Задължения по EU AI Act за AI в медицински изделия, диагностични системи и системи за клинична поддръжка на решения. Обхваща взаимодействието с MDR/IVDR и двойното съответствие с Annex I.
Защо EU AI Act има особено значение в здравеопазването
EU AI Act (Регламент (ЕС) 2024/1689) създава най-взискателните задължения за съответствие именно в области, където грешките на AI имат животозастрашаващи последици. Здравеопазването и науките за живота се намират на пресечната точка на две такива изисквания: структурната класификация на AI в медицински изделия като високорискова по Art. 6(1) и съществуващата регулаторна плътност в сектора по MDR (EU) 2017/745, IVDR (EU) 2017/746, GDPR Art. 9 и Регламента за клинични изпитвания (EU) 536/2014.
За доставчиците и ползвателите на AI в здравеопазването това пресичане не е просто адитивно. То създава многопластови набори от задължения, които трябва да бъдат проектирани, документирани и наблюдавани заедно. AI система, вградена в устройство за диагностична образна диагностика, трябва да отговаря на оценката на съответствието от нотифициран орган по MDR и на отделна оценка на съответствието по EU AI Act. Болница, внедряваща AI инструмент за триаж, става ползвател по Art. 26 с независими задължения, които не могат да бъдат изпълнени единствено чрез позоваване на маркировката CE на доставчика.
Последствията от несъответствие са съответно сериозни. Националните надзорни органи могат да налагат глоби до 30 милиона евро или 6% от глобалния годишен оборот за пускане на несъответстващ високорисков AI на пазара. Освен финансовите санкции, заповеди за изтегляне от пазара, спиране на клинична употреба и задължителни коригиращи действия могат да прекъснат грижата за пациентите в широк мащаб.
Двойният регулаторен коловоз
Определящата структурна характеристика на съответствието на AI в здравеопазването е едновременното прилагане на законодателството за безопасност на продуктите и на AI-специфичното законодателство. Когато AI система представлява компонент за безопасност на медицинско изделие по смисъла на Annex I на EU AI Act (с препратка към Новата законодателна рамка), тя автоматично се класифицира като високорискова по Art. 6(1) без никаква допълнителна оценка на вероятността или тежестта на вредата. Класификацията е категорична.
Това означава, че организациите трябва да поддържат два паралелни коловоза за оценка на съответствието — единият по MDR или IVDR, другият по EU AI Act — и трябва да демонстрират съответствие с двата в базата данни на ЕС за високорискови AI системи (EUAI DB) преди пускането на пазара.
Високорискови случаи на употреба на AI — медицински изделия и предоставяне на грижи
AI за диагностична образна диагностика
AI системи, внедрени в радиологията, патологията и офталмологията, които анализират изображения за откриване, класифициране или характеризиране на лезии, аномалии или заболявания, са в практически всички клинично релевантни конфигурации компоненти за безопасност на медицински изделия от клас IIa или по-висок по MDR. Следователно те са високорискови по Art. 6(1) и трябва да отговарят на Глава III, Раздел 2 на EU AI Act, обхващащ управление на данни (Art. 10), техническа документация (Art. 11, Annex IV), автоматично регистриране (Art. 12), прозрачност (Art. 13), човешки надзор (Art. 14) и точност, устойчивост и киберсигурност (Art. 15).
Системи за клинична поддръжка на решения
Инструментите за клинична поддръжка на решения (КПР) обхващат широк спектър от рискове в зависимост от функционалната им роля. Критичното регулаторно разграничение е дали системата замества или подпомага клиничната преценка:
- Автономен или почти автономен резултат: КПР система, която генерира препоръка за предписание, определя дозировката на лекарство за пациент или класифицира пациент като изискващ спешна намеса, без да изисква преглед от клиницист преди прилагане на резултата, вероятно е високорискова по Annex III и потенциално представлява медицинско изделие по MDR.
- Филтриран резултат за преглед от клиницист: КПР, която представя класирани диференциални диагнози или маркира лабораторни резултати като анормални, при което квалифициран клиницист преглежда и одобрява всяка препоръка преди тя да засегне управлението на пациента, може да не се квалифицира като високорискова, при условие че не отговаря самостоятелно на критериите на Annex III на друго основание.
Това разграничение трябва да бъде документирано в изявлението за предназначение на AI системата, което е част от техническата документация по AI Act и техническото досие по MDR.
Приоритизиране при триаж на пациенти в спешни ситуации
AI системи, които приоритизират реда, в който спешните пациенти получават внимание — включително модели за предсказване на сепсис и системи за мониторинг на интензивно отделение, задействащи протоколи за ескалация — работят в условия на времеви натиск и клинична сложност, при които човешкият надзор по Art. 14 е особено взискателен. Внедряващите организации трябва да гарантират, че механизмът за надзор е действително ефективен: клиницистът, натоварен с отговорността за надзор, трябва да разполага с техническото разбиране, достъп до логиката на AI и времето в работния процес, за да се намеси преди резултатът на системата да засегне резултатите за пациентите.
AI за скрининг на психично здраве
AI инструменти, използвани за скрининг на популации или отделни пациенти за психични заболявания — оценки на риска от депресия, стратификация на риска от самоубийство, скрининг за прегаряне — засягат едновременно разпоредбите на AI Act за висок риск (когато влияят върху достъпа до грижи или разпределението на ресурси) и GDPR Art. 9 в особено чувствително измерение. Данните за психичното здраве са здравни данни за целите на GDPR; тяхното обработване за обучение или извод на AI изисква законово основание по Art. 9(2) и подходящи гаранции по Art. 22 (автоматизирано индивидуално вземане на решения).
Хирургична роботика и AI-насочени процедури
AI компоненти, интегрирани в хирургически роботизирани системи, които адаптират процедурни параметри в реално време — позициониране на инструменти, модулиране на хаптична обратна връзка, класификация на тъкани — са компоненти за безопасност на активни имплантируеми устройства или медицински изделия от клас III по MDR. Съответно тежестта за оценка на съответствието е най-висока от наличните: оценка от нотифициран орган по MDR Annex IX или X, комбинирана с оценка на съответствието по EU AI Act съгласно Art. 43. Задълженията за наблюдение след пускането на пазара по двете рамки трябва да бъдат интегрирани в единна система за клинично проследяване и мониторинг на ефективността.
Категория 5(а) от Annex III — Достъп до основни здравни услуги
Освен пътя на медицинските изделия, Annex III, точка 5(а) на EU AI Act отделно класифицира като високорискови AI системи, използвани за определяне на достъпа до основни обществени услуги, включително здравеопазването. AI система, която определя дали пациент отговаря на условията за реимбурсирано лечение, е включен в листа на чакащите за трансплантация или е допустим за клинично изпитване, е високорискова по тази разпоредба, дори ако не е вградена в медицинско изделие.
Задължения на доставчика спрямо задълженията на ползвателя в здравеопазването
Задължения на доставчика
Организации, които разработват, пускат на пазара или пускат в употреба високорискова AI система в здравеопазването като доставчици по Art. 16, трябва да:
- Установят и прилагат система за управление на качеството (СУК) по Art. 17, обхващаща контрол на проектирането, управление на риска в съответствие с ISO 14971 (хармонизиран за MDR) и процедури за наблюдение след пускането на пазара.
- Изготвят техническа документация по Annex IV, включваща предназначението, досието за управление на риска, описания на данните за обучение, резултати от валидиране и тестване и план за наблюдение след пускането на пазара.
- Регистрират системата в базата данни на ЕС преди пускането на пазара (Art. 49).
- Гарантират, че системата носи маркировка CE и предоставят Декларация за съответствие на ЕС.
- Назначат упълномощен представител в ЕС, ако са установени извън ЕС.
- Поддържат техническата документация и регистрите 10 години след пускането на пазара (Art. 18).
Задължения на ползвателя
Болници, клиники, аптечни мрежи и други здравни институции, действащи като ползватели на високорискови AI системи на трети страни, носят задължения по Art. 26, независими от съответствието на доставчика:
- Внедряват системата в рамките на обхвата на инструкциите за употреба на доставчика — всяка употреба извън този обхват потенциално прекласифицира институцията като доставчик.
- Възлагат отговорностите за човешки надзор на персонал с компетентността, авторитета и инструментите да наблюдава и се намесва в работата на системата.
- Поддържат оперативни регистри за минимум шест месеца или по-дълго, когато приложимото секторно законодателство (наблюдение по MDR, закони за водене на болнична документация) изисква това.
- Докладват незабавно сериозни инциденти или неизправности на доставчика и, когато е засегната безопасността на пациентите, на съответните здравни органи по процедурите за надзор по MDR Art. 87.
- Провеждат оценки на въздействието върху основните права (ОВОР) по Art. 27, когато AI системата се използва за вземане или подпомагане на решения, засягащи отделни пациенти в голям мащаб.
Взаимодействие с MDR, IVDR и GDPR
MDR и IVDR: Режимът на двойна оценка на съответствието
Art. 6(1) на EU AI Act, прочетен заедно с Annex I, установява пътя на компонента за безопасност. Когато AI система е компонент за безопасност на продукт, регулиран по MDR или IVDR, оценката на съответствието по EU AI Act трябва да бъде интегрирана в съществуващата процедура по MDR/IVDR. Art. 8(1) на EU AI Act дава приоритет на секторно-специфичните правила по MDR/IVDR, когато те налагат еквивалентни или по-строги задължения, но не елиминира задълженията по AI Act — той коригира процедурата, а не изискването.
За медицински изделия от клас IIb и клас III с вградена AI, оценка от нотифициран орган по MDR Annex IX (управление на качеството) или Annex X (изследване на типа) е задължителна. Същият нотифициран орган, ако е определен по AI Act, може да проведе оценката на съответствието по AI Act като част от интегрирана процедура. За SaMD от клас I (софтуер като медицинско изделие), производителите трябва самостоятелно да преценят дали AI системата се квалифицира като високорискова по AI Act на основания, различни от Art. 6(1).
GDPR Art. 9 и данни за обучение
Здравните данни, използвани за обучение, валидиране или тестване на AI модели, са данни от специална категория по GDPR Art. 9(1). Обработването е забранено при липса на някоя от дерогациите по Art. 9(2), най-релевантно:
- Art. 9(2)(a): изрично съгласие на субекта на данните
- Art. 9(2)(h): обработване, необходимо за медицинска диагностика или предоставяне на здравни грижи, при спазване на професионална тайна
- Art. 9(2)(j): научни изследвания, при спазване на гаранциите по Art. 89
Задълженията за управление на данни по Art. 10 на EU AI Act — изискващи документация за произхода, методите за събиране, представителността и известните ограничения на наборите от данни — трябва да бъдат изпълнени по начин, съответстващ на приложимото правно основание по GDPR. Ретроспективното използване на клинични набори от данни без изрично съгласие изисква дерогация за изследователски цели и, обикновено, одобрение от комисия по етика по Регламента за клинични изпитвания или приложимото национално законодателство за научни изследвания.
Интегриране на наблюдението след пускането на пазара
Както MDR (Art. 83, Клинично проследяване след пускането на пазара), така и EU AI Act (Art. 72, наблюдение след пускането на пазара) изискват непрекъснато събиране и анализ на данни за реалната ефективност. Когато се прилагат и двете, единна интегрирана система за наблюдение след пускането на пазара може да удовлетвори двете рамки, при условие че улавя точките с данни, изисквани от всяка — включително изискванията на MDR за клинични доказателства и изискванията на AI Act за автоматично регистриране на работата на AI системата.
Органи за прилагане
Европейска агенция по лекарствата и национални агенции по лекарствата
Европейската агенция по лекарствата (EMA) няма пряка роля в прилагането на EU AI Act по отношение на AI, която не е свързана с лекарствени продукти, но нейните насоки относно AI в разработването на лекарствени продукти и фармакобдителността са авторитетни за компаниите в областта на науките за живота. Националните агенции по лекарствата — включително ANSM (Франция), BfArM (Германия) и техните еквиваленти — упражняват правомощия за надзор на пазара по MDR и IVDR и могат да разследват AI системи, вградени в медицински изделия, като част от своя мандат за наблюдение след пускането на пазара.
Нотифицирани органи
За високорискови AI системи, представляващи компоненти за безопасност на медицински изделия, нотифицираните органи, определени по MDR/IVDR и, отделно или съвместно, по EU AI Act, провеждат оценки на съответствието. Техните сертификати са предпоставка за маркировката CE. Нотифицираните органи могат да спират или оттеглят сертификати, когато наблюдението след пускането на пазара разкрие несъответствия.
Национални надзорни органи за AI
Всяка държава-членка на ЕС е определила или е в процес на определяне на национален надзорен орган за AI (компетентен орган по Art. 70 на EU AI Act). В сектора на здравеопазването се изисква координация между надзорния орган за AI и националната агенция по лекарствата там, където юрисдикциите се припокриват. Надзорният орган за AI разполага с правомощия да изисква документация, провежда одити, налага коригиращи мерки и препраща случаи за финансови санкции.
Пътна карта за съответствие — приоритети за AI в здравеопазването
Стъпка 1: Класификация и оценка на обхвата
Картографирайте всички AI системи в разработка или внедряване спрямо Art. 6(1) (компонент за безопасност на медицинско изделие) и Annex III, точка 5(а) (достъп до основни услуги). Документирайте предназначението на всяка система с достатъчна прецизност, за да подкрепите решенията за класификация по AI Act и MDR/IVDR. Ангажирайте регулаторен съветник за оценка на гранични КПР инструменти.
Стъпка 2: Планиране на двойна оценка на съответствието
За всяка високорискова AI система, която е и медицинско изделие, идентифицирайте приложимия маршрут за оценка на съответствието по MDR/IVDR и определете дали определеният нотифициран орган е и акредитиран по EU AI Act. Планирайте оценката на съответствието като интегрирана процедура, когато е възможно, за намаляване на дублирането.
Стъпка 3: Управление на данни и съгласуване с GDPR
Одитирайте наборите от данни за обучение и валидиране на AI системи в здравеопазването. Документирайте правните основания по GDPR Art. 9(2) за всички здравни данни, използвани при разработването на модели. Установете процедури за управление на данни по Art. 10 на EU AI Act и гарантирайте, че те намират отражение в техническата документация, изисквана от Annex IV.
Стъпка 4: Протоколи за човешки надзор
Проектирайте и прилагайте механизми за човешки надзор по Art. 14 за всяко внедряване на високорискова AI. Надзорът трябва да бъде оперативно реалистичен: изисква обучен персонал, достъпни механизми за намеса и интеграция в работния процес — а не формален отметнат квадрат. За спешни ситуации с времеви натиск проектирането на надзора изисква особено внимание.
Стъпка 5: Интегриране на наблюдението след пускането на пазара
Проектирайте система за наблюдение след пускането на пазара, която удовлетворява изискванията на MDR Annex III (PMCF) и Art. 72 на EU AI Act. Установете процедури за докладване на инциденти, съответстващи на сроковете за надзор по MDR (Art. 87: сериозни инциденти, докладвани в рамките на 15 дни) и докладването на сериозни инциденти по AI Act съгласно Art. 73.
Стъпка 6: Надлежна проверка от ползвателя
Здравните институции, закупуващи AI диагностични инструменти или КПР инструменти на трети страни, трябва да изискват от доставчиците да представят Декларацията за съответствие на ЕС, инструкциите за употреба и резюме на техническата документация. Договорите за обществени поръчки трябва да определят задълженията за съхранение на регистри, отговорностите за докладване на инциденти и границите на разрешения обхват на употреба, за да се избегне непреднамерена прекласификация като доставчик.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Не. Оценките на съответствието по MDR и IVDR и оценките на съответствието по EU AI Act са отделни правни задължения, които се прилагат паралелно. AI система, вградена в медицинско изделие от клас IIb, трябва да удовлетворява двете регулаторни рамки самостоятелно. Когато нотифициран орган вече участва по MDR или IVDR, същият орган може да бъде определен и като нотифициран орган по AI Act, което позволява координирана оценка, но пълното съответствие с двете рамки остава задължително.
Не автоматично. Класификацията зависи от функцията и самостоятелността на инструмента. Ако AI системата замества или съществено заменя клиничната преценка — например автономно определя диагноза или предписва лечение — тя по-вероятно ще се квалифицира като високорискова по Annex III или като компонент за безопасност на медицинско изделие по Art. 6(1). Ако системата само маркира или филтрира информация за клиницист, който запазва пълна компетентност за вземане на решения, тя може да остане извън определението за високорискова, при условие че не отговаря на другите критерии на Annex III.
Art. 10 на EU AI Act изисква наборите от данни за обучение, валидиране и тестване да бъдат обект на практики за управление на данни, обхващащи произход, методи за събиране, известни пристрастия и представителност. За AI в здравеопазването това задължение се пресича с GDPR Art. 9, който класифицира здравните данни като данни от специална категория и изисква изрично правно основание — обикновено изрично съгласие или дерогация по Art. 9(2)(h) или (j) — за обработването им. Доставчиците трябва да документират съставa на набора от данни в техническата документация, изисквана от Annex IV, и да демонстрират, че данните за обучение не въвеждат систематично пристрастие, което би могло да компрометира диагностичната точност при различни подгрупи пациенти.
Болниците, действащи като ползватели на високорискови AI системи по Art. 26, трябва да: проверят дали AI системата носи маркировка CE и разполага с Декларация за съответствие на ЕС; прилагат инструкциите за употреба на доставчика; възлагат отговорностите за човешки надзор на квалифициран клиничен персонал; поддържат регистри от работата на системата за минимум шест месеца; и докладват сериозни инциденти или неизправности на доставчика, а когато е засегната безопасността на пациентите — и на компетентните здравни органи по приложимите правила за надзор по MDR. Ползвателите не могат да модифицират високорискови AI системи по начин, който променя предназначението им, без да задействат задълженията за повторна оценка.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.