Vastavus ei lõpe turule sisenemisel. Art. 72 nõuab kõrge riskiga AI-süsteemide pakkujatelt aktiivse järelturu seiresüsteemi hoidmist, tulemuslikkuse andmete kogumist ja tõsistest intsidentidest teatamist. Siin on see, mida peate tegema — ja millal.
Mis on järelturu seire?
Vastavushindamine ja CE-märgis on kõrge riskiga AI-süsteemi EL turule sisenemise pilet — mitte finišijoon. EL AI seaduse artikkel 72 paneb pidevkohustuse: pakkujad peavad kehtestama ja käitama järelturu seiresüsteemi (PMM), mis aktiivselt kogub, analüüsib ja reageerib reaalse maailma tulemuslikkuse andmetele kogu süsteemi operatiivse eluea jooksul.
Põhjendus on lihtne. Fikseeritud andmekomplektil valideeritud AI-süsteem võib nihkuda, kui reaalse maailma sisendid muutuvad, kasutajate elanikkond muutub või süsteemi käitamise keskkond areneb. Staatilised vastavuse hetktõmmised ei suuda seda tabada. PMM on mehhanism, mis muudab vastavuse pidevaks protsessiks, mitte ühekordiseks sündmuseks.
PMM-süsteem peab olema proportsionaalne asjakohase kõrge riskiga AI-süsteemi iseloomu ja riskidega. Miljonite tarbijate üleselt suuremahuliselt kasutusele võetud krediidihindamise mudel nõuab intensiivsemat seiret kui kitsas dokumentide klassifitseerimise tööriist, mida reguleeritud ettevõte siseselt kasutab.
Kes peab PMM-süsteemi kehtestama?
Kohustuslik:
- III lisa iseseisvate kõrge riskiga AI-süsteemide pakkujad — III lisas loetletud süsteemid, mis ei ole toote ohutuskomponendid (nt tööhõiveotsustes, haridusele juurdepääsus, õiguskaitses, krediidivõimelisuse hindamises, elutähtsa taristu haldamises kasutatav AI)
- I lisa tootesse integreeritud AI-süsteemide pakkujad — AI ohutuskomponendid, mis on integreeritud olemasolevate EL harmoneerimisaktide alusel reguleeritud toodetesse (meditsiiniseadmed, masinad, sõidukid)
Ei nõuta:
- Minimaalse riskiga AI-süsteemide pakkujatele (ametlik PMM-kohustus puudub, kuigi hea tava kehtib)
- Ainult läbipaistvusega AI-süsteemide pakkujatele (Art. 50 kohustused ei ulatu PMM-ni)
- GPAI mudeli pakkujatele — need alluvad eraldi režiimile Art. 61–62 alusel, mis hõlmab süsteemse riskiga mudelite intsidentide teatamist, kuid on struktureeritud erinevalt Art. 72 PMM-ist
Kasutuselevõtja roll on toetav, kuid mitte vabatahtlik. Kasutuselevõtjad peavad käitama AI-süsteemi vastavalt pakkuja juhistele, aktiveerima ja säilitama süsteemi sisse ehitatud logimisfunktsionaalsuse ning — kriitiliselt — teatama mis tahes tõsistest intsidentidest, millest nad teadlikuks saavad, pakkujale põhjendamatu viivituseta. Kasutuselevõtja, kes täheldab tõsist intsidenti ega teavita pakkujat, ei ole vastavas.
Järelturu seire plaan (IV lisa, punkt 12)
PMM-plaan on tehniline dokumentatsiooni (IV lisa) kohustuslik komponent. See ei saa olla üldine dokument: see peab olema süsteemile, selle kasutuselevõtu kontekstile ja tuvastatud riskidele spetsiifiline. Minimaalselt peab see määratlema:
- Andmete kogumine — milliseid tulemuslikkuse mõõdikuid jäädvustatakse (täpsus, veamäärad, otsuse tulemused), kuidas andmeid kogutakse (automatiseeritud telemetria, kasutuselevõtja aruanded, kasutaja tagasiside) ja millisel sagedusel
- Tagasisidemed — mehhanism, mille abil kasutuselevõtjad saavad tulemuslikkuse probleemidest, kõrvalekalletest või intsidentidest pakkujale struktureeritult ja õigeaegselt teatada
- Täpsuse seire — kuidas süsteemi tulemuslikkust jälgitakse valideeritud võrdlusaluse suhtes, mis kasutati vastavushindamisel, sealhulgas mis tahes nihketuvastusmeetodoloogia
- Eelarvamuste seire — süsteemide puhul, kus demograafilised tulemused on olulised (tööhõive, krediit, õiguskaitse), kaitstud rühmade statistiliste erinevuste pidev seire, dokumenteeritud metoodika ja lävega
- Uuenduspäästikud — konkreetsed kvantitatiivsed või kvalitatiivsed läved, mis käivitavad parandusmeetmed, sealhulgas mudeli ümberõpetamise, parameetrite kohandamise või kasutusele võtmise peatamise
- Ülevaatuse ajakava — kui tihti PMM-plaani ennast üle vaadatakse ja uuendatakse, tagades, et see jääb sobivaks eesmärgiks, kuna kasutuselevõtu kontekst areneb
PMM-plaani tuleb hoida ajakohane. Aegunud plaan, mis enam ei kajasta tegelikku seire metoodikat, ei rahulda Art. 72 nõudeid.
Tõsiste intsidentide teatamine (Art. 73)
Mis on tõsine intsident?
Artikkel 73 määratleb tõsise intsidendi kui mis tahes intsidendi või kõrge riskiga AI-süsteemi tõrke, mis viib otseselt või kaudselt:
- Surmani või tõsise tervisekahjuni (füüsiliselt või psühholoogiliselt)
- Tõsise ja pöördumatu kahjustuseni elutähtsa taristu juhtimises ja käitamises
- Tõsise põhiõiguste rikkumiseni (privaatsus, mittediskrimineerimine, õiglane menetlus)
- Olukorrani, kus isik napilt vältis mõnda ülaltoodut
Tähtis on, et AI seadus ei nõua, et AI-süsteemiga seostatav põhjuslik seos oleks enne teatamist tuvastatud. Mõistlik kahtlus, et AI-süsteem aitas kaasa kahjule või jättis selle ärahoidmata, piisab kohustuse käivitamiseks. Pakkujad, kes ootavad kindlust enne teatamist, riskivad mittevastavusega.
Teatamise tähtajad
| Kellelt | Kellele | Tähtaeg |
|---|---|---|
| Kasutuselevõtja | Pakkuja | Põhjendamatu viivituseta (teadlikuks saamisel) |
| Pakkuja | Riiklik turujärelevalveasutus | 15 kalendripäeva jooksul teadlikuks saamisest |
| Pakkuja (avaliku julgeoleku risk) | Riiklik turujärelevalveasutus | 24 tunni jooksul teadlikuks saamisest |
| Pakkuja (uus ilmnev süsteemne riskmuster) | Riiklik turujärelevalveasutus | Põhjendamatu viivituseta (konkreetset intsidenti pole vaja) |
15-päevane kell käivitub, kui pakkuja teadlikuks saab intsidendist — mis praktikas tähendab, kui kasutuselevõtja neid teavitab. Pakkujad peaksid kujundama oma kasutuselevõtja teavitamise menetlused nii, et teave jõuab nendeni piisavalt kiiresti allpool oleva teatamise tähtaja täitmiseks.
Mida intsidentide aruanne peab sisaldama
Nõuetelevastavas intsidentide aruandes riiklikule turujärelevalveasutusele peaks sisalduma:
- Süsteemi tuvastamine: nimi, versioon, EL andmebaasiregistreerimise number
- Intsidendi kirjeldus: mis juhtus, milline kahju tekkis või napilt välditi, kuupäev ja asukoht
- Mõjutatud isikud: mõjutatud kasutajate või kolmandate isikute arv ja kategooriad (anonüümitud vastavalt GDPR-i nõuetele)
- Esialgne põhjuslik analüüs: pakkuja praegune arusaam intsidendi tekkimisest, selgelt märgistatud esialgsena
- Võetud kohesed parandusmeetmed või ohutusmeetmed: kõik juba astutud sammud edasise kahju või riski piiramiseks (nt mõjutatud funktsionaalsuse peatamine, kasutuselevõtja teatised)
- Kontaktpunkt: asutusega järelotstarbeks vastutav isik või meeskond
Aruanne peaks olema faktiline ja proportsionaalne. Esialgseid aruandeid võib täiendada järelaruannetega, kui uurimine edeneb.
Kohustuslik logimine (Art. 12)
Artikkel 12 nõuab, et kõrge riskiga AI-süsteemid oleksid kavandatud ja ehitatud logide automaatse genereerimise võimalusega piisava detailsusastmega, mis võimaldab:
- Järelturu seiret vastavalt Art. 72-le
- Sündmuste jälgimist, mis viisid tõsise intsidendini
- Uurimist riiklike asutuste poolt
See on pakkujale pandud disailinõue. Pakkuja peab enne turule laskmist logimissuutlikkuse süsteemi sisse ehitama.
Aktiveerimise ja säilitamise kohustus langeb kasutuselevõtjale. Kasutuselevõtjad ei tohi logimisfunktsionaalsust välja lülitada ja peavad logisid säilitama pakkuja juhistes ja tehnilises dokumentatsioonis määratud perioodi jooksul. Kui konkreetset säilitusperioodi ei ole määratud, tuleks logisid säilitada süsteemi operatiivse elutsüklile ja mis tahes kohaldatavatele sektori-spetsiifilistele nõuetele (nt DORA või MiFID II alusel finantsteenuste arvestuse pidamise eeskirjad) vastavalt perioodi jooksul.
Olulised muudatused ja uuesti hindamine
Mitte iga muudatus kasutusele võetud AI-süsteemis ei käivita uut vastavushindamist. Seadus eristab väiksemaid uuendusi ja olulisi muudatusi.
Muudatus on oluline — ja nõuab uut vastavushindamist ja uuendatud tehnilist dokumentatsiooni — kui see:
- Muudab süsteemi kavandatud eesmärki (isegi osaliselt)
- Hõlmab olulist muudatust arhitektuuris või treenimismetoodikas
- Kasutab uusi treeningandmeid, mis oluliselt mõjutavad süsteemi tulemuslikkust viisidel, mis võivad mõjutada vastavusega seotud käitumist
- Halvendab tulemuslikkust riskijuhtimisdokumentatsioonis määratud lävede taha viisidel, mis mõjutavad ohutust või põhiõiguseid
Väiksemad uuendused — turvaparandused, veaparandused, mis parandavad selgelt tuvastatud defekte muutmata vastavusega seotud käitumist, kosmeetilised liidese muudatused — ei nõua täielikku uuesti hindamist. Kuid need tuleb dokumenteerida ja pakkuja peab hoidma kirjalikku hinnangut, mis kinnitab, et muudatus ei ole oluline. See dokument on turujärelevalveasutuste inspekteerimisele avatud.
Praktiline rakendamise kontrollnimekiri
Järgmine kontrollnimekiri kajastab Art. 72, Art. 73 ja Art. 12 alusel minimaalseid tegevusnõudeid. See ei asenda juriidilist nõu, kuid pakub lüngaanalüüsi lähtekohta.
- [ ] PMM-plaan dokumenteeritud tehnilises toimikus (IV lisa, punkt 12), mis on konkreetne süsteemile ja selle kasutuselevõtu kontekstile
- [ ] Automaatne logimissuutlikkus kavandatud ja süsteemi sisse ehitatud enne turule laskmist
- [ ] Kasutuselevõtja juhised sisaldavad selget, kirjalikku intsidentide teatamise menetlust koos eskalatsiooni kontaktiga
- [ ] Intsidentide teatamise kontaktpunkt kehtestatud siseselt ja teavitatud asjaomasele riiklikule turujärelevalveasutusele
- [ ] Eelarvamuste ja täpsuse seire protsessid või töölauad määratletud, dokumenteeritud metoodika ja lävega
- [ ] Parandusmeetmete eskalatsiooniläved dokumenteeritud ja seotud riskijuhtimissüsteemiga
- [ ] Olulise muudatuse hindamise menetlus kehtestatud, koos otsuste registri malliga iga uuenduse jaoks
- [ ] Logide säilitamise poliitika määratletud, kasutuselevõtjatele edastatud ja joondatud sektori-spetsiifiliste säilitamiseeskirjadega
Ristviited: Tehniline dokumentatsioon — III lisa kõrge riskiga AI-süsteemid — Pakkujad vs. kasutuselevõtjad
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Art. 72 alusel järelturu seire kohustused kehtivad ainult kõrge riskiga AI-süsteemide pakkujatele (I lisa ja III lisa). GPAI mudelite pakkujatel on paralleelsed, kuid erinevad kohustused, sealhulgas intsidentide teatamine süsteemse riskiga mudelite puhul. Minimaalse riskiga ja ainult läbipaistvusega süsteemidel puuduvad ametlikud järelturu seire nõuded.
Tõsine intsident on mis tahes intsident või tõrge, mis viib otseselt või kaudselt: surmani, tõsise tervisekahjuni, tõsise ja pöördumatu kriitilise taristu kahjustuseni, tõsise põhiõiguste rikkumiseni. Samuti hõlmab see peaaegu juhtumeid, kus inimene vältis vaevumisi mõnda ülaltoodust. AI seadus ei nõua põhjusliku seose tuvastamist — piisab mõistlikust kahtlusest teatamiskohustuse käivitamiseks.
Pakkujad peavad teatama tõsistest intsidentidest asjakohasele riiklikule turujärelevalveasutusele põhjendamatu viivituseta ja igal juhul 15 päeva jooksul alates teadlikuks saamisest. Avaliku julgeoleku ohtu hõlmavate intsidentide puhul on tähtaeg 24 tundi. Kasutuselevõtjad peavad teavitama pakkujaid tõsistest intsidentidest põhjendamatu viivituseta.
Jah. Kui uuendus moodustab 'olulise muudatuse' — muutes kavandatud eesmärki, oluliselt halvendades tulemuslikkust või muutes riskijuhtimise meetmeid — nõuab see uut vastavushindamist. Väiksemad veaparandused ja turvaparandused üldiselt ei nõua. Pakkuja peab dokumenteerima kõik uuendused ja hindama, kas need käivitavad uuesti hindamise.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.