за алгоритмична търговия, инструменти за AML/KYC и роботизирани консултантски платформи. Изследва напластяването на задълженията по EU AI Act върху DORA, MiFID II, CRR/CRD и насоките на EBA. Основен фокус е пресечната точка между изискванията за управление на модели по AI Act и съществуващите рамки за управление на риска от модели по насоките на EBA.
Хоризонтални задължения
Няколко задължения по EU AI Act се прилагат независимо от сектора. Всяка организация, опериираща в ЕС, трябва да разбира тези базови изисквания.
Забранени практики — Art. 5
Art. 5 установява абсолютни забрани, влезли в сила от 2 февруари 2025 г. Те се прилагат спрямо всеки сектор без изключение: сублиминални манипулативни техники, причиняващи вреда, експлоатация на уязвимостите на физически лица, социален скоринг от публичните органи, дистанционна биометрична идентификация в реално време от правоприлагащите органи на публични места (при ограничени изключения), разпознаване на емоции на работни места и в образователни институции (извън определени случаи на употреба), биометрична категоризация въз основа на чувствителни характеристики и прогнозиране на престъпления, основано единствено на профилиране. Никакво секторно изключение не отменя тези забрани.
Задължения за прозрачност — Art. 50
Art. 50 изисква от доставчиците и ползвателите на AI системи, взаимодействащи с физически лица, да оповестят AI характера на взаимодействието. Това се прилага спрямо чатботове, виртуални асистенти, автоматизирани системи на кол центрове и всяка AI система, предназначена да изглежда като човек. AI-генерираното съдържание — синтетични медии, дийпфейкове, текст — трябва да носи машинночетими маркировки. Тези задължения се прилагат за търговията на дребно, финансовите услуги, инструментите, насочени към пациентите в здравеопазването, гражданските услуги в публичния сектор и всеки друг сектор, внедряващ разговорен или генеративен AI.
Задължения за GPAI модели — Art. 51 до Art. 55
Организациите, внедряващи GPAI модели — модели с голям езиков обхват, фундаментални модели, мултимодален AI — трябва да преценят дали са ползватели на GPAI модел на трета страна или доставчици на система с интегриран GPAI. Доставчиците на GPAI носят задължения по Art. 53 (прозрачност към последващите доставчици, политика за авторско право, обобщение на данните за обучение). GPAI моделите със системен риск носят допълнителни задължения по Art. 55. Всеки сектор, използващ търговски API на фундаментални модели или самостоятелно хоствани фундаментални модели, трябва да оцени тези задължения.
МСП и пропорционални задължения
МСП представляват мнозинството от предприятията в ЕС и нарастващ дял от доставчиците и ползвателите на AI системи. EU AI Act не предвижда общо освобождаване за МСП, но Art. 9(5), Art. 11 и Art. 16 изискват задълженията на доставчиците да бъдат пропорционални на размера и капацитета на организацията.
Рамката на регулаторните пясъчници (Art. 57 до Art. 63) е специално предназначена да предоставя на МСП и стартиращи предприятия надзирани среди за разработване, намалена регулаторна несигурност и пряк достъп до насоките на националните компетентни органи. Участието не гарантира разрешение за съответствие, но предоставя структуриран път за навлизане на пазара на иновативни AI продукти.
За МСП, действащи като ползватели на AI с висок риск, предоставен от трета страна, задълженията по Art. 26 — оценка на случая на използване, прилагане на човешки надзор, оценка на въздействието върху основните права — се прилагат. Мащабът на изисканата документация и мониторинг е пропорционален, но правните задължения не се отменят.
Специалното ръководство за МСП предоставя план за съответствие, съобразен с по-малките организации, обхващащ приоритизиране, минимална жизнеспособна документация, надлежна проверка на доставчиците и процедури за достъп до пясъчниците.
Правоприлагане
EU AI Act създава многопластова архитектура за правоприлагане със значителни секторно-специфични измерения.
Национални компетентни органи
Всяка държава членка на ЕС определя един или повече национални компетентни органи (НКО) по Art. 70. НКО са отговорни за разрешаване на регулаторни пясъчници, провеждане на пазарен надзор, получаване на данни от мониторинга след пускането на пазара от доставчиците, разследване на предполагаеми нарушения и налагане на административни глоби по Art. 99 до Art. 101. Максималните глоби достигат 35 милиона евро или 7% от глобалния годишен оборот за нарушения на забранените практики по Art. 5.
Секторни регулатори като органи за пазарен надзор
Art. 74(8) и Art. 74(9) предвиждат секторните регулатори да действат като органи за пазарен надзор на AI в своите области. Европейският банков орган (EBA), Европейският орган за застраховане и професионално пенсионно осигуряване (EIOPA), Европейският орган за ценни книжа и пазари (ESMA), Европейската агенция по лекарствата (EMA) и Агенцията на Европейския съюз за авиационна безопасност (EASA) имат роли при надзора на AI в рамките на своите регулаторни периметри. Това създава двупосочна изложеност при правоприлагането: AI системата за кредитен скоринг на банка може да бъде проверявана едновременно от национален финансов регулатор, прилагащ задълженията по Annex III, и от НКО, провеждащ пазарен надзор по AI Act.
Европейската служба за AI
Европейската служба за AI, създадена по Art. 64 до Art. 70, разполага с пряко правоприлагащо правомощие спрямо доставчиците на GPAI модели. За организациите, внедряващи GPAI модели със системен риск, AI Службата е основният регулаторен партньор, а не националният НКО. Секторните регулатори нямат пряка юрисдикция над GPAI моделите като такива, макар че последващите AI системи, интегриращи GPAI, остават предмет на национален и секторен надзор.
График на правоприлагане
Забраната на практиките по Art. 5 се прилага от 2 февруари 2025 г. Задълженията за GPAI по Art. 51 до Art. 55 влязоха в сила от 2 август 2025 г. Пълните задължения за AI системи с висок риск по Annex III — обхващащи всичките осем категории и всички задължения на доставчиците и ползвателите — се прилагат от 2 декември 2027 г. (удължено от първоначалния краен срок 2 август 2026 г. с изменението Digital Omnibus от 2025 г.). Организациите от всички сектори следва да третират периода до декември 2027 г. като активен прозорец за съответствие, а не като период на изчакване.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Да. EU AI Act се прилага еднакво в целия ЕС, но практическото му въздействие варира съществено в зависимост от сектора. Annex III на Акта пряко съотнася категориите с висок риск за AI към конкретни индустрии — AI в областта на заетостта е насочен към HR и персонал, AI за оценка на кредитоспособността е насочен към финансовия сектор и застраховането, а биометричните системи са насочени към правоприлагането и граничния контрол. Операторите в силно регулирани сектори (здравеопазване, финанси, транспорт) се сблъскват и с AI Act, наложен върху съществуващото секторно законодателство, което може да породи допълнителни задължения или да изисква координация между надзорните органи.
Здравеопазването, финансовите услуги и публичният сектор носят най-тежките съвкупни задължения. AI в здравеопазването се пресича с Регламента за медицинските изделия (MDR) и Регламента за инвитро диагностичните медицински изделия (IVDR); AI във финансовия сектор се пресича с DORA, MiFID II и Solvency II; AI в публичния сектор засяга категории от 5 до 8 на Annex III (основни услуги, правоприлагане, миграция и правосъдие). Всеки от тези сектори трябва да съответства едновременно на рамката на EU AI Act и на съществуващото секторно регулиране, като някои задължения се прилагат едновременно.
МСП не са освободени, но Актът предвижда пропорционални мерки. Art. 9(5) изисква системите за управление на риска да бъдат пропорционални на размера и естеството на доставчика. Art. 11 и Art. 16 допускат опростена техническа документация за МСП. Art. 57 до Art. 63 установяват регулаторни пясъчници, до които МСП могат да получат достъп под надзора на националния компетентен орган. Задълженията на ползвателите по Art. 26 също се прилагат спрямо МСП, използващи AI с висок риск, макар и с по-леки процедурни изисквания в сравнение с доставчиците.
Art. 70 до Art. 77 на EU AI Act установяват многопластова архитектура за правоприлагане. Всяка държава членка определя национален компетентен орган (НКО), отговорен за прилагането на AI Act. Когато AI системи функционират в регулирани сектори — финансови услуги, здравеопазване, авиация, железопътен транспорт — секторните регулатори (EBA, EIOPA, ESMA, EMA, EASA) координират дейността си с НКО. Европейската служба за AI осигурява централен надзор над GPAI моделите. Тази паралелна структура означава, че AI системата на финансова институция може да бъде одитирана едновременно от НКО и от финансов секторен регулатор, прилагащи различни, но припокриващи се рамки.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.