Članak 9 Uredbe (EU) 2024/1689 — Sustav upravljanja rizicima. Službeni tekst, praktično tumačenje, ključne obveze i implikacije za usklađenost.
Sažetak Službenog Teksta
Članak 9 Uredbe (EU) 2024/1689 nameće obvezni, kontinuirani sustav upravljanja rizicima pružateljima visokorizičnih sustava UI kroz cijeli životni ciklus sustava. Odredba zahtijeva da sustav upravljanja rizicima čini iterativan proces integriran u razvoj i rad visokorizičnog sustava UI, redovito ažuriran u svjetlu novih informacija prikupljenih tijekom praćenja nakon stavljanja na tržište.
Konkretno, Članak 9 zahtijeva od pružatelja da: (a) identificiraju i analiziraju sve poznate i razumno predvidljive rizike povezane s visokorizičnim sustavom UI; (b) procijene i evaluiraju rizike koji se mogu materijalizirati kada se sustav koristi u skladu s namijenjenom svrhom i u uvjetima razumno predvidljive zlouporabe; (c) evaluiraju rizike koji proizlaze iz dostupnih podataka i ponašanja osoba koje su u interakciji sa sustavom; i (d) usvoje odgovarajuće mjere upravljanja rizicima temeljene na ovoj analizi.
Mjere upravljanja rizicima moraju biti takve da se svaki preostali rizik povezan sa svakom opasnošću, kao i ukupni preostali rizik visokorizičnog sustava UI, ocijeni prihvatljivim. Članak 9 također navodi da se testiranje mora provoditi radi identifikacije odgovarajućih mjera i da se takvo testiranje mora provoditi u odnosu na definirane metrike i probabilističke pragove. Posebna pažnja potrebna je kada je vjerojatno da će sustav biti u interakciji s djecom ili drugim ranjivim skupinama. Informacije koje proizlaze iz iskustva deploystera trebaju se uvrstiti u proces upravljanja rizicima pružatelja sustava.
Što To Znači u Praksi
Članak 9 jedan je od operativno najzahtjevnijih zahtjeva u Naslovu III EU Akta o UI. Primjenjuje se na svaki pravni subjekt koji se kvalificira kao pružatelj visokorizičnog sustava UI — što znači subjekt koji razvija sustav ili ga daje razviti i stavlja ga na tržište ili pušta u upotrebu pod vlastitim imenom ili zaštitnim znakom.
U praktičnim terminima, usklađenost zahtijeva uspostavu dokumentiranog okvira upravljanja rizicima prije stavljanja sustava na tržište. Ovo nije vježba označavanja polja: uredba zahtijeva iterativan proces koji traje za cijelog vijeka trajanja proizvoda, što znači da dokumentacija upravljanja rizicima mora evoluirati kako se sustav ažurira, ponovo trenira ili postavlja u novim kontekstima.
Sukladan sustav upravljanja rizicima tipično će uključivati: strukturirani postupak identifikacije rizika koji pokriva i namjeravanu upotrebu i uvjerljive scenarije zlouporabe; matricu procjene rizika koja evaluira vjerojatnost i ozbiljnost štete; katalog mjera ublažavanja s dokumentiranim obrazloženjem za njihov odabir; formalno testiranje prije stavljanja na tržište u odnosu na definirane metrike; i mehanizam za apsorpciju povratnih informacija nakon stavljanja na tržište — uključujući podatke o incidentima koje pružaju deployeri — u tekuću analizu rizika.
Na primjer, pružatelj alata za kreditno bodovanje temeljenog na UI, klasificiranog kao visokorizičan prema Prilogu III, mora dokumentirati kako bi model mogao proizvesti diskriminatorne ishode, koje tehničke i organizacijske mjere smanjuju taj rizik i kako će podaci o stvarnom učinku aktivirati ponovnu evaluaciju. Sustav UI koji se koristi u medicinskom kontekstu mora dodatno razmatrati pojačanu dužnost skrbi kada su uključeni ranjivi korisnici. Rezultati upravljanja rizicima izravno se unose u tehničku dokumentaciju zahtijevanu prema Članku 11 i u ocjenu sukladnosti prema Člancima 43-44.
Ključne Obveze
- Uspostaviti i održavati kontinuirani sustav upravljanja rizicima koji pokriva cijeli životni ciklus visokorizičnog sustava UI, od projektiranja do dekomisioniranja, ažuriran u svjetlu podataka praćenja nakon stavljanja na tržište.
- Identificirati sve poznate i razumno predvidljive rizike, uključujući rizike koji proizlaze iz razumno predvidljive zlouporabe, iz interakcije s drugim sustavima i iz sociotehničkog konteksta primjene.
- Procijeniti i evaluirati rizike u pogledu njihove vjerojatnosti nastanka i ozbiljnosti potencijalne štete, uzimajući u obzir namijenjenu svrhu i kategorije osoba za koje je vjerojatno da će biti pogođene, uključujući ranjive skupine i djecu.
- Usvojiti mjere upravljanja rizicima koje smanjuju identificirane rizike na prihvatljivu preostalu razinu; kada tehničke mjere nisu dovoljne, moraju ih nadopuniti organizacijske ili informacijske mjere.
- Provesti testiranje prije stavljanja na tržište koristeći definirane metrike i probabilističke pragove primjerene namijenjenom cilju, kako bi se potvrdilo da su odabrane mjere učinkovite i da je preostali rizik prihvatljiv.
- Integrirati povratne informacije praćenja nakon stavljanja na tržište od deployera i krajnjih korisnika u tekući proces upravljanja rizicima, osiguravajući da sustav ostaje responzivan na stvarne dokaze štete ili gotovo-nezgodnih događaja.
Odnos s Drugim Člancima
Članak 9 nalazi se u centru okvira zahtjeva Poglavlja 2 i strukturalno je povezan s nekoliko drugih odredbi. Ovisi o Članku 6 i Prilogu III za svoj opseg: samo sustavi koji se kvalificiraju kao visokorizični podliježu njegovim obvezama. Rezultati procesa prema Članku 9 izravno se unose u Članak 11 (tehnička dokumentacija), koji zahtijeva od pružatelja da demonstriraju da sukladan sustav upravljanja rizicima postoji i da je primijenjen.
Članak 9 također je usko povezan s Člankom 10 (podaci i upravljanje podacima), budući da kvaliteta podataka za treniranje, validaciju i testiranje materijalno utječe na profil rizika kojim se mora upravljati. Članak 13 (transparentnost i pružanje informacija) zahtijeva da se određene informacije vezane uz rizike priopće deployerima, a Članak 14 (ljudski nadzor) specificira mjere koje često služe kao alati za ublažavanje rizika prve linije prema Članku 9. Članak 26 nameće nizvodne obveze deployerima za praćenje stvarne upotrebe i prijavu relevantnih informacija natrag pružateljima, zatvarajući petlju povratnih informacija koju zahtijeva Članak 9. Konačno, Članak 72 (praćenje nakon stavljanja na tržište) formalizira mehanizme prikupljanja podataka koji podržavaju iterativan proces upravljanja rizicima kroz vrijeme.
Vremenski Okvir Usklađenosti
EU Akt o UI stupio je na snagu 1. kolovoza 2024. Članak 9, kao temeljni zahtjev Poglavlja 2 primjenjiv na visokorizične sustave UI, prati opći vremenski okvir usklađenosti za obveze Naslova III:
- 1. kolovoza 2024. — Uredba stupa na snagu; počinje prijelazni rok od 24 mjeseca za većinu visokorizičnih obveza.
- 2. veljače 2025. — Primjenjuju se zabrane neprihvatljivih AI praksi (Članak 5). Članak 9 još nije primjenjiv.
- 2. kolovoza 2025. — Primjenjuju se pravila o modelima UI opće namjene (Naslov VIII). Članak 9 još nije obvezatan za većinu visokorizičnih sustava.
- 2. prosinca 2026. — Članak 9 postaje u potpunosti primjenjiv na visokorizične sustave UI navedene u Prilogu III (sustavi UI u područjima kao što su obrazovanje, zapošljavanje, ključne usluge, provedba zakona, migracije i administracija pravde). Pružatelji moraju imati sukladan sustav upravljanja rizicima uspostavljen do ovog datuma.
- 2. kolovoza 2027. — Produženi rok za visokorizične sustave UI koji su sigurnosne komponente proizvoda koji su već obuhvaćeni postojećim zakonodavstvom Unije o usklađivanju navedenim u Prilogu I (npr. strojevi, medicinski uređaji, civilno zrakoplovstvo).
Pružatelji koji razvijaju ili nabavljaju visokorizične sustave UI trebali bi tretirati 2. prosinca 2026. kao svoju čvrstu krajnju točku za pripremljenost usklađenosti prema Članku 9, ugrađujući okvire upravljanja rizicima u svoje razvojne procese dovoljno unaprijed kako bi ostavili vremena za testiranje, dokumentaciju i ocjenu sukladnosti.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Pružatelji visokorizičnih sustava UI kako su definirani u Članku 6 i Prilogu III Uredbe (EU) 2024/1689 obvezni su uspostaviti i održavati sustav upravljanja rizicima prije stavljanja svog sustava na tržište ili puštanja u upotrebu.
Sustav mora identificirati i analizirati poznate i razumno predvidljive rizike, procijeniti i evaluirati rizike koji mogu nastati tijekom uporabe, usvojiti odgovarajuće mjere upravljanja rizicima i osigurati da su preostali rizici ocijenjeni prihvatljivima prema uredbi.
Nije. Članak 9 zahtijeva kontinuiran, iterativan proces koji se odvija tijekom cijelog životnog ciklusa visokorizičnog sustava UI, uključujući praćenje nakon stavljanja na tržište. Sustav se mora ažurirati kako se pojavljuju nove informacije o rizicima.
Članak 9 izričito zahtijeva da pružatelji uzmu u obzir rizike koji proizlaze iz razumno predvidljive zlouporabe — ne samo od namjeravane uporabe. To znači da pružatelji moraju analizirati uvjerljive načine na koje bi se sustav mogao koristiti neispravno ili u zloj vjeri i na odgovarajući način ublažiti te rizike.
Članak 9(7) zahtijeva da se definiraju i provode postupci testiranja radi identifikacije najprikladnijih mjera upravljanja rizicima. Testiranje se mora provoditi u odnosu na prethodno definirane metrike i probabilističke pragove primjerene namijenjenom cilju, i mora se odvijati prije stavljanja na tržište.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.