Artikkel 17 määrusest (EL) 2024/1689 — Kvaliteedijuhtimissüsteem. Ametlik tekst, praktiline tõlgendus, peamised kohustused ja vastavuse tagamise mõjud.
Ametliku teksti kokkuvõte
Määruse (EL) 2024/1689 artikkel 17 nõuab, et kõrge riskitasemega tehisintellektisüsteemide pakkujad kehtestaksid kvaliteedijuhtimissüsteemi (KJS) enne selliste süsteemide turule viimist või kasutusele võtmist. KJS peab olema dokumenteeritud süstemaatiliselt ja korrapäraselt ning hõlmama kõiki tehisintellektisüsteemi elutsükli etappe.
Määrus täpsustab, et KJS peab käsitlema vähemalt: pakkuja strateegiat regulatiivse vastavuse tagamiseks, sealhulgas vastavushindamise protseduurid; tehisintellektisüsteemi projekteerimiseks, projekteerimiskontrolliks ja kontrollimiseks kasutatavaid tehnikaid, protseduure ja süsteemseid toiminguid; andmehalduse protseduure, mis hõlmavad andmete hankimist, kogumist, analüüsimist, märgistamist, säilitamist, filtreerimist, kaevandamist, koondamist ja säilitusaega; artiklis 9 sätestatud riskijuhtimissüsteemi; artikli 72 kohase turustamisjärgse seire süsteemi loomist ja rakendamist; artikli 73 kohased intsidentide teavitamise protseduurid; pädevate asutuste, teavitatud asutuste ja teiste asjakohaste käitajatega suhtlemise korraldamist; arvestuse pidamise süsteeme ja protseduure; ressursijuhtimist, sealhulgas tarneahelaga seotud meetmeid; ning vastutusraamistikku, mis dokumenteerib kohustused kogu organisatsioonis.
Kui pakkujad on füüsilised isikud või mikroettevõtjad komisjoni soovituse 2003/361/EÜ tähenduses, on komisjonil volitused võtta vastu rakendusaktid, millega lubatakse lihtsustatud KJS-i korraldust, tunnustades proportsionaalsuse põhimõtet, mis läbib kogu määrust.
Mida see tähendab praktikas
Iga organisatsiooni jaoks, kes arendab või viib ELi turule kõrge riskitasemega tehisintellektisüsteemi, tähendab artikkel 17, et vastavus ei saa olla ühekordne tegevus, mida tehakse turule laskmise hetkel. See peab olema põimitud elavasse organisatsioonilisse süsteemi, mis haldab kogu toote elutsüklit — algstest projekteerimisottustest kuni juurutamise, seire ja lõpliku kasutusest kõrvaldamiseni.
Konkreetselt peab pakkuja suutma tõendada, et iga etapis on olemas ja neid järgitakse dokumenteeritud protseduurid. Näiteks tervishoiu tehisintellekti pakkuja ei saa lihtsalt mudelit treenida ja esitada vastavushindamiseks. Organisatsioon peab näitama, et andmete hankimine järgis dokumenteeritud halduseeskirju, et projekteerimisvalikuid kontrolliti riskikriteeriumide alusel, et järelevalve eest vastutus on määratud ja dokumenteeritud ning et olemas on mehhanism juurutamisjärgsete intsidentide tuvastamiseks ja teavitamiseks.
KJS-i nõue tähendab, et vastavus on sama palju organisatsiooniline ja protseduuriline väljakutse kui tehniline. Ettevõtted, mis juba tegutsevad ISO 9001 või valdkondlike juhtimisraamistike alusel — näiteks ISO 13485 meditsiiniseadmete puhul — leiavad olulisi kattumisi, kuid peavad siiski selgesõnaliselt kaardistama oma olemasolevad süsteemid tehisintellekti seaduse nõuete suhtes, mitte eeldama samaväärsust.
Väiksemad pakkujad saavad kasu proportsionaalsuse sättest: mikroettevõtjad võivad komisjoni rakendusaktide alusel saada lihtsustatud korraldust. See ei vabasta neid siiski põhilistest sisulisest kohustustest; see võib mõjutada ainult vormi, milles neid kohustusi dokumenteeritakse ja hallatakse.
Praktikas peaksid pakkujad käsitlema KJS-i kui keskset lülisamba, millest genereeritakse ja hallatakse kõiki muid vastavuse artefakte — tehnilist dokumentatsiooni, riskiregistreid, turustamisjärgse seire plaane, intsidentide logisid.
Peamised kohustused
- Luua dokumenteeritud kvaliteedijuhtimissüsteem enne kõrge riskitasemega tehisintellektisüsteemi turule viimist või kasutusele võtmist, hõlmates kõiki elutsükli etappe.
- Integreerida artikliga 9 nõutud riskijuhtimise protseduurid KJS-i, tagades, et riskide tuvastamine, hindamine ja maandamine on süstemaatiline ja jälgitav.
- Dokumenteerida andmehalduse tavad, mis hõlmavad hankimist, märgistamist, töötlemist, säilitamist ja säilitusaega, kooskõlas artikli 10 andmehalduse nõuetega.
- Säilitada artiklites 11 ja IV lisas täpsustatud tehnilist dokumentatsiooni KJS-i väljundina, hoides seda ajakohase ja kättesaadavana vastavushindamise ja turujärelevalve eesmärkidel.
- Rakendada KJS-i raamistikus turustamisjärgse seire ja intsidentide teavitamise protseduurid, kooskõlas vastavalt artiklitega 72 ja 73.
- Määratleda ja dokumenteerida vastutusstruktuurid, rollid ja kohustused kogu organisatsioonis, sealhulgas tarneahela järelevalve, kui tehisintellektisüsteemi panustavad kolmanda osapoole komponendid.
Seos teiste artiklitega
Artikkel 17 toimib III jaotise 3. peatükis kehtestatud kõrge riskitasemega tehisintellektisüsteemide vastavusrežiimi organisatsioonilise selgroogu. See ammutab oma sisulist sisu mitmest omavahel seotud kohustusest: artikli 9 riskijuhtimissüsteem, artikli 10 andmete ja andmehalduse nõuded ning artikli 11 tehnilise dokumentatsiooni režiim annavad otseselt teavet selle kohta, mida KJS peab hõlmama ja tootma.
KJS peab toetama ka artiklites 43 ja 44 sätestatud vastavushindamise protseduure, kuna KJS-i genereeritud dokumentatsioon moodustab peamise tõendi, mida teavitatud asutused või enesehinnangu protsessid läbi vaatavad. Artiklite 72 (turustamisjärgne seire) ja 73 (tõsistest intsidentidest teavitamine) kohaseid juurutamisjärgseid kohustusi tuleb põimida KJS-i protseduuridesse, mitte hallata eraldi ad hoc tegevustena.
Artikkel 26 kehtestab kasutuselevõtjatele kohustused, mis erinevad pakkujate KJS-i kohustustest, kuid täiendavad neid. Kui pakkujad ja kasutuselevõtjad kattuvad — näiteks kui organisatsioon arendab ja võtab kasutusele kõrge riskitasemega tehisintellektisüsteemi sisemiselt — tuleb artikli 17 KJS-i lugeda koos artikli 26 kasutuselevõtja kohustuste kontekstis, et tagada täielik katvus.
Vastavuse ajakava
EL tehisintellekti määrus jõustus 1. augustil 2024 pärast avaldamist Euroopa Liidu Teatajas. Selle sätete kohaldamine on järkjärguline:
- Veebruar 2025 — Vastuvõetamatult riskantse tehisintellekti tava keelud (artikkel 5) muutusid kohaldatavaks.
- August 2025 — Üldotstarbeliste tehisintellektimudelite kohustused (VIII jaotis) muutusid kohaldatavaks.
- 2. august 2026 — Artikkel 17 muutub kohaldatavaks III lisas loetletud kõrge riskitasemega tehisintellektisüsteemide pakkujate suhtes (süsteemid valdkondades nagu biomeetria, kriitiline taristu, haridus, tööhõive, olulised teenused, õiguskaitse, ränne ja õigusemõistmine).
- 2. august 2027 — Artikkel 17 muutub kohaldatavaks I lisa (liidu ühtlustamisõigusele alluvates toodetes olevad tehisintellekti komponendid, nagu meditsiiniseadmed, masinad ja lennundusseadmed) alla kuuluvate kõrge riskitasemega tehisintellektisüsteemide pakkujate suhtes.
Pakkujad, kelle süsteemid on juba enne neid kuupäevi turul, saavad kasu artikli 111 kohastest üleminekukorraldustest, mis võivad lükata edasi täielikke KJS-i vastavuskohustusi oluliste muudatuste ja käimasolevate vastavushindamise tsüklitega seotud tingimustel. Organisatsioonid peaksid alustama KJS-i kujundamist ja lünkade hindamisi märkimisväärselt enne kohaldatavat tähtaega, et võimaldada sisemist valideerimist, teavitatud asutuse kaasamist vajaduse korral ja iteratiivset täiustamist enne kohustuse jõustumist.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikkel 17 kohaldab kvaliteedijuhtimissüsteemi kohustust ainult kõrge riskitasemega tehisintellektisüsteemide pakkujatele, kes on määratletud määruse (EL) 2024/1689 artiklis 6 ja III lisas. Kasutuselevõtjate suhtes see konkreetne kohustus ei kehti, kuigi neil on eraldi kohustused artikli 26 alusel.
KJS peab hõlmama vähemalt: regulatiivse vastavuse strateegiat, projekteerimis- ja arendusmetodoloogiaid, andmehalduse protseduure, artikliga 9 nõutud riskijuhtimist, artikli 11 kohast tehnilist dokumentatsiooni, logimine ja arvestuse pidamist, turustamisjärgset seire artikli 72 kohaselt, intsidentide teavitamise kohustusi ning inimjärelevalve korraldust.
Artikkel 17 ei nõua mingit konkreetset sertifitseerimisstandardit. Siiski võib tunnustatud standardite, nagu ISO 9001 või valdkondlike ekvivalentide järgimine toetada vastavuse tõendamist, eriti kui artikli 40 alusel kooskõlastatud standardid hõlmavad KJS-i nõudeid.
KJS ja tehniline dokumentatsioon on tihedalt seotud. KJS peab genereerima ja säilitama artikliga 11 ja IV lisaga nõutavat tehnilist dokumentatsiooni ning dokumentatsioon ise toimib peamise tõendina, et KJS toimib vastavushindamise käigus korrektselt.
Artikkel 17 kehtib III lisas loetletud kõrge riskitasemega tehisintellektisüsteemide pakkujatele alates 2. augustist 2026 ja I lisa (valdkondlik liidu ühtlustamisõigus) alla kuuluvate kõrge riskitasemega tehisintellektisüsteemide pakkujatele alates 2. augustist 2027, arvestades artikli 111 üleminekusätteid.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.