Članak 17. Uredbe (EU) 2024/1689 — Sustav upravljanja kvalitetom. Službeni tekst, praktično tumačenje, ključne obveze i implikacije za usklađenost.
Sažetak službenog teksta
Članak 17. Uredbe (EU) 2024/1689 zahtijeva od pružatelja visokorizičnih sustava UI da uspostave sustav upravljanja kvalitetom (SUK) prije stavljanja takvih sustava na tržište ili puštanja u upotrebu. SUK mora biti dokumentiran na sustavan, uredan način i mora obuhvaćati sve faze životnog ciklusa sustava UI.
Uredba specificira da SUK mora obuhvatiti, u najmanju ruku: strategiju pružatelja za regulatornu usklađenost, uključujući postupke ocjenjivanja sukladnosti; tehnike, postupke i sustavne radnje koje se koriste za dizajn, kontrolu dizajna i provjeru sustava UI; postupke upravljanja podacima koji obuhvaćaju pribavljanje, prikupljanje, analizu, označivanje, pohranu, filtriranje, rudarenje, agregaciju i zadržavanje podataka; sustav upravljanja rizicima predviđen člankom 9.; uspostavu i provedbu sustava praćenja nakon stavljanja na tržište u skladu s člankom 72.; postupke za izvještavanje o incidentima u skladu s člankom 73.; postupanje s komunikacijom s nadležnim tijelima, prijavljenim tijelima i ostalim relevantnim operaterima; sustave i postupke za vođenje evidencija; upravljanje resursima uključujući mjere vezane uz opskrbni lanac; te okvir odgovornosti koji dokumentira odgovornosti unutar cijele organizacije.
Kada su pružatelji fizičke osobe ili mikropoduzeća kako su definirana Preporukom Komisije 2003/361/EZ, Komisija je ovlaštena donijeti provedbene akte kojima se dopuštaju pojednostavnjeni aranžmani SUK-a, uvažavajući načelo proporcionalnosti koje prožima uredbu.
Što to znači u praksi
Za svaku organizaciju koja razvija ili stavlja visokorizični sustav UI na tržište EU-a, članak 17. znači da usklađenost ne može biti jednokratna vježba provedena u trenutku objave. Mora biti ugrađena u živući organizacijski sustav koji upravlja cjelokupnim životnim ciklusom proizvoda — od početnih odluka o dizajnu kroz postavljanje, praćenje i konačno povlačenje iz upotrebe.
Konkretno, pružatelj mora biti u mogućnosti dokazati da postoje dokumentirani postupci koji se slijede u svakoj fazi. Pružatelj zdravstvene UI, primjerice, ne može jednostavno istrenirati model i podnijeti ga na ocjenjivanje sukladnosti. Organizacija mora pokazati da je pribavljanje podataka slijedilo dokumentirana pravila upravljanja, da su projektni izbori razmotreni prema kriterijima rizika, da su odgovornosti za nadzor dodijeljene i zabilježene, te da postoji mehanizam za otkrivanje i prijavu incidenata nakon postavljanja.
Zahtjev za SUK znači da je usklađenost jednako toliko organizacijski i proceduralni izazov koliko i tehnički. Tvrtke koje već posluju prema normi ISO 9001 ili sektorskim okvirima upravljanja — poput ISO 13485 za medicinske uređaje — pronaći će značajna preklapanja, ali će i dalje morati eksplicitno mapirati svoje postojeće sustave prema zahtjevima Akta o UI, umjesto da pretpostavljaju ekvivalentnost.
Manji pružatelji imaju koristi od odredbe o proporcionalnosti: mikropoduzeća mogu se kvalificirati za pojednostavnjene aranžmane prema provedbenim aktima koje je izdala Komisija. Međutim, to ih ne izuzima od temeljnih materijalnih obveza; može utjecati samo na oblik u kojemu se te obveze dokumentiraju i njima upravlja.
Praktično, pružatelji bi trebali promatrati SUK kao središnju okosnicu iz koje se generiraju i kojom se upravljaju svi ostali artefakti usklađenosti — tehnička dokumentacija, registri rizika, planovi praćenja nakon stavljanja na tržište, dnevnici incidenata.
Ključne obveze
- Uspostaviti dokumentirani sustav upravljanja kvalitetom prije stavljanja visokorizičnog sustava UI na tržište ili puštanja u upotrebu, pokrivajući sve faze životnog ciklusa.
- Integrirati postupke upravljanja rizicima zahtijevane člankom 9. u SUK, osiguravajući da su identifikacija, evaluacija i smanjenje rizika sustavni i sljedivi.
- Dokumentirati prakse upravljanja podacima koje obuhvaćaju pribavljanje, označivanje, obradu, pohranu i zadržavanje, u skladu sa zahtjevima upravljanja podacima iz članka 10.
- Održavati tehničku dokumentaciju specificiranu u članku 11. i Prilogu IV. kao izlaz SUK-a, držeći je aktualnom i dostupnom u svrhu ocjenjivanja sukladnosti i nadzora tržišta.
- Provoditi postupke praćenja nakon stavljanja na tržište i izvještavanja o incidentima unutar okvira SUK-a, usklađene s člancima 72. i 73. respektivno.
- Definirati i dokumentirati strukture odgovornosti, uloge i odgovornosti unutar cijele organizacije, uključujući nadzor opskrbnog lanca kada komponente trećih strana doprinose sustavu UI.
Odnos s ostalim člancima
Članak 17. funkcionira kao organizacijska okosnica režima usklađenosti visokorizičnih sustava UI uspostavljenog u Glavi III., Poglavlju 3. Svoj sadržajni sadržaj crpi iz više međusobno povezanih obveza: sustav upravljanja rizicima iz članka 9., zahtjevi za podatke i upravljanje podacima iz članka 10., te režim tehničke dokumentacije iz članka 11. izravno pridonose onome što SUK mora obuhvaćati i proizvoditi.
SUK mora podupirati i postupke ocjenjivanja sukladnosti iz članaka 43. i 44., budući da dokumentacija koju generira čini primarne dokaze koje razmatraju prijavljena tijela ili postupci samoocjenjivanja. Obveze nakon postavljanja prema članku 72. (praćenje nakon stavljanja na tržište) i članku 73. (izvještavanje o ozbiljnim incidentima) moraju biti ugrađene unutar postupaka SUK-a, a ne upravljane kao zasebne ad hoc aktivnosti.
Članak 26. nameće dužnosti korisnicima koje su odvojene od, ali komplementarne s, obvezama SUK-a pružatelja. Tamo gdje se pružatelji i korisnici preklapaju — primjerice, gdje organizacija i razvija i interno implementira visokorizični sustav UI — SUK prema članku 17. mora se čitati zajedno s obvezama korisnika iz članka 26. kako bi se osiguralo potpuno pokrivanje.
Vremenski okvir usklađenosti
Akt EU-a o UI stupio je na snagu 1. kolovoza 2024., nakon objave u Službenom listu Europske unije. Primjena njegovih odredbi je postupna:
- Veljača 2025. — Stupile su na snagu zabrane neprihvatljivih AI praksi (članak 5.).
- Kolovoz 2025. — Stupile su na snagu obveze koje se odnose na modele UI opće namjene (Glava VIII.).
- 2. kolovoza 2026. — Članak 17. počinje se primjenjivati na pružatelje visokorizičnih sustava UI navedenih u Prilogu III. (sustavi u područjima kao što su biometrija, kritična infrastruktura, obrazovanje, zapošljavanje, osnovne usluge, provedba zakona, migracije i upravljanje pravosuđem).
- 2. kolovoza 2027. — Članak 17. počinje se primjenjivati na pružatelje visokorizičnih sustava UI kojima upravljaju Prilog I. (AI komponente u proizvodima koji već podliježu zakonodavstvu Unije o usklađivanju, poput medicinskih uređaja, strojeva i zrakoplovne opreme).
Pružatelji čiji su sustavi već na tržištu prije tih datuma imaju koristi od prijelaznih aranžmana prema članku 111., koji mogu odgoditi obveze potpune usklađenosti SUK-a, podložno uvjetima koji se odnose na značajne izmjene i tekuće cikluse ocjenjivanja sukladnosti. Organizacije bi trebale početi s dizajnom SUK-a i procjenama nedostataka znatno prije primjenjivog roka kako bi omogućile internu validaciju, angažman prijavljenih tijela gdje je to potrebno i iterativno usavršavanje prije nego što obveza postane primjenjiva.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Članak 17. obvezuje isključivo pružatelje visokorizičnih sustava UI, kako su definirani u članku 6. i Prilogu III. Uredbe (EU) 2024/1689. Korisnici nisu podložni ovoj specifičnoj obvezi, iako imaju posebne dužnosti prema članku 26.
SUK mora obuhvaćati najmanje: strategiju za regulatornu usklađenost, metodologije dizajna i razvoja, postupke upravljanja podacima, upravljanje rizicima kako se zahtijeva člankom 9., tehničku dokumentaciju prema članku 11., vođenje dnevnika i čuvanje evidencija, praćenje nakon stavljanja na tržište prema članku 72., obveze izvještavanja o incidentima te aranžmane za nadzor od strane čovjeka.
Članak 17. ne nalaže nijedan specifičan standard certificiranja. Međutim, usklađenost s priznatim standardima poput ISO 9001 ili sektorskih ekvivalenata može poduprijeti dokazivanje sukladnosti, osobito tamo gdje usklađene norme prema članku 40. uključuju zahtjeve SUK-a.
SUK i tehnička dokumentacija usko su povezani. SUK mora generirati i održavati tehničku dokumentaciju zahtijevanu člankom 11. i Prilogom IV., a sama dokumentacija služi kao primarni dokaz ispravnog funkcioniranja SUK-a tijekom ocjenjivanja sukladnosti.
Članak 17. primjenjuje se na pružatelje visokorizičnih sustava UI navedenih u Prilogu III. od 2. kolovoza 2026., a na pružatelje visokorizičnih sustava UI obuhvaćenih Prilogom I. (sektorsko zakonodavstvo Unije o usklađivanju) od 2. kolovoza 2027., podložno prijelaznim odredbama članka 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.