Vysoce rizikové systémy AI musí udržovat kompletní technický spis před uvedením na trh EU. Čl. 11 a Příloha IV přesně definují, co zahrnout — od architektury systému po správu trénovacích dat a plány monitorování po uvedení na trh.
Co je technický spis?
Technická dokumentace — běžně nazývaná „technický spis" — je hlavním důkazním balíčkem, který prokazuje, že vysoce rizikový systém AI splňuje všechny požadavky EU AI Act. Nařízena čl. 11 a strukturována Přílohou IV, musí být sestavena před tím, než je systém uveden na trh EU, a aktualizována po celý životní cyklus systému.
Technický spis není centrálně předkládán. Poskytovatel jej drží a předkládá na vyžádání orgánům dozoru nad trhem a oznámeným místům. Jde o model pull: orgány přijdou k vám; musíte být připraveni předat kompletní, koherentní balíček, nikoli improvizovanou hromadu souborů sestavených pod tlakem.
Čl. 11 ukládá poskytovatelům tři povinnosti:
- Sestavit jej před uvedením na trh nebo do provozu.
- Udržovat jej aktuální — jakákoli podstatná změna systému vyžaduje aktualizaci spisu a nové posouzení shody.
- Zpřístupnit jej příslušným orgánům a oznámeným místům na vyžádání ve stanoveném časovém rámci (obvykle 10 pracovních dnů podle vnitrostátních pravidel dozoru nad trhem).
Standard pro „aktuální" je funkční: technický spis musí odrážet systém tak, jak je skutečně nasazen, nikoli tak, jak byl původně navržen. Pokud aktualizace modelu mění charakteristiky výkonu, prahy přesnosti nebo trénovací data, musí být spis revidován.
Kdo potřebuje technickou dokumentaci?
Technická dokumentace podle čl. 11 a Přílohy IV je povinná pro poskytovatele:
- Vysoce rizikových systémů AI uvedených v Příloze III — samostatné systémy v oblastech jako biometrická kategorizace, nábor, úvěrové skórování, řízení kritické infrastruktury, vzdělávání, vymáhání práva, migrace a hraniční kontrola a správa spravedlnosti (podléhající filtru významného rizika čl. 6(3))
- Systémů AI fungujících jako bezpečnostní součásti v produktech regulovaných Přílohou I — AI zabudovaná ve zdravotnických prostředcích, strojích, vozidlech, leteckém vybavení a podobných produktech regulovaných stávající legislativou EU o bezpečnosti výrobků
Technická dokumentace není vyžadována pro:
- Systémy AI s minimálním rizikem (chatboti, spamové filtry, doporučovací enginy mimo vysoce rizikové kategorie)
- Systémy AI podléhající pouze povinnostem transparentnosti podle čl. 50 (např. zveřejnění deepfake, zveřejnění rozpoznávání emocí kde nejsou vysoce rizikové)
- Poskytovatele modelů Víceúčelového AI (GPAI) — ti mají oddělené dokumentační povinnosti podle čl. 53, včetně technické dokumentace samotného modelu, ale ne ve formátu Přílohy IV navrženém pro nasazené vysoce rizikové systémy
Pokud jste provozovatel (nikoli poskytovatel), nejste povinni technický spis připravovat. Provozovatelé však musí uchovávat protokoly používání systému (čl. 26(5)) a poskytovatelé jsou oprávněni čerpat z těchto protokolů při aktualizaci technické dokumentace nebo zpracovávání hlášení incidentů.
14 prvků Přílohy IV
Příloha IV specifikuje minimální obsah technického spisu. Neexistuje žádný pevný formát — poskytovatelé mohou dokumentaci organizovat dle svého uvážení — ale všech 14 prvků musí být přítomno a věcné. Odškrtávací záznamy bez podpůrných důkazů nesplňují Přílohu IV.
| č. | Prvek Přílohy IV | Co musí obsahovat |
|---|---|---|
| 1 | Obecný popis | Název systému, identifikátor verze, zamýšlený účel, zamýšlení uživatelé, geografické trhy, název a adresa poskytovatele, jakýkoli oprávněný zástupce |
| 2 | Součásti systému | Hardwarové požadavky, softwarové komponenty, modely nebo knihovny třetích stran používané, přehled metodologie trénování, algoritmický přístup (např. supervised learning, reinforcement learning, transformer architektura) |
| 3 | Specifikace návrhu | Architektura systému, diagramy datového toku, klíčová návrhová rozhodnutí a jejich zdůvodnění, provedené kompromisy (např. přesnost vs. vysvětlitelnost), výstupní formát a jak výstupy vstupují do návazných rozhodnutí |
| 4 | Trénovací, validační a testovací data | Datové sady použité v každé fázi, datové zdroje, postupy správy dat, statistické vlastnosti datových sad (velikost, distribuce, pokrytí), protokoly zpracování a předzpracování dat, opatření přijatá k detekci a řešení zkreslení datové sady |
| 5 | Dokumentace řízení rizik | Úplný systém řízení rizik čl. 9: identifikovaná rizika pro zdraví, bezpečnost a základní práva; odhad a hodnocení rizik; přijatá opatření zmírňování rizik; přijatá zbytková rizika; základ pro přijetí zbytkových rizik |
| 6 | Změny životního cyklu | Popis všech podstatných modifikací provedených po počátečním nasazení, jejich povaha a rozsah, jak byla shoda znovu posouzena po každé změně, historie verzí s daty |
| 7 | Opatření lidského dohledu | Jak jsou implementovány požadavky čl. 14: mechanismy přepsání a zastavení, rozhraní umožňující lidským operátorům monitorovat výstupy, požadavky na školení nebo kvalifikaci operátorů, zdokumentované postupy pro lidský zásah |
| 8 | Validační a testovací postupy | Použité metriky výkonu (přesnost, precision, recall, F1, AUC, metriky spravedlnosti), popisy testovacích datových sad, testovací podmínky a prostředí, metodologie a výsledky testování zkreslení, robustnostní a zátěžové testování, výkon mimo distribuci |
| 9 | Opatření kybernetické bezpečnosti | Technická opatření proti krádeži modelu, otravě dat, adversariálním útokům, prompt injection (pro systémy na bázi LLM), kontroly přístupu, šifrování při přenosu a v klidu, postupy správy zranitelností |
| 10 | Monitorování zkreslení a přesnosti | Průběžné monitorovací postupy po nasazení, prahy přesnosti, pod nimiž systém spouští přezkum, výkonnostní benchmarky rozložené podle demografických skupin kde relevantní, postupy pro reakci na detekovaný drift nebo zkreslení |
| 11 | Pokyny k použití | Dokument čl. 13 orientovaný na provozovatele: zamýšlený účel a případy použití, charakteristiky výkonu a omezení, známé omezení, požadavky na údržbu a aktualizace, protokolovací povinnosti pro provozovatele, kontaktní místo pro hlášení incidentů |
| 12 | Plán monitorování po uvedení na trh | Návrh monitorovacího systému čl. 72: data shromažďovaná od provozovatelů, frekvence monitorovacích cyklů, prahy spouštějící přezkum nebo aktualizaci, postup hlášení závažných incidentů (čl. 73), postup pro zpětné zapracování monitorovacích dat do řízení rizik |
| 13 | Popis rozhraní | API a integrační body, formáty vstupních dat a omezení, výstupní formáty a jejich sémantika, integrace s jinými systémy nebo součástmi, kompatibilita verzí |
| 14 | Harmonizované normy a společné specifikace | Seznam použitých harmonizovaných norem (např. ISO/IEC 42001:2023, normy EN v rámci standardizačního programu AI Act), přijaté společné specifikace podle čl. 41, rozsah uplatnění každé normy, případné odchylky a jejich odůvodnění |
Praktická poznámka k prvku 4 (trénovací data): Příloha IV nevyžaduje, abyste datové sady veřejně nebo orgánům standardně zveřejňovali. Vyžaduje, aby dokumentace existovala a mohla být předložena. Pro proprietární datové sady popis postupů správy dat, statistické přehledy a výsledky testování zkreslení obvykle splní požadavek bez zveřejnění obchodně citlivých dat.
Praktická poznámka k prvku 14 (normy): K polovině roku 2026 je standardizační program AI Act stále v průběhu. ISO/IEC 42001 (systémy řízení AI) je dostupný a hojně odkazovaný. Poskytovatelé by měli sledovat standardizační práce EU v rámci CEN/CENELEC JTC 21 a aktualizovat tuto sekci, jak jsou harmonizované normy zveřejňovány v Úředním věstníku.
EU prohlášení o shodě (čl. 47)
EU prohlášení o shodě (EU DoC) je samostatný povinný dokument — není součástí technického spisu, ale na něj odkazuje. EU DoC je formální prohlášení poskytovatele, že systém AI splňuje všechny příslušné požadavky EU AI Act.
Platné EU DoC musí obsahovat:
- Jméno a adresu poskytovatele (a oprávněného zástupce, pokud platí)
- Název systému AI, verzi, výrobní nebo dávkové číslo, pokud platí
- Prohlášení, že systém splňuje EU AI Act
- Použitý postup posouzení shody: Příloha VI (interní kontrola / vlastní posouzení) pro většinu systémů Přílohy III nebo Příloha VII (posouzení třetí stranou oznámeným místem) pro AI biometrické kategorizace a AI používanou v kritické infrastruktuře vyžadující zapojení třetí strany
- Seznam harmonizovaných norem nebo společných specifikací, na které se spoléhá
- Podpis oprávněného zástupce poskytovatele s datem a místem
EU DoC musí být uchováváno 10 let po uvedení na trh a předloženo na vyžádání. Doprovází označení CE (viz níže).
Pro systémy AI zabudované v produktech Přílohy I může být EU DoC sloučeno s prohlášením o shodě požadovaným příslušnou odvětvovou legislativou, pokud obsahuje všechny prvky vyžadované oběma právními nástroji.
Označení CE (čl. 48)
Vysoce rizikové systémy AI uváděné na trh EU musí nést označení CE, které signalizuje shodu s EU AI Act a jakoukoli jinou příslušnou unijní harmonizační legislativou pokrývající stejný produkt.
Výjimky: Systémy AI v kategoriích Přílohy III nasazované orgány veřejné moci pro vlastní interní použití jsou osvobozeny od požadavků na označení CE. Zůstávají předmětem všech ostatních povinností — technické dokumentace, řízení rizik, lidského dohledu, registrace — ale nemusí připojovat označení CE.
Označení CE musí být připojeno před uvedením systému na trh EU. Musí být viditelné, čitelné a nesmazatelné. Kde fyzická povaha systému neumožňuje přímé připojení označení, může se objevit na obalu nebo v pokynech k použití.
Když je vysoce rizikový systém AI součástí produktu Přílohy I, který již vyžaduje označení CE podle odvětvově specifické legislativy (např. zdravotnické prostředky, stroje), označení CE pokrývá shodu jak s odvětvovou legislativou, tak s AI Act. Poskytovatelé by měli jasně dokumentovat, které postupy posouzení shody jsou základem označení CE.
Praktický kontrolní seznam: minimální životaschopný technický spis
Před uvedením jakéhokoli vysoce rizikového systému AI na trh EU ověřte, že těchto 10 položek je kompletních a doložených:
- [ ] Popis systému a správa verzí — název, verze, zamýšlený účel zdokumentovány; existuje protokol změn
- [ ] Diagram architektury — diagram datového toku a součástí zobrazující všechny hardwarové, softwarové a prvky třetích stran
- [ ] Inventář trénovacích dat a záznam správy — datové sady katalogizovány se zdrojem, velikostí, rozděleními a zdokumentovanými postupy kvality dat
- [ ] Posouzení rizik (podle čl. 9) — identifikovaná rizika, opatření zmírňování a přijatá zbytková rizika zdokumentována a schválena
- [ ] Výsledky testování zkreslení — metodologie testování zdokumentována; výsledky rozloženy podle příslušných demografických skupin, kde platí
- [ ] Metriky přesnosti na reprezentativní testovací sadě — metriky výkonu zdokumentovány s testovacími podmínkami; prahy definovány
- [ ] Dokument postupu lidského dohledu — mechanismy přepsání popsány; požadavky na operátory (školení, kvalifikace) zdokumentovány
- [ ] Posouzení kybernetické bezpečnosti — posouzeny známé vektory útoku; zdokumentována technická protiopatření
- [ ] Pokyny k použití (orientované na provozovatele) — dokument čl. 13 kompletní, včetně omezení, protokolovacích povinností a kontaktu pro hlášení incidentů
- [ ] Plán monitorování po uvedení na trh — rozsah sběru dat, frekvence monitorování, spouštěče přezkumu a postup hlášení incidentů zdokumentovány
Tento kontrolní seznam pokrývá minimum. Dobře připravený technický spis půjde dále — zejména v metodologii testování zkreslení, modelových kartách pro komponentní modely a důkazech o tom, že proces řízení rizik je iterativní, nikoli jednorázové cvičení.
Jak to souvisí s EU AI Act Academy
Pro úroveň EU AI Act Academy Pro zahrnuje šablony technické dokumentace připravené k použití pokrývající všech 14 prvků Přílohy IV, včetně:
- Strukturovaný pracovní sešit XLSX s jednou záložkou pro každý prvek Přílohy IV, předvyplněný výzvami a ukázkovými záznamy
- Kostra technického spisu DOCX připravená k úpravám
- Pracovní list posouzení rizik podle iterativního procesu čl. 9
- Šablona záznamu správy dat pokrývající trénovací, validační a testovací datové sady
- Šablona plánu monitorování po uvedení na trh sladěná s čl. 72
Tyto šablony jsou navrženy tak, aby byly přizpůsobeny vašemu konkrétnímu systému — jsou to výchozí body s věcným obsahem, nikoli prázdné formuláře.
Související stránky:
- Příloha III — Kategorie a povinnosti vysoce rizikových systémů AI
- Postupy posouzení shody (Příloha VI a VII)
- EU AI Act Academy — šablony a školení
- Nástroje — Výběr postupu posouzení shody
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Výhradně poskytovatel vysoce rizikového systému AI je odpovědný za přípravu a udržování technické dokumentace. Provozovatelé nejsou povinni ji připravovat, ale musí uchovávat protokoly přístupu a mohou je potřebovat poskytnout poskytovatelům pro účely hlášení.
Technická dokumentace musí být uchovávána po dobu 10 let od uvedení systému AI na trh EU nebo do provozu (čl. 18). Pro systémy AI zabudované v produktech podléhajících legislativě Přílohy I platí lhůta uchovávání produktové legislativy, je-li delší.
Ne — technická dokumentace není centrálně podávána. Musí být uchovávána poskytovatelem a zpřístupněna orgánům dozoru nad trhem a oznámeným místům na vyžádání. Registrace v databázi AI EU (čl. 71) je povinná, ale úplný technický spis zůstává u poskytovatele.
Formální dokument podepsaný poskytovatelem prohlašující, že systém AI splňuje požadavky EU AI Act. Musí obsahovat název systému, verzi, identitu poskytovatele, seznam splněných příslušných požadavků, použitý postup posouzení shody a odkaz na příslušné harmonizované normy. Doprovází označení CE.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.