Системите за ИИ с висок риск трябва да поддържат пълно техническо досие преди пускане на пазара на ЕС. Чл. 11 и Приложение IV определят точно какво да се включи — от архитектурата на системата до управлението на данните за обучение и плановете за мониторинг след пускане на пазара.
Какво е техническото досие?
Техническата документация — обичайно наричана „технически досие" — е главният пакет от доказателства, демонстриращ, че системата за ИИ с висок риск отговаря на всички изисквания на Закона на ЕС за ИИ. Задължена по чл. 11 и структурирана от Приложение IV, тя трябва да бъде изготвена преди пускането на системата на пазара на ЕС и да се поддържа актуална през целия жизнен цикъл на системата.
Техническото досие не се подава централно. Доставчикът го съхранява и го представя при поискване на органите за надзор на пазара и нотифицираните органи. Това е тягов модел: органите идват при вас; трябва да сте готови да предадете пълен, свързан пакет, а не импровизирана купчина файлове, сглобени под натиск.
Чл. 11 налага три задължения на доставчиците:
- Да го изготвят преди пускане на пазара или въвеждане в употреба.
- Да го поддържат актуален — всяка съществена промяна на системата изисква актуализиране на досието и повторна оценка на съответствието.
- Да го предоставят на компетентните органи и нотифицираните органи при поискване, в определен срок (обикновено 10 работни дни по националните правила за надзор на пазара).
Стандартът за „актуален" е функционален: техническото досие трябва да отразява системата в действителното й разгърнато състояние, а не системата в първоначалното й проектирано. Ако актуализация на модела промени характеристиките на изпълнението, праговете на точност или данните за обучение, досието трябва да бъде преработено.
Кой се нуждае от техническа документация?
Техническата документация по чл. 11 и Приложение IV е задължителна за доставчиците на:
- Системи за ИИ с висок риск, изброени в Приложение III — самостоятелни системи в области като биометрична категоризация, набиране на персонал, кредитен скоринг, управление на критична инфраструктура, образование, правоприлагане, миграция и граничен контрол и отправяне на правосъдие (при условие на значителния риск по чл. 6(3))
- Системи за ИИ, функциониращи като компоненти за безопасност в регулирани продукти по Приложение I — ИИ, вграден в медицински изделия, машини, превозни средства, авиационно оборудване и подобни продукти, регулирани от съществуващото законодателство на ЕС за безопасност на продуктите
Техническата документация не се изисква за:
- Системи за ИИ с минимален риск (чатботове, спам филтри, препоръчителни системи извън категориите с висок риск)
- Системи за ИИ, обект само на задължения за прозрачност по чл. 50 (напр. разкрития за дийпфейкове, разкрития при разпознаване на емоции когато не са с висок риск)
- Доставчиците на GPAI модели — те имат отделни задължения за документация по чл. 53, включително техническа документация за самия модел, но не в формата на Приложение IV, предназначен за разгърнати системи с висок риск
Ако сте краен потребител (не доставчик), не се изисква да подготвяте техническото досие. Крайните потребители обаче трябва да поддържат журнали за употребата на системата (чл. 26(5)), а доставчиците имат право да разчитат на тези журнали при актуализиране на техническата документация или обработване на доклади за инциденти.
14-те елемента на Приложение IV
Приложение IV определя минималното съдържание на техническото досие. Няма строг формат — доставчиците могат да организират документацията по своя преценка — но всичките 14 елемента трябва да са налице и съществени. Записи само с отметки без подкрепящи доказателства не удовлетворяват Приложение IV.
| № | Елемент на Приложение IV | Какво трябва да съдържа |
|---|---|---|
| 1 | Общо описание | Наименование на системата, идентификатор на версията, предназначена цел, предназначени потребители, географски пазари, наименование и адрес на доставчика, всеки упълномощен представител |
| 2 | Компоненти на системата | Хардуерни изисквания, софтуерни компоненти, използвани модели или библиотеки от трети страни, преглед на методологията за обучение, алгоритмичен подход (напр. учене с учител, обучение с подкрепление, трансформерна архитектура) |
| 3 | Спецификации на дизайна | Архитектура на системата, диаграми на потока от данни, ключови дизайнерски решения и тяхната обосновка, направени компромиси (напр. точност срещу обяснимост), формат на резултата и как резултатите захранват надолу по веригата решения |
| 4 | Данни за обучение, валидиране и тестване | Набори от данни, използвани на всеки етап, източници на данни, процедури за управление на данните, статистически свойства на наборите от данни (размер, разпределение, покритие), протоколи за обработка и предварителна обработка на данни, мерки за установяване и адресиране на пристрастия в набора от данни |
| 5 | Документация за управление на риска | Пълната система за управление на риска по чл. 9: установени рискове за здравето, безопасността и основните права; оценка и оценяване на риска; приети мерки за смекчаване на риска; приети остатъчни рискове; основание за приемане на остатъчни рискове |
| 6 | Промени в жизнения цикъл | Описание на всички съществени модификации, направени след началното разгръщане, тяхното естество и обхват, как съответствието е преоценявано след всяка промяна, история на версиите с дати |
| 7 | Мерки за човешки надзор | Как са изпълнени изискванията по чл. 14: механизми за отхвърляне и спиране, интерфейси, позволяващи на операторите да наблюдават резултатите, изисквания за обучение или квалификация на операторите, документирани процедури за човешка намеса |
| 8 | Процедури за валидиране и тестване | Използвани показатели за изпълнение (точност, прецизност, припомняне, F1, AUC, показатели за справедливост), описания на тестовия набор от данни, условия и среда за тестване, методология и резултати от тестването за пристрастие, тестване за надеждност и натоварване, изпълнение извън разпределението |
| 9 | Мерки за киберсигурност | Технически мерки срещу кражба на модел, отравяне на данни, атаки на противника, инжектиране на подкани (за системи, базирани на LLM), контроли за достъп, криптиране в движение и в покой, процедури за управление на уязвимостите |
| 10 | Мониторинг на пристрастие и точност | Текущи процедури за мониторинг след разгръщане, прагове на точност, под които системата задейства преглед, показатели за изпълнение, разбити по демографски групи, когато е релевантно, процедури за действие при установен дрейф или пристрастие |
| 11 | Инструкции за употреба | Документът, насочен към крайния потребител по чл. 13: предназначена цел и случаи на употреба, характеристики и ограничения на изпълнението, известни ограничения, изисквания за поддръжка и актуализации, задължения за регистриране за крайните потребители, точка за контакт за докладване на инциденти |
| 12 | План за мониторинг след пускане на пазара | Проектирането на системата за мониторинг по чл. 72: данни, събирани от крайните потребители, честота на циклите на мониторинг, прагове, задействащи преглед или актуализация, процедура за докладване на сериозни инциденти (чл. 73), процедура за обратно подаване на данните от мониторинга в управлението на риска |
| 13 | Описание на интерфейсите | API и точки за интеграция, формати и ограничения на входните данни, формати на резултатите и тяхната семантика, интеграция с други системи или компоненти, съвместимост на версиите |
| 14 | Хармонизирани стандарти и общи спецификации | Списък на приложените хармонизирани стандарти (напр. ISO/IEC 42001:2023, EN стандарти по програмата за стандартизация на Закона за ИИ), приети общи спецификации по чл. 41, степента, в която е приложен всеки стандарт, всякакви отклонения и тяхната обосновка |
Практическа бележка за елемент 4 (данни за обучение): Приложение IV не изисква публично разкриване на наборите от данни или предоставянето им по подразбиране на органите. Изисква документацията да съществува и да може да бъде предоставена. За собствени набори от данни описание на процедурите за управление на данните, статистически резюмета и резултати от тестване за пристрастие обикновено ще удовлетвори изискването без разкриване на търговски чувствителни данни.
Практическа бележка за елемент 14 (стандарти): От средата на 2026 г. програмата за стандартизация на Закона за ИИ все още е в процес. ISO/IEC 42001 (системи за управление на ИИ) е наличен и широко референциран. Доставчиците трябва да наблюдават работата по европейска стандартизация под CEN/CENELEC JTC 21 и да актуализират тази секция с публикуването на хармонизираните стандарти в Официален вестник.
ЕС Декларация за съответствие (чл. 47)
ЕС Декларацията за съответствие (ЕС ДС) е отделен задължителен документ — тя не е част от техническото досие, но го референцира. ЕС ДС е официалното изявление на доставчика, че системата за ИИ отговаря на всички приложими изисквания на Закона на ЕС за ИИ.
Валидната ЕС ДС трябва да включва:
- Наименованието и адреса на доставчика (и упълномощения представител, ако е приложимо)
- Наименованието на системата за ИИ, версията, серийния или партидния номер, ако е приложимо
- Изявление, че системата отговаря на Закона на ЕС за ИИ
- Използваната процедура за оценка на съответствието: Приложение VI (вътрешен контрол / самооценка) за повечето системи по Приложение III, или Приложение VII (оценка от трета страна от нотифициран орган) за ИИ за биометрична категоризация и ИИ за критична инфраструктура, изискващи участие на трета страна
- Списък на разчитаните хармонизирани стандарти или общи спецификации
- Подписа на упълномощения представител на доставчика с дата и място
ЕС ДС трябва да се съхранява 10 години след пускане на пазара и да се предоставя при поискване. Придружава CE маркировката (вж. по-долу).
За системи за ИИ, вградени в продукти по Приложение I, ЕС ДС може да бъде обединена с декларацията за съответствие, изисквана по съответното секторно законодателство, при условие че съдържа всички елементи, изисквани от двата правни инструмента.
CE маркировка (чл. 48)
Системите за ИИ с висок риск, пускани на пазара на ЕС, трябва да носят CE маркировка, сигнализираща съответствие с Закона на ЕС за ИИ и всяко друго приложимо хармонизирано законодателство на ЕС, обхващащо същия продукт.
Изключения: Системи за ИИ в категории по Приложение III, разгърнати от публични органи за тяхна вътрешна употреба, са освободени от изискванията за CE маркировка. Те остават обект на всички останали задължения — техническа документация, управление на риска, човешки надзор, регистрация — но не е необходимо да нанасят CE маркировка.
CE маркировката трябва да бъде нанесена преди пускането на системата на пазара на ЕС. Трябва да бъде видима, четлива и незаличима. Когато физическото естество на системата не позволява пряко нанасяне на маркировката, тя може да се появи на опаковката или в инструкциите за употреба.
Когато система за ИИ с висок риск е компонент на продукт по Приложение I, изискващ CE маркировка по секторно специфично законодателство (напр. медицински изделия, машини), CE маркировката обхваща съответствие и с секторното законодателство, и с Закона за ИИ. Доставчиците трябва ясно да документират кои процедури за оценка на съответствието подпират CE маркировката.
Практически контролен списък: Минимално жизнеспособно техническо досие
Преди пускането на всяка система за ИИ с висок риск на пазара на ЕС проверете дали тези 10 точки са завършени и доказани:
- [ ] Описание на системата и контрол на версиите — наименование, версия, предназначена цел са документирани; съществува журнал за промени
- [ ] Архитектурна диаграма — диаграма на потока от данни и компонентите, показваща всички хардуерни, софтуерни и елементи от трети страни
- [ ] Опис на данните за обучение и запис за управление — наборите от данни са каталогизирани с източник, размер, разделяния и процедури за качество на данните са документирани
- [ ] Оценка на риска (по чл. 9) — установените рискове, мерките за смекчаване и приетите остатъчни рискове са документирани и подписани
- [ ] Резултати от тестването за пристрастие — методологията за тестване е документирана; резултатите са разбити по съответни демографски групи, когато е приложимо
- [ ] Показатели за точност върху представителен тестов набор — показателите за изпълнение са документирани с условия за тестване; праговете са определени
- [ ] Документ за процедура за човешки надзор — механизмите за отхвърляне са описани; изискванията за операторите (обучение, квалификация) са документирани
- [ ] Оценка на киберсигурността — известните вектори на атака са оценени; техническите противомерки са документирани
- [ ] Инструкции за употреба (насочени към крайния потребител) — документът по чл. 13 е пълен, включително ограниченията, задълженията за регистриране и контакта за докладване на инциденти
- [ ] План за мониторинг след пускане на пазара — обхватът на събиране на данни, честотата на мониторинга, задействащите условия за преглед и процедурата за докладване на инциденти са документирани
Този контролен списък обхваща минимума. Добре подготвеното техническо досие ще надхвърля това — особено по методологията за тестване на пристрастие, карти на модели за компонентни модели и доказателства, че процесът на управление на риска е итеративен, а не еднократно упражнение.
Как се свързва с Академията по Закона на ЕС за ИИ
Про нивото на Академията по Закона на ЕС за ИИ включва готови за употреба шаблони за техническа документация, обхващащи всичките 14 елемента на Приложение IV, включително:
- Структурирана работна книга XLSX с един раздел за всеки елемент на Приложение IV, предварително попълнена с подкани и примерни записи
- Скелет на техническото досие DOCX, готов за редактиране
- Работен лист за оценка на риска, следващ итеративния процес по чл. 9
- Шаблон за запис за управление на данните, обхващащ наборите от данни за обучение, валидиране и тестване
- Шаблон за план за мониторинг след пускане на пазара, съответстващ на чл. 72
Тези шаблони са предназначени за адаптиране към вашата конкретна система — те са отправни точки със съществено съдържание, а не празни формуляри.
Свързани страници:
- Приложение III — Категории и задължения на ИИ с висок риск
- Процедури за оценка на съответствието (Приложение VI и VII)
- Академия по Закона на ЕС за ИИ — шаблони и обучение
- Инструменти — Селектор на оценка на съответствието
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Доставчикът на системата за ИИ с висок риск носи единствената отговорност за подготовката и поддържането на техническата документация. Крайните потребители не са длъжни да я подготвят, но трябва да съхраняват журнали за достъп и може да се наложи да ги предоставят на доставчиците за целите на докладването.
Техническата документация трябва да се съхранява 10 години след пускането на системата за ИИ на пазара на ЕС или въвеждането й в употреба (чл. 18). За системи за ИИ, вградени в продукти, обект на законодателство по Приложение I, се прилага срокът за съхранение на законодателството за продуктите, ако е по-дълъг.
Не — техническата документация не се подава централно. Тя трябва да се съхранява от доставчика и да се предоставя на органите за надзор на пазара и нотифицираните органи при поискване. Регистрацията в базата данни на ЕС за ИИ (чл. 71) е задължителна, но пълното техническо досие остава при доставчика.
Официален документ, подписан от доставчика, удостоверяващ, че системата за ИИ отговаря на изискванията на Закона на ЕС за ИИ. Трябва да включва наименованието на системата, версията, самоличността на доставчика, списък на изпълнените приложими изисквания, използваната процедура за оценка на съответствието и референция към съответните хармонизирани стандарти. Придружава CE маркировката.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.