Съответствие с EU AI Act за малки и средни предприятия. Специфични разпоредби за МСП, достъп до регулаторни пясъчници, намалени такси и практически насоки за внедрители и разработчици на ИИ системи.

EU AI Act и МСП — добрата новина

EU AI Act (Регламент (ЕС) 2024/1689) се прилага за всички организации, пускащи или използващи ИИ системи на пазара на ЕС, независимо от техния размер. Въпреки това регулаторната реалност за по-голямата част от малките и средните предприятия е значително по-малко обременителна, отколкото подсказват заглавията, поради една основна причина: огромното мнозинство от МСП използват ИИ, а не го разработват.

МСП, което се абонира за CRM система с интегриран ИИ, внедрява чатбот от SaaS доставчик или използва облачен софтуер за прогнозиране на търсенето, е, по терминологията на EU AI Act, внедрител — а не доставчик. Задълженията на внедрителя са системно по-леки от тези на доставчика. Доставчиците носят основната тежест на оценката на съответствието, техническата документация, CE маркировката и регистрацията. Внедрителите имат по-целенасочен набор от задължения, фокусиран върху правилната употреба, човешкия надзор и докладването на инциденти.

Извън разграничението между внедрител и доставчик, EU AI Act съдържа отделен пакет от специфични за МСП разпоредби, осигуряващи структурна подкрепа: приоритетен достъп до регулаторни пясъчници, намалени такси за оценка на съответствието и специална единна точка за контакт на национално ниво. Тези разпоредби отразяват изричното намерение на законодателя да предотврати превръщането на AI Act в непропорционална пречка за по-малките участници на пазара.

Настоящото ръководство излага практическото значение на EU AI Act за едно МСП — независимо дали използвате инструменти за ИИ на трети страни, внедрявате ИИ в контексти, насочени към клиентите, или сами разработвате и търговски използвате ИИ продукт.

Специфични за МСП разпоредби в регламента

EU AI Act включва четири разпоредби, приложими специално за МСП (предприятия, отговарящи на прага по Препоръка на Комисията 2003/361/ЕО: по-малко от 250 служители и или годишен оборот, непревишаващ 50 милиона евро, или обща стойност на активите, непревишаваща 43 милиона евро) и за стартъпи.

Чл. 55 — Приоритетен достъп до регулаторни пясъчници

Чл. 55 установява, че регулаторните пясъчници за ИИ — надзорни среди за разработване и тестване на ИИ преди пускането на пазара — са достъпни с приоритет за МСП и стартъпи. Достъпът е безплатен или при намалени такси, а участващите организации получават пряко ръководство от компетентния орган. Достъпът до пясъчник позволява идентифициране на рискове преди пазарното пускане и регулаторен диалог в защитена среда, без последиците от пазарно пускане при несъответствие. МСП, разработващи ИИ системи, следва да разглеждат участието в пясъчник едновременно като инструмент за съответствие и като механизъм за пряко взаимодействие с надзорния орган преди пускането на продукта.

Чл. 96 — Намалени такси за оценка на съответствието

Когато ИИ система с висок риск изисква оценка на съответствието от трета страна от нотифициран орган (приложимо за системи, изброени в Annex III, точки 1, 6 и 7, и ИИ за медицински изделия по чл. 6(1)), чл. 96 изисква от държавите членки да установят намалени такси за малките предприятия. Микропредприятията — тези с по-малко от 10 служители и годишен оборот или обща стойност на активите, непревишаващи 2 милиона евро — имат право на още по-значителни намаления. Точните тарифи се определят на ниво държава членка и варират в зависимост от юрисдикцията; съответният национален орган за ИИ или мрежата Enterprise Europe могат да предоставят актуални данни.

Чл. 85 — Единна точка за контакт

Чл. 85 задължава националните органи за надзор на ИИ да създадат специална единна точка за контакт за МСП. Това означава, че МСП, търсещо насоки относно задълженията по AI Act, не е необходимо да навигира в множество регулаторни отдели или да координира между разпокъсани органи. Единната точка за контакт предоставя информация, насочва запитванията към съответната функция и улеснява кандидатстването за пясъчници. Тази разпоредба значително намалява административните разходи за разбиране на регулаторните задължения.

Чл. 9(5) — Пропорционално управление на риска

Чл. 9(5) предвижда, че системата за управление на риска, изисквана от доставчиците на ИИ системи с висок риск, може да се прилага пропорционално, като се отчитат размерът и структурата на организацията. За МСП, действащо като доставчик на система с висок риск, това означава, че докато всички съществени изисквания на системата за управление на риска трябва да бъдат изпълнени, форматът на документацията, сложността на процесите и управленската структура могат да бъдат съобразени с реалния капацитет на организацията — при условие, че това не накърнява целите за защита на рамката.

Доставчик или внедрител ли сте? — Рамка за решение за МСП

Единственото най-важно предварително определяне за всяко МСП, ангажирано с EU AI Act, е дали то действа като доставчик или внедрител по отношение на всяка ИИ система, която използва или предлага.

Доставчик (чл. 3(3)): Организация, която разработва ИИ система или възлага нейното разработване, и я пуска на пазара или въвежда в експлоатация под собственото си наименование или марка — независимо дали срещу заплащане или безплатно. Това включва МСП, които:

Внедрител (чл. 3(4)): Организация, която използва ИИ система под собствен авторитет за професионални цели. Това обхваща МСП, които:

Критичният граничен случай: МСП, което интегрира външен API за ИИ в свой продукт, насочен към клиентите, и предлага тази функционалност на пазара като характеристика на своя продукт, е доставчик по отношение на тази ИИ функционалност — а не просто внедрител на базовия API. Юридическото лице, което определя предназначението, контролира потребителското изживяване и пуска продукта на пазара, носи задълженията на доставчика по чл. 16, независимо от произхода на ИИ модела.

Основни задължения на внедрителя за МСП, използващи ИИ на трети страни

За по-голямата част от МСП — тези, внедряващи ИИ инструменти на трети страни, а не разработващи собствени — следните задължения се прилагат по чл. 26 и свързаните разпоредби.

Използвайте ИИ системите съгласно инструкциите на доставчика

Внедрителите трябва да използват ИИ системи с висок риск единствено в съответствие с инструкциите за употреба на доставчика, предоставени съгласно чл. 13. Използването на ИИ система за цели, излизащи извън документираното й предназначение, или в конфигурации, неvalидирани от доставчика, прехвърля част от отговорността за съответствие върху внедрителя и може да обезсили оценката на съответствието на системата.

Определете отговорен за човешки надзор

Чл. 26(1) изисква от внедрителите да възложат отговорността за надзор на ИИ на квалифицирано лице в организацията. За повечето МСП това ще бъде поименно лице (не непременно специален служител по съответствие с ИИ), което разбира функцията на системата, нейните известни ограничения и обстоятелствата, при които се изисква човешка намеса. Това определяне следва да бъде документирано.

Съхранявайте оперативните логове

Когато ИИ системите с висок риск генерират логове автоматично (чл. 12), внедрителите трябва да съхраняват тези логове за законово изисквания период — като правило шест месеца съгласно AI Act, освен ако секторното законодателство не изисква по-дълъг срок на съхранение. Внедрителите трябва да проверят, че договорът им с доставчика предоставя достъп до логовете и потвърждава техния формат и пълнота.

Докладвайте сериозни инциденти на доставчика

Чл. 26(5) изисква от внедрителите да уведомяват доставчика за всички сериозни инциденти или неизправности, открити по време на употреба. Когато внедряващата организация е публичен орган, задълженията за уведомяване се разпростират и върху националния орган за надзор на ИИ. За МСП внедрители в частния сектор основният канал е прякото уведомяване на доставчика, който от своя страна има собствени задължения да уведоми органа по чл. 73.

Извършете оценка на въздействието върху основните права, когато е приложимо

Чл. 27 изисква от публичните органи, внедряващи ИИ с висок риск, да проведат оценка на въздействието върху основните права преди внедряването. На МСП от частния сектор, внедряващи ИИ с висок риск — особено в контексти, свързани с HR, оценка на кредитоспособността или вземане на решения, насочени към клиентите — настоятелно се препоръчва да проведат равностойна оценка, тъй като тя демонстрира надлежна грижа и материално намалява риска от прилагане на принудителни мерки.

Преразгледайте договорите с доставчиците

МСП внедрителите трябва да гарантират, че договорите им с доставчиците на ИИ включват: документация за съответствие и инструкции за употреба; потвърждение за регистрация в базата данни на ЕС, когато се изисква; спецификация на способностите за регистриране и правата на достъп; ангажимент на доставчика за уведомяване при инцидент и отстраняване на нередности; и информация за задълженията за актуализация или промяна, които могат да засегнат статуса на съответствие на системата.

Ако разработвате ИИ — задължения на МСП доставчик и подкрепа

МСП, които разработват и търговски използват ИИ системи, са доставчици и носят пълните задължения на доставчика по Глава III за всяка система, която е с висок риск. Обхватът на тези задължения е значителен: система за управление на качеството (чл. 17), техническа документация съгласно Annex IV, управление на данните съгласно чл. 10, регистриране съгласно чл. 12,изисквания за прозрачност съгласно чл. 13, проектиране на човешки надзор съгласно чл. 14, и стандарти за точност и устойчивост съгласно чл. 15. За системите по Annex III, изискващи оценка от нотифициран орган, маршрутът за съответствие следва чл. 43.

Практическата отправна точка за МСП доставчик е определянето на класификацията на риска:

За МСП, чиито системи попадат извън категориите с висок риск и забранените категории, изпълнението на изискванията е значително по-леко: разкривания за прозрачност по чл. 50, привеждане в съответствие с GDPR и секторни задължения по приложимото национално или европейско право.

За МСП, разработващи ИИ с висок риск, регулаторният пясъчник по чл. 55 е най-важният наличен инструмент. Участието в пясъчника позволява тестване преди пускането на пазара под регулаторен надзор, предоставя документирани доказателства за добросъвестно усилие за съответствие и може да идентифицира коригиращи действия, преди те да се превърнат в предмет на принудително прилагане. Заявленията се подават до националната единна точка за контакт (чл. 85).

Практически стъпки за съответствие на МСП

Стъпка 1 — Инвентаризирайте всички ИИ системи в употреба или в процес на разработка. Изброете всеки ИИ инструмент, SaaS продукт, облачен API и вътрешно разработен модел. Отбележете доставчика, функцията и дали МСП действа като доставчик или внедрител за всеки от тях.

Стъпка 2 — Класифицирайте всяка система по категория риск. Приложете рамката чл. 5 / чл. 6 / Annex III / чл. 50 към всяка система. Когато класификацията е неясна, използвайте единната точка за контакт по чл. 85 за насоки.

Стъпка 3 — За роли на внедрител: одитирайте договорите с доставчиците. Проверете дали всеки доставчик на ИИ е предоставил документацията, изисквана по чл. 13, и дали договорът урежда регистрирането, уведомяването при инциденти и задълженията за актуализации. Маркирайте пропуските за преговори.

Стъпка 4 — За роли на доставчик: инициирайте маршрута за съответствие. Определете дали вашата ИИ система с висок риск изисква самооценка (чл. 43(2)) или оценка от нотифициран орган трета страна (чл. 43(1)). Кандидатствайте за достъп до пясъчник по чл. 55, ако системата е в процес на разработка. Ангажирайте нотифицирания орган в ранен етап, за да разберете сроковете и последиците за таксите, като имате предвид правото си на намалени такси за МСП по чл. 96.

Стъпка 5 — Приложете задълженията на внедрителя по чл. 26 за всички системи с висок риск. Определете лица за надзор, документирайте техните отговорности, проверете процедурите за съхранение на логове и потвърдете каналите за уведомяване при инциденти.

Стъпка 6 — Установете цикъл на преглед по AI Act. EU AI Act е жива рамка. Определете отговорно лице за мониторинг на насоките от Службата на ЕС за ИИ, актуализациите на националния орган и промените в класификациите по Annex III. Планирайте ежегоден вътрешен преглед на инвентара от системи и статуса на съответствие.

Official AI Act Compliance Deadline Calendar

Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation Applies to Original date New date Status Countdown Legal basis
Prohibited Practices (Art. 5) All providers and deployers active AI Act Art. 5
GPAI Rules (Chapter 5) GPAI model providers active AI Act Art. 51-56
High-risk AI — Annex III (standalone) Providers of standalone Annex III systems deferred AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded) AI embedded in Annex I regulated products deferred AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking Providers of generative GPAI systems active AI Act Art. 50(2)
Regulatory Sandboxes National competent authorities active AI Act Art. 57

Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Да. Ако вашето МСП интегрира модел на изкуствен интелект на трета страна (включително чрез API) в продукт или услуга, които пускате на пазара или въвеждате в експлоатация под собственото си наименование или марка, вие се класифицирате като **доставчик** по смисъла на **чл. 3(3)** от EU AI Act. Това важи независимо от това дали базовият модел е създаден от друго дружество. Задълженията на доставчика — включително техническата документация, оценката на съответствието, CE маркировката (за системи с висок риск) и регистрацията — са ваша отговорност. Когато доставчикът нагоре по веригата предоставя документация за съответствие и инструкции за употреба, тези документи подпомагат вашите усилия за съответствие, но не ги заместват. Чл. 55 и чл. 96 предвиждат специфични за МСП механизми за подкрепа с цел намаляване на тежестта на задълженията за съответствие.

Зависи от два фактора: естеството на чатбота и неговите функции. Първо, ако чатботът е **система с общо предназначение, задвижвана от ИИ**, която взаимодейства с потребители, той трябва да отговаря на **задължението за прозрачност по чл. 50**: потребителите трябва да бъдат информирани, че взаимодействат с ИИ система, освен ако това не е очевидно от контекста. Второ, ако чатботът изпълнява функции, квалифициращи се като високорискови — например подбор на кандидати за работа, оценка на кредитоспособността или вземане на решения с правни или значителни лични последици — се прилагат допълнителни задължения за системи с висок риск. Прост чатбот за ЧЗВ или навигация в продукти, използващ доставчик на SaaS от трета страна (при което вие сте внедрителят), основно задейства изискването за прозрачност по чл. 50 и задълженията на внедрителя по чл. 26, по-специално правилното използване съгласно инструкциите и уведомяването при инциденти.

**Регулаторният пясъчник за ИИ** е надзорна среда за тестване, създадена от националните органи за надзор на ИИ, в която доставчиците на ИИ — включително стартъпи и МСП — могат да разработват, тестват и валидират ИИ системи преди пускането им на пазара, с пряко регулаторно ръководство. Пясъчниците се уреждат от **чл. 57–63** от EU AI Act. **Чл. 55 предоставя приоритетен достъп на МСП и стартъпи**, а участието е безплатно или при намалени такси. Заявленията се подават директно до националния орган, отговорен за AI Act в съответната държава членка. В рамките на пясъчника органът може да предостави ограничени дерогации от конкретни изисквания, за да позволи реално тестване; всеки продукт, пуснат на пазара след периода на пясъчника, трябва впоследствие да отговаря на всички приложими задължения. Свържете се с националната единна точка за контакт за МСП (**чл. 85**), за да получите процедурите за кандидатстване.

Регистрацията в **базата данни на ЕС за ИИ системи с висок риск** по **чл. 49** се изисква само ако вашата система е класифицирана като **система с висок риск** по чл. 6 или Annex III. Доставчиците на системи с висок риск трябва да се регистрират преди пускането на пазара; внедрителите, които са публични органи, също трябва да се регистрират преди употреба. По-голямата част от МСП, внедряващи ИИ системи на трети страни (като потребители на SaaS или API), не са задължени да се регистрират — това задължение е на доставчика. Ако вашето МСП е доставчик на ИИ система с висок риск, регистрацията е задължителна независимо от размера на предприятието, като разпоредбите за подкрепа по чл. 55 и чл. 96 се прилагат за намаляване на свързаните разходи и административната сложност. Базата данни е публично достъпна и се управлява от Службата на ЕС за ИИ.

Преди внедряването на ИИ система на трета страна, особено ако тя може да бъде с висок риск, вашето МСП трябва договорно да изиска и получи: (1) **EU Декларация за съответствие** или еквивалентна документация за съответствие; (2) **инструкции за употреба** съгласно изискванията на чл. 13, включително предназначение, известни ограничения и изисквания за човешки надзор; (3) потвърждение, че системата е **регистрирана в базата данни на ЕС**, когато се изисква; (4) информация за **способностите на системата за регистриране** и как могат да бъдат достъпвани или извличани логовете; (5) **процедурите на доставчика за уведомяване при инциденти** и техните задължения да ви уведомяват за неизправности или актуализации, засягащи съответствието; и (6) информация за **характеристиките на обработване на данни** от системата, имащи отношение към вашите задължения по GDPR. Липсата на тези документи от доставчик, предлагащ ИИ система в чувствителна област, представлява съществен риск за съответствието.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.