90% от организациите, използващи ИИ, са крайни потребители, интегриращи модели от трети страни — OpenAI, Anthropic, Azure AI или SaaS инструменти с ИИ. Разберете вашите задължения: какво трябва да ви предостави доставчикът, какво трябва да направите вие и кога се превръщате в доставчик сами.
Реалността на ИИ от трети страни: Повечето организации са крайни потребители
Мнозинството от европейските организации, използващи ИИ, не са нито OpenAI, нито Mistral, нито изследователска лаборатория. Те интегрират съществуващи модели — чрез API, SaaS платформа, компонент Azure AI или плъгин за бизнес инструмент. Salesforce Einstein, Copilot за Microsoft 365, чатбот за HR, задвижван от голям езиков модел, решение за кредитен скоринг, закупено от специализиран доставчик: във всички тези случаи вие сте краен потребител на система за ИИ, изградена от някой друг.
Тази позиция се заема от по-голямата част от организациите, засегнати от Закона на ЕС за ИИ. Тя носи точни задължения — различни от тези на доставчика, но не маловажни. Може също да се развие: ако модифицирате системата или я препродадете, правният ви статус се променя.
Разбирането на вашата позиция в ИИ веригата на стойността е първата стъпка в усилията за съответствие.
Вашите задължения като краен потребител
Задълженията на крайния потребител се различават в зависимост от нивото на риска на системата за ИИ, която използвате.
За системи за ИИ с висок риск (Приложение III)
Ако разгръщате система за ИИ от трета страна, квалифицираща се като с висок риск (оценка на кредитоспособността, биометрична идентификация, скрийнинг при набиране на персонал, управление на критична инфраструктура и др.), вашите задължения по чл. 26 са:
1. Следвайте инструкциите за употреба Използвайте системата само за предназначената й цел и в съответствие с инструкциите, задължени да предостави доставчикът. Използването на система за ИИ с висок риск извън нейния валидиран обхват е нарушение на съответствието, дори ако сте само краен потребител.
2. Назначете човешки надзор Определете физическо лице с компетентност, правомощия и ресурси за провеждане на значим човешки надзор над резултатите на системата за ИИ. Това лице трябва да може да разбере какво прави системата, да установи аномалии и да я отхвърли или спре при необходимост.
3. Осигурете качество на входните данни Осигурете, че данните, с които захранвате системата, са релевантни, достатъчно представителни и подходящи за предназначената цел в конкретния ви контекст на разгръщане. Система, валидирана върху една популация, може да се представя по различен начин при вашата — това е риск за управляване от вас.
4. Наблюдавайте функционирането и установявайте аномалии Активно наблюдавайте функционирането на системата за аномалии, неочаквани резултати или влошаване на изпълнението. Това не е отговорност на доставчика при разгръщане — това е ваша.
5. Съхранявайте журнали Активирайте и съхранявайте автоматизираните журнали, генерирани от системата, за периода, изисквани от Закона (и всяка секторна регулация, която може да се прилага). Не изключвайте регистрирането, за да спестите разходи за съхранение.
6. Докладвайте сериозни инциденти Ако узнаете за сериозен инцидент или неизправност — такъв, причинил или способен да причини смърт, сериозна вреда, нарушения на основните права или значителни имуществени щети — уведомете доставчика без неоправдано забавяне. В някои случаи (особено когато разгръщането включва публично насочени услуги или дейности, свързани с правоприлагането) може да се изисква и пряко докладване пред националния орган за надзор на пазара.
7. Оценка на въздействието върху основните права (публичните органи) Ако сте публичен орган или частно лице, разгръщащо системи за ИИ в области, вероятно засягащи основните права (здравеопазване, социални услуги, образование, правоприлагане), трябва да проведете оценка на въздействието върху основните права преди разгръщане (чл. 27).
За системи за ИИ само с прозрачност (чл. 50)
Ако разгръщате чатбот, система за генерирано от ИИ съдържание или инструмент за разпознаване на емоции, не с висок риск, но попадащ под задълженията за прозрачност по чл. 50, трябва:
- Да информирате потребителите, че взаимодействат с система за ИИ (чл. 50(1))
- Да осигурите, че генерираното от ИИ съдържание е технически маркирано (чл. 50(4)), когато е приложимо
- Да информирате засегнатите лица, когато се използва разпознаване на емоции или биометрична категоризация (чл. 50(2)–(3))
Тези задължения се прилагат дори при използване на API или SaaS инструмент от трета страна. Доставчикът е отговорен за вграждане на техническата способност; вие сте отговорни за активирането й и осигуряване, че разкриването действително достига до потребителите.
За системи за ИИ с минимален риск
Няма специфични правни задължения по Закона за ИИ. Прилагат се доброволни кодекси за поведение. Добрите практики за управление все пак препоръчват базова документация на системите за ИИ в употреба и периодичен преглед на изпълнението им.
Какво да изискате от доставчика на ИИ от трета страна
Способността ви да изпълните задълженията на крайния потребител зависи пряко от това, което ви предоставя доставчикът. Законът за ИИ изисква от доставчиците на системи за ИИ с висок риск да предоставят конкретна информация — а доставчиците на GPAI модели имат паралелни задължения за документация. Използвайте този контролен списък при закупуване на ИИ от трета страна:
За всяка система за ИИ
- Описание на системата: Какво прави системата, какви входни данни приема, какви резултати произвежда и какви решения може да влияе?
- Предназначена цел: За кои точно случаи на употреба е проектирана, валидирана и одобрена системата?
- Известни ограничения: При какви условия системата се представя слабо? Кои популации, езици или видове данни са извън нейния валидиран обхват?
- Инструкции за употреба: Пълният набор от инструкции, задължени да предостави доставчикът по чл. 13 за системи с висок риск
Специално за системи с висок риск
- Декларация за съответствие или резюме на резултатите от оценката на съответствието
- Документация за управление на риска — какви рискове са установени и как са смекчени?
- Резултати от тестване за пристрастие и справедливост — кои защитени характеристики са тествани, кои показатели са използвани и какви резултати са получени?
- Показатели за изпълнение — точност, степени на фалшиво положителни/отрицателни и разбито по демографски групи изпълнение
- Способност за регистриране — потвърждение, че системата генерира журналите, изисквани от чл. 12, и инструкции за достъп и съхраняването им
- Процес за уведомяване при инциденти — с кого да се свържете, в какъв срок и по какъв канал при сериозен инцидент
- Политика за актуализации — как ви уведомява доставчикът за материални актуализации и каква повторна валидация се изисква след актуализации?
За GPAI модели (API и достъп до фундаментален модел)
- Карта на модела или техническо резюме — способности, ограничения, резюме на данните за обучение, резултати от оценките
- Изявление за спазване на авторски права — как доставчикът адресира законодателството за авторски права за данните за обучение и резултатите?
- Политика за приемлива употреба — кои случаи на употреба са забранени от доставчика и какво се случва при нарушение?
- Условия за обработване на данните — как доставчикът обработва вашите входни данни? Използват ли се за по-нататъшно обучение?
Кога ставате доставчик
Чл. 25 от Закона на ЕС за ИИ е от решаващо значение за потребителите на ИИ от трети страни: той определя кога крайният потребител преминава в доставчик и поема всички задължения на доставчика.
Ставате доставчик, когато:
1. Съществено модифицирате система за ИИ с висок риск
Ако вземете система за ИИ с висок риск и направите съществени промени, надхвърлящи предвиденото от доставчика — промяна на модела, преобучение върху вашите данни, промяна на основната логика — вече сте доставчик на нова или съществено модифицирана система. Всички задължения на доставчика се прилагат: оценка на съответствието, техническа документация, CE маркировка, регистрация в базата данни на ЕС.
Ключов въпрос: Вашата персонализация „употреба в рамките на предназначените параметри" ли е или „разработка на нова способност"? Фино настройването на модел върху вашите данни за домейн може или не може да е съществена модификация в зависимост от степента на промяна и дали засяга рисковия профил.
2. Промяна на предназначената цел към висок риск
Ако вземете система, некласифицирана като с висок риск, и я разгърнете за случай на употреба с висок риск — използване на общ текстови класификатор за вземане на решения за заетост например — сте промениле предназначената цел по начин, задействащ класификацията с висок риск. Ставате доставчик на система за ИИ с висок риск и трябва да спазите всички задължения на доставчика за това разгръщане.
3. Пускане на системата на пазара под собственото ви наименование
Ако закупите или лицензирате система за ИИ и я препродавате или предлагате на другите като собствен продукт (бяло маркиране), вие я пускате на пазара под собственото си наименование и ставате доставчик. Това е обичайно в SaaS сектора: интегрирането на модел от трета страна в собствения ви продукт ви прави доставчик за него.
4. Правене на значителни промени в GPAI модел
Ако вземете GPAI модел и правите значителни модификации на способностите му или случая на употреба — отвъд фино настройване в рамките на предназначените параметри на доставчика — може да станете доставчик на нов GPAI модел с ваши собствени задължения по Глава V.
Договорна защита за крайните потребители
Тъй като съответствието ви зависи от това, което ви предоставя доставчикът, вашите договори с доставчиците на ИИ от трети страни са критичен инструмент за съответствие. Ключови клаузи за включване:
Права на информация
- Право да получавате и редовно актуализирана версия на инструкциите за употреба
- Право на достъп до декларацията за съответствие и резюмето на оценката на съответствието
- Право да получавате резултати от тестване за пристрастие и показатели за изпълнение
- Право да получавате документация за материални актуализации на модела преди разгръщане
Управление на инциденти
- Задължение на доставчика да ви уведомява за всякакви сериозни инциденти или уязвимости, за които разберат, в определен срок
- Ясен канал и процес за докладване на инциденти до доставчика
- Ангажимент от доставчика да си сътрудничи при разследванията ви на инциденти и регулаторните запитвания
Права за одит
- Право на одит или получаване на одитни доклади за съответствието на доставчика с задълженията по Закона за ИИ
- Право да изисквате актуализирана документация при настъпване на значителни промени
Задължения за актуализации
- Доставчикът трябва да ви уведоми преди разгръщане на материални актуализации на системата за ИИ
- Доставчикът трябва да посочи дали дадена актуализация представлява съществена модификация, изискваща повторна валидация
- Непрекъснатост на документацията — актуализирана техническа документация трябва да бъде предоставена с всяка материална актуализация
Разпределение на отговорността
- Яснота коя страна отговаря за кои задължения по чл. 25
- Обезщетение за загуби, произтичащи от неспазване на задълженията на доставчика
- Разпоредби за ограничаване на отговорността, незасягащи способността ви да изпълнявате регулаторните си задължения
Пазарът на доставчиците на ИИ: Какво да наблюдавате
Пазарът на ИИ инструменти и услуги се развива бързо и позицията за съответствие по Закона на ЕС за ИИ на доставчиците варира значително:
- Основните доставчици на облачни и ИИ услуги (Microsoft, Google, AWS, OpenAI, Anthropic) са инвестирали значително в управлението на ИИ и документацията за съответствие по GPAI. Техните условия за ползване и карти на модели предоставят повече информация от повечето другии доставчици.
- Специализираните вертикални доставчици на ИИ (HR технологии, правни технологии, финансови технологии, здравни технологии) са на различни етапи на готовност по Закона на ЕС за ИИ. Много от тях са МСП, все още не напълно картографирали задълженията си.
- Вграден ИИ в SaaS инструменти (ИИ функции в CRM, ERP, инструменти за производителност) може да не се предлагат на пазара като „ИИ продукти" — но ако вземат или влияят върху важни решения относно лицата, задълженията по Закона за ИИ се прилагат.
Екипите за доставки трябва да добавят скрийнинг за съответствие по Закона за ИИ към надлежната проверка на доставчиците — питайки доставчиците да удостоверят статуса си на съответствие, да предоставят документация за съответствие за системи с висок риск и да се ангажират с текущо споделяне на информация с развитието на регулаторния пейзаж.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Да, като крайни потребители. Доставчикът на API (OpenAI, Anthropic) е доставчикът на GPAI модела и носи задълженията по GPAI. Ако изградите приложение върху техния API и го предоставите на потребители, вие ставате доставчик на това приложение (система за ИИ). Имате задължения на краен потребител спрямо основния GPAI модел и задължения на доставчик за вашата собствена система за ИИ.
За системи за ИИ с висок риск: доставчикът (като доставчик) трябва да предостави инструкции за употреба (чл. 13) и резюме на оценката на съответствието или декларацията за съответствие. За GPAI модели: доставчиците трябва да предоставят техническа документация и информация, необходима за съответствие надолу по веригата. Изискайте по договор: описание на системата, известни ограничения, резултати от тестване за пристрастие, показатели за изпълнение и процедури за докладване на инциденти.
По договор можете да разпределите отговорността между страните — но регулаторната отговорност не може да бъде уредена по договор. Ако разгръщате система за ИИ с висок риск, имате задължения на краен потребител независимо от вашето споразумение. Използвайте договорите, за да гарантирате, че доставчикът ви дава необходимото за изпълнение на задълженията ви, а не за да им се изплъзнете.
Законът на ЕС за ИИ се прилага за системи за ИИ, пускани на европейския пазар, независимо от местонахождението на доставчика. Доставчиците извън ЕС трябва да определят упълномощен представител в ЕС (чл. 22), носещ същите правни задължения като доставчик, установен в ЕС. Проверете дали доставчикът разполага с упълномощен представител преди разгръщане на системата му за ИИ.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.