Kindlustus — EL-i tehisintellekti määruse nõuete täitmine

EL-i tehisintellekti määruse kohustused kindlustuse TI-süsteemidele: aktuaarmudelid, kindlustusmatemaatika, kahjunõuete hindamine ja füüsiliste isikute hindade kujundamise TI. Hõlmab Annex III kategooria 5(b) ja Solventsus II koostoimet.

Kindlustus ja EL-i tehisintellekti määrus — aktuaarmatemaatiline väljakutse

EL-i tehisintellekti määrus (Regulation (EU) 2024/1689) kehtestab oma kõrgeima vastavuskohustuse TI-süsteemidele, mis mõjutavad füüsiliste isikute võimet saada juurdepääsu olulistele teenustele ja finantstoodetele. Kindlustus on selle murelõhe keskmes. TI-süsteemid, mis määravad, kas füüsiline isik saab mootorsõiduki-, tervishoiu-, elu- või varakindlustust — ja mis hinnaga —, on paljudes konfiguratsioonides kõrge riskiga TI-süsteemid määruse Annex III punkti 5(b) alusel.

Kindlustussektori määravaks väljakutseks on aktuaarmatemaatika. Üle sajandi on kindlustuse hinnakujundus põhinenud riski statistilisel modelleerimisel rahvastikukohortide lõikes. EL-i tehisintellekti määrus ei keela aktuaarset diferentseerimist, kuid kehtestab sisulised kohustused TI-süsteemidele, mille kaudu sellist diferentseerimist teostatakse, kui need süsteemid tegutsevad üksiku füüsilise isiku tasandil. Üleminek traditsioonilistelt kogumismudelitelt TI-põhisele individuaalsele riskiskoorimisele — mida võimaldavad telemeetria, tervishoiuandmete vood ja käitumisanalüütika — on täpselt see, mis käivitab määruse kõrge riskiga režiimi.

EL-is tegutsevad kindlustusandjad peavad seetõttu läbi viima süstemaatilise klassifitseerimisharjutuse: millised nende TI-süsteemid toodavad individualiseeritud väljundeid, mis määravad või mõjutavad oluliselt füüsiliste isikute kindlustusotsuseid? See klassifitseerimisharjutus ei ole pelgalt vastavusformaalsus. Selle tulemus määrab, kas kindlustusandja kui kasutaja Art. 26 alusel (või pakkujana Art. 16 alusel) kannab kohustusi seoses andmehalduse, tehnilise dokumentatsiooni, inimjärelevalve, vastavushindamise ja registreerimisega kõrge riskiga TI EL-i andmebaasis.

Määruse kohaldamist kindlustusele raskendab veelgi sektori olemasolev regulatiivne tihedus. Solventsus II direktiiv (2009/138/EÜ), kindlustusvahenduse direktiiv (IDD) (EL) 2016/97, GDPR ja EIOPA põhimõttepõhised TI suunised (2021) kehtestavad igaüks nõudeid aktuaarmodelleerimisele, kliendikäsitlusele ja andmekasutusele. Need raamistikud kattuvad EL-i tehisintellekti määruse kohustustega, kuid ei asenda neid. Vastavusprogrammid peavad käsitlema kõiki neid samaaegselt.

Kõrge riskiga TI kasutusalad kindlustuses

Aktuaarsed hinnakujundusmudelid füüsilistele isikutele

Annex III punkti 5(b) alusel klassifitseeritakse kõrge riskiga TI-süsteemiks iga TI-süsteem, mida kasutatakse füüsiliste isikute krediidivõimekuse hindamiseks või füüsiliste isikute klassifitseerimiseks nende riskiprofiili alusel kindlustusteenustele juurdepääsu eesmärgil. See hõlmab aktuaar-TI süsteeme, mis:

Genereerivad individuaalse riskiskoori, mida kasutatakse nimega poliisiomaniku mootorsõiduki kindlustusmakse määramiseks
Klassifitseerivad füüsilise isiku terviseseisundit või suremuse riski, et määrata elukindlustuskaitse saamise õigus või kindlustusmakse
Toodavad varakindlustuse hinnakujundusotsuse konkreetsele füüsilisele isikule omistatavate TI-hinnatud riskitegurite alusel

Kriitiline künnis on üksiku füüsilise isiku mõju. Aktuaar-TI, mida kohaldatakse juriidilistele isikutele — ettevõtte vastutus, kaubavedude kindlustus, tootmisomand —, ei käivita Annex III kat 5(b), välja arvatud juhul, kui füüsilisi isikuid mõjutatakse sisuliselt samaväärsel viisil. Kindlustusandjad, kes kirjutavad nii isiklikke kui ka ärilisi kindlustusliine, peavad klassifitseerima iga TI-süsteemi selle järgi, millisele elanikkonnale see toimib.

Mootorsõiduki kindlustuse telemeetria ja sõitmiskäitumise järgi arvestavad süsteemid

Telemaatikal põhinevad kindlustuse hinnakujundussüsteemid, mis koguvad sõitmiskäitumise andmeid — kiirus, kiirendus, pidurdamismustrid, kellaajapõhine kasutus — ja kasutavad TI-mudeleid, et genereerida nimega füüsilisele isikule individuaalne kindlustusmakse, on paradigmaatiline kõrge riskiga kindlustuse TI kasutusjuhtum. Need süsteemid vastavad kõigile Annex III kat 5(b) elementidele: need hindavad üksikuid füüsilisi isikuid, toodavad väljundeid, mis määravad juurdepääsu kindlustusele ja selle hinna, ning nende TI-põhine individualiseerimine on täpselt see, mis eristab neid traditsioonilistest aktuaarsetest kogumismudelitest.

Telemaatika skoorimootorite pakkujad — olenemata sellest, kas need on välja töötatud ettevõttesiseselt või litsentsitud kolmanda osapoole müüjalt — peavad järgima Art. 9 (riskijuhtimine), Art. 10 (koolituse ja valideerimise andmestiku andmehaldus), Art. 11 koostoimes Annex IV-ga (tehniline dokumentatsioon), Art. 12 (logimine), Art. 13 (läbipaistvus), Art. 14 (inimjärelevalve) ja Art. 15 (täpsus, vastupidavus, küberturvalisus).

Elu- ja tervisekindlustuse kindlustusmatemaatika TI

TI-süsteemid, mida kasutatakse elukindlustuse kindlustusmatemaatikas, et hinnata üksikute taotlejate pikaealisuse või suremuse riski — määrates, kas kindlustuskaitse pakutakse ja mis kindlustusmaksega —, on kõrge riskiga Annex III kat 5(b) alusel, kui need toodavad individualiseeritud hinnanguid füüsilistele isikutele. See hõlmab TI-süsteeme, mis töötlevad terviseankeedi vastuseid, meditsiinilisi andmeid (kus seaduslikult kättesaadav) või kantavate seadmete andmevoogusid, et genereerida riskiskoor, mis mõjutab kindlustusmatemaatika otsuseid.

Tervisekindlustuse TI, mis segmenteerib üksikuid taotlejaid terviseriskiprofiili järgi hinnakujunduse või saamise õiguse määramiseks, allub samale klassifikatsioonile. Kindlustusandjad peavad tähelepanu pöörama GDPR Art. 9 (terviseandmed erlikategooriliste andmetena) ja tehisintellekti määruse Art. 10 andmehalduse nõuete lõikumisele: terviseandmeid sisaldavad koolitusandmestikud nõuavad selgesõnalist GDPR Art. 9(2) õiguslikku alust ning see alus peab olema dokumenteeritud Annex IV nõutavas tehnilises dokumentatsioonis.

Kahjunõuete hindamise ja arveldamise TI

Kahjunõuete TI klassifikatsioon sõltub selle funktsionaalsest rollist kahjunõuete otsustamise töövoos. Tuleb eristada kahte stsenaariumi:

TI, mis mõjutab oluliselt kahjunõude tulemust füüsilise isiku jaoks: kui TI-süsteem hindab kahjunõuet ja selle väljund toob otse kaasa füüsilisele isikule makstava kindlustushüvitise vähendamise, tagasilükkamise või tingimusliku maksmise — isegi kui nominaalselt vaatab inimene üle —, on süsteem tõenäoliselt kõrge riskiga Annex III kat 5(b) alusel, kuna see määrab sisuliselt füüsilise isiku juurdepääsu kindlustushüvitistele.
TI, mis märgib kahjunõuded inimuurimiseks: kui TI väljund on üks sisend paljude hulgas, mida arvestab kahjunõudeid käitlev töötaja, kes teeb iseseisva sisulise otsuse, ja töötajal on volitused ja teave TI hinnangu arvestamata jätmiseks, ei pruugi süsteem olla kõrge riskiga. See eristus peab olema dokumenteeritud ja operatiivselt tõeline, mitte nominaalne.

Kindlustuspettuste tuvastamine

TI-süsteemid, mida kasutatakse potentsiaalselt petturlike kahjunõuete tuvastamiseks, paiknevad olulisel piirijoonel. Kui pettuste tuvastamise TI käivitab automaatse ebasoovitava toimingu — makse peatamise, poliisi tühistamise —, mis mõjutab füüsilist isikut ilma sisulise inimjärelevalveta, on see tõenäoliselt kõrge riskiga. Kui TI genereerib üksnes pettuse riskimärgi, mida seejärel uurib spetsialistist töötaja, kellel on täielik otsustuspädevus, ei pruugi see nii olla. Kindlustusandjad peaksid dokumenteerima pettuste TI töövoo üksikasjalikult ja hindama, kas operatiivne inimjärelevalve on sisuline või nominaalne.

Pakkuja vs kasutaja kindlustuses

Rollide eristamine

EL-i tehisintellekti määrus kehtestab erinevad kohustuste kogumid sõltuvalt sellest, kas organisatsioon on pakkuja (arendab ja viib TI turule) või kasutaja (kasutab kolmanda osapoole TI-süsteemi professionaalses kontekstis). Kindlustusandjate jaoks on see eristus äriliselt oluline:

Kindlustusandja, kes arendab oma telemaatika skoorimootorit või aktuaarset hinnakujunduse TI-d, on pakkuja Art. 3(3) alusel ja kannab kõiki pakkuja kohustusi Art. 16 alusel: kvaliteedijuhtimissüsteem, tehniline dokumentatsioon, EL-i vastavusdeklaratsioon, CE-märgis, registreerimine EL-i andmebaasis ja turustamisjärgne järelevalve.
Kindlustusandja, kes litsentsib aktuaarset TI-tarkvara müüjalt, on kasutaja Art. 3(4) alusel ja kannab kasutaja kohustusi Art. 26 alusel: rakendamine kooskõlas pakkuja juhenditega, inimjärelevalve, logide säilitamine ja intsidentidest teatamine.
Kindlustusandja, kes muudab litsentsitud TI-süsteemi viisidel, mis muudavad selle ettenähtud otstarvet — näiteks rakendades telemaatika mudelit valideeritud ulatusest väljaspool olevale poliisiomanike populatsioonile —, võib reklassifitseerida pakkujaks Art. 25(1) alusel kõigi pakkuja kohustistega.

Kasutaja hoolsuskohustus aktuaarsete müüjate TI puhul

Kindlustusandjad, kes kasutavad kolmanda osapoole aktuaar-TI süsteeme, peavad enne ja pärast kasutuselevõttu teostama struktureeritud hoolsuskohustuse:

Enne kasutuselevõttu: Kontrollida, et TI-süsteem on registreeritud kõrge riskiga TI EL-i andmebaasis Art. 49 alusel, kannab CE-märgist ja on varustatud EL-i vastavusdeklaratsiooniga. Nõuda ja vaadata läbi tehnilise dokumentatsiooni kokkuvõte, sealhulgas täpsuse ja kallutatuse mõõdikud, valideeritud kasutusjuhtumi ulatus ja ettenähtud kasutusotstarbe avaldus.

Lepingulised kaitsed: Hankimislepingud TI müüjatega peaksid täpsustama: müüja kohustuse teavitada kindlustusandjat olulistest uuendustest või ümberhindamistest; müüja kohustuse esitada nõudmisel uuendatud turustamisjärgse järelevalve andmeid; ning lubatud kasutusulatuse piirid — koos selge mehhanismiga, mille alusel kindlustusandja saab taotleda ulatuse laiendamise hindamist, mitte tegutseda omavoliliselt.

Jätkuv järelevalve: Art. 26(5) alusel peavad kasutajad jälgima kõrge riskiga TI-süsteemide toimimist nende operatiivses kontekstis. Aktuaar-TI puhul tähendab see mudeli toimivuse jälgimist tegelike kahjunõuete tulemuste suhtes, jaotusnihke jälgimist koolituspopulatsiooni ja reaalajas toimiva poliisiomanike populatsiooni vahel ning oluliste kõrvalekallete edastamist müüjale uurimiseks.

Koostoime Solventsus II, IDD ja GDPRiga

Solventsus II — haldussüsteem ja ORSA

Solventsus II direktiivi 2. samba nõuded kehtestavad haldussüsteemi aktuaar- ja riskijuhtimisfunktsioonide üle. Omariski ja maksevõime hindamine (ORSA) nõuab dokumenteeritud riskituvastamist, stressitestimist ja sisemudelite juhtimist. Need nõuded kattuvad oluliselt EL-i tehisintellekti määruse Art. 9 riskijuhtimissüsteemi ja Annex IV tehnilise dokumentatsiooni mudelite valideerimise komponentidega.

Kindlustusandjad peaksid läbi viima struktureeritud vajakajäämiste analüüsi, et tuvastada, milliseid Solventsus II halduse artefakte saab tehisintellekti määruse nõuete täitmiseks kasutada ja millised lüngad jäävad. Peamised lüngad hõlmavad tavaliselt: TI-spetsiifiline kallutatuse testimine ja õigluse hindamine (mida Solventsus II ei käsitle); Art. 10 andmestiku dokumentatsioon koolituse ja valideerimise andmete jaoks (mis ulatub kaugemale Solventsus II mudelite valideerimise ulatusest); Art. 12 TI-süsteemi toimimise automaatne logimine; ja Art. 14 inimjärelevalve mehhanismi kujundamine. Kui Solventsus II alusel heakskiidetud sisemudel sisaldab TI-komponente, tuleb selle mudeli haldusraamistikku laiendada, et täita tehisintellekti määruse kohustused enne süsteemi seaduslikku kasutuselevõttu kõrge riskiga režiimis.

Kindlustusvahenduse direktiiv — õiglus ja läbipaistvus

IDD (EL) 2016/97 nõuab, et kindlustusvahendust teostataks kliendi parimates huvides, esitades teavet arusaadaval viisil. Kui TI-d kasutatakse vahendusprotsessis — näiteks digitaalsel platvormil, mis genereerib personaliseeritud tootesoovitusi või hinnapakkumisi —, ühtivad IDD-i õigluse ja avalikustamise kohustused EL-i tehisintellekti määruse Art. 13 läbipaistvusnõuetega. Kindlustusandjad peaksid integreerima tehisintellekti määruse avalikustamiskohustused IDD tooteavalikustamise dokumentidesse (IPID-d) ja põhiteabedokumentidesse, tagades, et TI rolli vahendus- või hinnakujundusotsuses kommunikeeritakse poliisiomanikule arusaadavas keeles.

GDPR — erlikategoorilised andmed ja automatiseeritud otsuste tegemine

GDPR Art. 9 klassifitseerib terviseandmed, geneetilised andmed ja isiku füüsilist või vaimset terviseseisundit puudutavad andmed erlikategooriliste andmetena, mille töötlemine on keelatud ilma konkreetse erandita. Elu- ja tervisekindlustusandjad, kes kasutavad selliseid andmeid TI koolituses või skoorimises, peavad tuvastama ja dokumenteerima kehtiva Art. 9(2) õigusliku aluse — enamasti selgesõnaline nõusolek Art. 9(2)(a) alusel või liikmesriigi seaduse erand Art. 9(2)(b) alusel — iga andmekategooria ja töötlemise eesmärgi jaoks.

GDPR Art. 22 piirab täielikult automatiseeritud otsuseid, millel on õiguslikud või samaväärselt olulised tagajärjed füüsilistele isikutele. TI kindlustusmatemaatika otsus, mis automaatselt lükkab tagasi kindlustuskaitse taotluse, või TI kahjunõude otsus, mis automaatselt vähendab hüvitismakset ilma inimese osaluseta, kujutab endast ainult automatiseeritud otsustamist Art. 22 alusel. Andmesubjektil on õigus: inimese poolt otsuse läbivaatamisele; selgitusele automatiseeritud otsust mõjutanud peamiste tegurite kohta; ja otsuse tulemuse vaidlustamisele. Kindlustusandjad peavad ehitama need õigused oma kliendile suunatud protsessidesse ja tagama sisemiste läbivaatamismehhanismide sisuline toimimine.

EIOPA tehisintellekti suunised

EIOPA põhimõttepõhised suunised TI kasutamise kohta kindlustuses (2021) kehtestasid sektori ootused läbipaistvuse, mittediskrimineerimise, andmekvaliteedi ja mudeli selgitatavuse osas enne tehisintellekti määruse jõustumist. EIOPA töötab välja sektorispetsiifilisi rakendusjuhiseid EL-i tehisintellekti määruse jaoks ning kindlustusandjad peaksid EIOPA väljundeid tähelepanelikult jälgima. Riiklikud järelevalveasutused — ACPR (Prantsusmaa), BaFin (Saksamaa), IVASS (Itaalia), DNB (Madalmaad) — rakendavad järelevalveootusi kooskõlas EIOPA suunistega ning sektorispetsiifilised küsimuste ja vastuste väljaanded on oodata määruse rakendamisperioodil.

Täitmise tagamine — EIOPA ja riiklikud järelevalveasutused

EIOPA järelevalveline roll

EIOPA (Euroopa Kindlustus- ja Tööandjapensionide Järelevalve Amet) ei oma otsest täitmise pädevust EL-i tehisintellekti määruse alusel, mis määrab riiklikud järelevalveasutused pädevateks asutusteks Art. 70 alusel. Siiski koordineerib EIOPA järelevalvelist konvergentsi EL-i kindlustusregulaatorite vahel ning annab välja siduvaid ja mittesiduvaid tehnilisi standardeid. EIOPA TI-halduse ootused — väljendatud suuniste, arvamuste ja järelevalveavalduste kaudu — kujundavad seda, kuidas riiklikud järelevalveasutused rakendavad tehisintellekti määruse nõudeid kindlustuskontekstis. Kindlustusandjad peaksid käsitlema EIOPA väljundeid autoriteetse sektorijuhisena isegi siis, kui need ei ole õiguslikult siduvad.

Riiklikud kindlustusjärelevalveasutused TI pädevate asutustena

Suurimate EL-i turgude riiklikud kindlustusjärelevalveasutused on valmis täitma tehisintellekti määruse pädevate asutuste funktsioone kindlustuse TI-süsteemide üle:

ACPR (Autorité de contrôle prudentiel et de résolution) Prantsusmaal, mis on avaldanud järelevalveootused TI kohta finantsteenustes
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Saksamaal, kellel on väljakujunenud kogemus algoritmilise otsustamise järelevalves
IVASS (Istituto per la Vigilanza sulle Assicurazioni) Itaalias
DNB (De Nederlandsche Bank) Madalmaades

Neil asutustel on volitused Art. 74 ja Art. 75 alusel nõuda juurdepääsu koolitusandmetele, tehnilisele dokumentatsioonile ja logidele; viia läbi kohapealseid inspektsioone; anda korraldusi parandusmeetmeteks; ja soovitada rahalisi karistusi nõuete mittetäitmise eest. Trahvid mittevastavate kõrge riskiga TI-süsteemide turule laskmise eest võivad ulatuda 30 miljoni euroni või 6%-ni ülemaailmsest aastasest käibest, olenevalt sellest, kumb on suurem.

Kahekordne järelevalve: tehisintellekti määrus ja sektoriregulatsioon

Kindlustusjärelevalveasutused, kes teostavad tehisintellekti määruse täitmise järelevalvet, teevad seda oma laiema usaldatavusjärelevalve ja käitumisvolituste kontekstis. Tehisintellekti määruse uurimine kallutatud aktuaarse hinnakujundamismudeli osas võib samaaegselt hõlmata Solventsus II 3. samba aruandluskohustusi, IDD käitumisnõudeid ja andmekaitseasutuse poolt GDPR täitmise tagamist. Kindlustusandjad peaksid eeldama, et järelevalvesekkumised on funktsionaalselt ristuvad, ning kujundama oma vastavusprogrammid vastavalt.

Vastavuse tegevuskava kindlustusandjatele

1. samm: TI-süsteemide inventuur ja klassifikatsioon

Koostada kõikehõlmav inventuur kõigist TI-süsteemidest, mida kasutatakse: kindlustusmaksete hinnakujunduses; kindlustuskaitse vastuvõtmisel või tagasilükkamisel; kahjunõuete hindamisel või maksmisel; pettuste tuvastamisel; klientide riskiskoorimises; ning vahenduses või tootesoovitustes. Iga süsteemi puhul hinnata, kas see toodab väljundeid, mis määravad või mõjutavad oluliselt üksikute füüsiliste isikute tulemusi. Seda lävendit ületavad süsteemid vajavad klassifitseerimise hindamist Annex III kat 5(b) suhtes.

2. samm: Pakkuja/kasutaja määratlemine

Iga kõrge riskiga TI-süsteemi puhul määrata, kas kindlustusandja on pakkuja, kasutaja või — kriitiliselt — kas kasutamine väljaspool müüja valideeritud ulatust on käivitanud reklassifitseerimise pakkujaks. Kaasata õigusnõustaja piiripealsete konfiguratsioonide hindamiseks, eriti kus ettevõttesiseseid andmeid või poliisiomanike populatsioone on kasutatud litsentsitud mudeli peenhäälestamiseks või laiendamiseks.

3. samm: Vajakajäämiste analüüs tehisintellekti määruse kohustuste suhtes

Kaardistada olemasolevad Solventsus II halduse artefaktid, ORSA dokumentatsioon ja sisemudelite valideerimisprotsessid tehisintellekti määruse nõuete suhtes Art. 9 (riskijuhtimine), Art. 10 (andmehaldus), Art. 11 ja Annex IV (tehniline dokumentatsioon), Art. 12 (logimine), Art. 13 (läbipaistvus), Art. 14 (inimjärelevalve) ja Art. 15 (täpsus, vastupidavus, küberturvalisus). Dokumenteerida tuvastatud lüngad ja määrata parendusvastutus.

4. samm: Andmehaldus ja GDPR-i ühtlustamine

Iga kõrge riskiga TI-süsteemi puhul auditeerida koolituse ja valideerimise andmestikke. Dokumenteerida andmete päritolu, kogumismeetodid, representatiivsus asjakohaste poliisiomanike demograafiliste rühmade lõikes ja teadaolevad piirangud. Tagada, et GDPR-i õiguslikud alused on olemas kõigi isikuandmete jaoks ning vajaduse korral erlikategooriliste andmete jaoks. Integreerida Art. 10 dokumentatsioon Annex IV tehnilisse toimikusse.

5. samm: Inimjärelevalve mehhanismi kujundamine

Kujundada operatiivselt realistlikud inimjärelevalve mehhanismid iga kõrge riskiga TI kasutuselevõtu jaoks. Kindlustusmatemaatika TI puhul tähendab see, et kvalifitseeritud kindlustusmatemaarikul on teave, volitused ja töövoo aeg TI soovituse läbivaatamiseks ja sellest kõrvalekaldumiseks enne poliisiomaniku mõjutamist. Kahjunõuete TI puhul tähendab see, et kahjunõudeid käitleval töötajal on sisuline läbivaatamispädevus — mitte nominaalne kinnitamisfunktsioon. Dokumenteerida järelevalve kujundus ja lisada see tehnilisse dokumentatsiooni.

6. samm: Müüja hoolsuskohustus ja lepingute parandamine

Kolmanda osapoole aktuaar-TI süsteemide puhul rakendada eespool kirjeldatud eelkasutuselevõtu hoolsuskohustuse protsess ja vaadata läbi olemasolevad müüjalepingud. Kui lepingutes puuduvad sätted, mis nõuaksid müüjalt tehisintellekti määruse nõuete täitmise dokumentatsiooni hoidmist, kindlustusandja teavitamist olulistest muudatustest ja TI-süsteemi toimivuse auditeerimise lubamist, parandada need lepingumuudatuste või läbirääkimiste kaudu. Kehtestada sisemised protseduurid TI-süsteemi toimivuse jälgimiseks reaalajas toimivas poliisiomanike populatsioonis ning oluliste kõrvalekallete teatamiseks müüjatele ja vajaduse korral järelevalveasutustele.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kas meie mootorsõiduki kindlustuse hinnaalgoritm on EL-i tehisintellekti määruse alusel kõrge riskiga?

Mootorsõiduki kindlustuse hinnaalgoritm on tõenäoliselt kõrge riskiga Annex III punkti 5(b) alusel, kui see hindab üksikute füüsiliste isikute krediidivõimekust või riskiprofiili kindlustusmaksete taseme või kindlustuskaitse saamise õiguse määramiseks. Telemaatikal põhinevad sõitmiskäitumise järgi arvestavad süsteemid, mis hindavad üksiku juhi käitumist ja kasutavad seda hinnangut nimega poliiside kindlustusmaksete määramiseks, kuuluvad selgelt sellesse kategooriasse. Traditsioonilised aktuaarmudelid, mis paigutavad isikuid aktuaarklassidesse ilma TI-põhise individuaalse hindamiseta, jäävad hallemale alale, kuid iga TI-komponent, mis genereerib individualiseeritud skoori füüsilise isiku poliisi hinnastamiseks või vastuvõtmiseks, tuleks hinnata Art. 6(2) alusel koostoimes Annex III kat 5(b)-ga.

Kas Solventsus II ORSA katab tehisintellekti määruse riskijuhtimissüsteemi nõuded?

Ei, kuid märkimisväärset kattuvust esineb, mida tuleks ära kasutada. EL-i tehisintellekti määruse Art. 9 nõuab riskijuhtimissüsteemi, mis tuvastab, analüüsib ja maandab TI-süsteemi elutsükli vältel ettenähtavaid riske. Solventsus II 2. samba omariski ja maksevõime hindamise (ORSA) ning haldussüsteemi nõuded nõuavad dokumenteeritud riskituvastamist ning aktuaar- ja hinnakujundusprotsesside sisemudelite juhtimist. Solventsus II jaoks välja töötatud haldusstruktuurid, dokumenteeritud riskihinnangud ja mudelite valideerimise protseduurid võivad moodustada TI-määruse nõuete täitmise aluse, kuid neid tuleb täiendada TI-spetsiifiliste kohustuste osas: kallutatuse testimine, andmehaldus Art. 10 alusel, automaatne logimine Art. 12 alusel ja inimjärelevalve Art. 14 alusel. Vajakajäämiste analüüs Annex IV tehnilise dokumentatsiooni nõuete suhtes on hädavajalik.

Mida peavad kindlustusandjad poliisiomanikele TI kasutamise kohta kindlustusmatemaatika või hinnakujundusotsustes avalikustama?

Kui kõrge riskiga TI-süsteemi kasutatakse füüsilist isikut mõjutava otsuse tegemiseks või oluliseks mõjutamiseks — sealhulgas kindlustuskaitse vastuvõtmine, tagasilükkamine või hinnastamine —, peab kasutaja esitama füüsilisele isikule sisulise teabe EL-i tehisintellekti määruse Art. 26(6) alusel ning kui kohaldub GDPR Art. 22 alusel automatiseeritud otsuste tegemine, kehtivad ka GDPR Art. 13–15 ja 22 andmesubjekti õiguste sätted. Poliisiomanikul on õigus saada selgitus automatiseeritud otsuste loogika kohta, taotleda inimlikku läbivaatamist ning vaidlustada otsuse tulemust. Kindlustusandjad, kes kasutavad TI-põhiseid kindlustusmatemaatika vahendeid, peavad seega kujundama kliendile suunatud avalikustamisprotsessid ja rakendama inimese läbivaatamismehhanisme, mis on tegelikult kättesaadavad — mitte eriteadmisi eeldavad.

Kas kahjunõuete pettuste tuvastamise TI-süsteemid on kõrge riskiga?

Mitte automaatselt. Pettuste tuvastamise TI, mis märgib kahjunõuded inimesest uurija jaoks — kus uurija teeb lõpliku otsuse nõude maksmise, vähendamise või tagasilükkamise kohta —, ei pruugi vastata Annex III kat 5(b) kõrge riskiga klassifikatsiooni lävele, kuna TI ei määra iseseisvalt füüsiliste isikute juurdepääsu kindlustusele. Kui aga pettuste tuvastamise süsteemi väljund käivitab automaatselt kahjunõude makse vähendamise, peatamise või keeldumise füüsilisele isikule ilma sisulise inimjärelevalveta, on süsteem tõenäoliselt kõrge riskiga. Kindlustusandjad peaksid täpselt dokumenteerima, kuidas pettuste TI väljundeid kahjunõuete töövoos kasutatakse, ning tagama, et kus füüsilisi isikuid mõjutatakse, sekkub sisuline inimjärelevalve enne hüvitisest ilmajätmist.

Milliseid dokumente peaksime oma aktuaartarkvara müüjalt nõudma?

Kindlustusandjad, kes kasutavad kolmanda osapoole aktuaar-TI tööriistu, peaksid lepinguliselt nõudma järgmist: kõrge riskiga süsteemide EL-i vastavusdeklaratsioon ja CE-märgise dokumentatsioon; Annex IV nõutav tehniline dokumentatsioon, sealhulgas ettenähtud kasutusotstarbe avaldus, koolitusandmete kirjeldused, valideerimis- ja testimistulemused (sealhulgas kallutatuse ja täpsuse mõõdikud demograafiliste alarühmade lõikes) ning riskijuhtimise toimik; kasutajale suunatud kasutusjuhendid; turustamisjärgse järelevalve andmed ja intsidentide aruanded; ning parameetrid ja tingimused, mille raames süsteemi on valideeritud, sealhulgas kõik piirangud kasutusjuhtudele või poliisiomanike populatsioonidele. Kasutamine väljaspool müüja kasutusjuhendite ulatust võib reklassifitseerida kindlustusandja pakkujaks, kellele kohalduvad kõik pakkuja kohustused Art. 16 alusel.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.