EU AI Act po sektorima — Vodič za usklađenost specifičan za industriju

Sektorski vodiči za usklađenost s EU AI Act-om za zdravstvo, HR, javni sektor, promet, osiguranje, maloprodaju, MSP-ove i obrazovanje.

Kako sektor oblikuje izloženost EU AI Act-u

EU AI Act horizontalni je propis — primjenjuje se na AI sustave koji se stavljaju na tržište ili puštaju u upotrebu u svim sektorima gospodarstva u Europskoj uniji. Međutim, praktični teret usklađenosti nije jedinstven. Sektor određuje koje su kategorije visokorizičnih AI sustava iz Annex III relevantne, koji postojeći regulatorni okviri stvaraju preklapajuće obveze te koja nacionalna ili europska nadzorna tijela imaju nadležnost nad primjenom AI-ja.

Zakon uspostavlja slojevitu arhitekturu rizika: zabranjene prakse prema Art. 5, visokorizični AI prema Art. 6 i Annex III, obveze za AI opće namjene (GPAI) prema Art. 51 do Art. 55 i obveze transparentnosti prema Art. 50. Svi sektori podliježu zabrani zabranjenih praksi i sloju transparentnosti iz Art. 50. Obveze iz Annex III za visokorizičan AI primjenjuju se selektivno, ovisno o tome koji AI organizacija primjenjuje i u koju svrhu.

Razumijevanje sektorske izloženosti počinje mapiranjem operativnih slučajeva upotrebe AI-ja prema kategorijama iz Annex III. Organizacije moraju također procijeniti predstavlja li primijenjeni AI GPAI model prema Art. 3(63) te stvaraju li poslovni odnosi s dobavljačima obveze kao GPAI deployera ili pružatelja.

Razumijevanje Annex III po sektorima

Annex III EU AI Act-a definira 8 kategorija samostalnih visokorizičnih AI sustava. Svaka kategorija mapira se na specifične industrije i slučajeve upotrebe AI-ja.

Kategorija 1 — Biometrija (međusektorska)

Art. 6 u vezi s Annex III točka 1 obuhvaća AI sustave za biometrijsku identifikaciju i biometrijsku kategorizaciju fizičkih osoba. Identifikacija biometrijskim sustavima u stvarnom vremenu na daljinu na javno dostupnim mjestima od strane tijela za provedbu zakona zabranjena je prema Art. 5(1)(h), a ne samo visokorizična. Naknadna biometrijska identifikacija i sustavi biometrijske kategorizacije koji se koriste u zapošljavanju, graničnoj kontroli, provedbi zakona (unutar dopuštenih granica) i kontroli pristupa ostaju u kategoriji visokorizičnih. Svaka organizacija koja primjenjuje prepoznavanje lica, podudaranje otisaka prstiju, prepoznavanje glasa ili slične sustave za odluke s posljedicama potencijalno je u opsegu primjene.

Kategorija 2 — Kritična infrastruktura (promet, energetika, voda)

Annex III točka 2 obuhvaća AI koji se koristi kao sigurnosna komponenta u upravljanju i poslovanju kritičnom digitalnom infrastrukturom, cestovnim prometom, opskrbom vodom, plinom, grijanjem i strujom. Prometni operateri, upravitelji energetske mreže, komunalna poduzeća za vodu i pružatelji digitalne infrastrukture moraju procijeniti kvalificiraju li se njihovi AI sustavi. Annex I AI Akta također se ovdje presijecuje: AI sigurnosne komponente ugrađene u proizvode regulirane Annex I (strojevi, vozila, oprema za civilno zrakoplovstvo, željezničke mreže) visokorizični su prema Art. 6(1), a ne prema Annex III.

Kategorija 3 — Obrazovanje i strukovno usavršavanje

Annex III točka 3 obuhvaća AI koji određuje pristup obrazovnim ustanovama, raspoređuje učenike na obrazovne putanje, ocjenjuje ispitnu ili testnu izvedbu, procjenjuje obrazovna postignuća koja bitno utječu na buduće prilike te prati ponašanje učenika tijekom provjera znanja. EdTech platforme, sveučilišta, pružatelji strukovnog usavršavanja i ispitna tijela moraju procijeniti svoje AI alate prema ovim kriterijima.

Kategorija 4 — Zapošljavanje i HR

Annex III točka 4 obuhvaća AI koji se koristi u regrutiranju i selekciji (pregled životopisa, rangiranje kandidata, automatizirana analiza intervjua), odlukama o napredovanju, prestanku rada, raspodjeli zadataka za platformne radnike, nadzoru ponašanja zaposlenika i procjeni radnog učinka. Ova kategorija jedna je od najširih po opsegu — gotovo svaka organizacija koja koristi HR procese uz potporu AI-ja mora procijeniti usklađenost. Obveza se primjenjuje na AI koji koriste poslodavci, agencije za zapošljavanje i platforme gig ekonomije.

Kategorija 5 — Ključne privatne i javne usluge (financije, osiguranje, zdravstvo, socijalne naknade)

Annex III točka 5 najšira je kategorija koja obuhvaća AI koji se koristi u procjeni kreditne sposobnosti i kreditnom bodovanju fizičkih osoba, procjeni i određivanju cijena rizika u osiguranju, procjeni podobnosti za javne naknade i socijalne usluge te odlukama o hitnim intervencijama. Ova kategorija izravno utječe na banke, osiguravatelje, javne uprave i pružatelje socijalnih usluga. AI vezan uz zdravlje koji boduje pojedince za podobnost za osiguranje također ovdje ulazi, stvarajući preklapanje između obveza financijskih usluga i zdravstva.

Kategorije 6, 7 i 8 — Provedba zakona, migracije, pravosuđe

Annex III točke 6, 7 i 8 ciljaju tijela javne vlasti i njihove tehnološke dobavljače. AI u provedbi zakona (bodovanje rizika, predviđanje recidivizma, predviđanje kriminala, evaluacija dokaza), AI u migracijama i graničnoj kontroli (procjena azilnog rizika, provjera dokumenata, obrada zahtjeva) i AI u pravosuđu i demokratskim procesima (pravosudni istraživački alati, AI vezan uz izbore) svi su visokorizični. Ove kategorije primarno se odnose na policijska tijela, granične agencije, azilne sudove, sudove i njihove ugovorne AI pružatelje.

Sektorski vodiči

Svaki od sljedećih namjenskih vodiča mapira obveze EU AI Act-a na specifični regulatorni kontekst, tipične slučajeve upotrebe AI-ja i arhitekturu provedbe u sektoru.

Zdravstvo i bioznanosti

AI u zdravstvu djeluje na sjecištu EU AI Act-a i Uredbe o medicinskim uređajima (MDR) i Uredbe o in vitro dijagnostičkim uređajima (IVDR). AI sustavi koji se kvalificiraju kao medicinski uređaji regulirani su primarno prema MDR/IVDR-u, ali ostaju podložni obvezama temeljnih prava i transparentnosti iz AI Akta. Annex III točka 5 obuhvaća AI koji se koristi za bodovanje zdravstvenog rizika u osiguranju i podobnosti za javne naknade. Klinička podrška odlučivanju, dijagnostički AI, alati za trijažu pacijenata i AI za otkrivanje lijekova nose specifične obveze ovisno o svojoj regulatornoj klasifikaciji.

HR i regrutiranje

Annex III točka 4 svrstava gotovo sve HR procese uz potporu AI-ja u kategoriju visokorizičnih. Alati za pregled životopisa, platforme za psihometrijsko vrednovanje, automatizirana analiza video intervjua, sustavi upravljanja radnim učinkom i AI za raspoređivanje radne snage moraju biti usklađeni s obvezama pružatelja i deployera. Ovaj vodič obrađuje obveze poslodavaca kao deployera prema Art. 26, zahtjeve upravljanja podacima prema Art. 10 i interakciju s ograničenjima profiliranja prema GDPR-u.

Javni sektor i pravosuđe

Javna tijela istodobno su deployeri visokorizičnog AI-ja i subjekti koje će nacionalna nadležna tijela najpažljivije nadzirati. Annex III točke 5 do 8 zajedno obuhvaćaju veliki dio AI-ja u javnom sektoru: utvrđivanje podobnosti za naknade, AI za hitne službe, alate za provedbu zakona, sustave upravljanja granicama i AI u pravosuđu. Ovaj vodič obrađuje specifične obveze javnih deployera, mandate transparentnosti za automatizirane odluke koje utječu na građane te presijecanje s GDPR-om i Direktivom o provedbi zakona.

Promet i kritična infrastruktura

Prometni operateri moraju se kretati kroz Annex III točku 2 (sigurnosne komponente u kritičnoj infrastrukturi) i regulaciju sigurnosti proizvoda prema Annex I. AI u sustavima autonomnih vozila, upravljanju željezničkim prometom, upravljanju zračnim prometom, lučkim operacijama i logistici može pokrenuti klasifikaciju visokorizičnih prema više putanja. Ovaj vodič obrađuje interakciju s propisima EASA-e, Direktivom o sigurnosti željeznice i ulogom prijavljenih tijela u ocjeni sukladnosti.

MSP-ovi

Mala i srednja poduzeća suočena su s istim obvezama prema EU AI Act-u kao i velike organizacije kada su pružatelji visokorizičnog AI-ja ili deployeri koji koriste visokorizični AI. Međutim, Zakon predviđa mehanizme proporcionalnosti. Ovaj vodič objašnjava mogućnosti pojednostavljene tehničke dokumentacije, pristup regulatornim pješčanicima prema Art. 57 do Art. 63 te kako strukturirati minimalan, ali pravno dovoljan program usklađenosti. Obrađuje i izloženost MSP-ova kao deployera AI alata trećih strana.

Osiguranje

AI u osiguranju podliježe Annex III točka 5(b) (procjena rizika i određivanje cijena za životno i zdravstveno osiguranje fizičkih osoba) te se presijecuje sa zahtjevima Solvency II za upravljanje modelima i korištenje internih modela. Svi AI sustavi za određivanje cijena u automobilskom, zdravstvenom, imovinskom i životnom osiguranju, alati za odluke o preuzimanju rizika i automatizirani sustavi namire šteta zahtijevaju procjenu. Ovaj vodič obrađuje uloge EIOPA-e i nacionalnih nadzornih tijela za osiguranje uz NCA okvir AI Akta.

Maloprodaja i kontaktni centri

Na maloprodaju i korisničke usluge primarno utječu obveze transparentnosti iz Art. 50 — objavljivanje AI generiranog sadržaja, identifikacija chatbotova i označavanje deepfakeova — te AI vezan uz zapošljavanje prema Annex III točka 4. Sustavi za prepoznavanje emocija koji se koriste u kontaktu s kupcima izričito su regulirani. Ovaj vodič obrađuje AI u mrežnoj maloprodaji, preporučiteljske sustave, automatizirani korisnički servis i upravljanje radnom snagom u kontaktnim centrima.

Obrazovanje i EdTech

Annex III točka 3 svrstava obrazovni AI u kategoriju visokorizičnih tamo gdje određuje ili bitno utječe na pristup obrazovnim putanjama ili procjenjuje postignuća. Ovaj vodič obrađuje obveze EdTech pružatelja, sveučilišta, tijela za strukovno usavršavanje i javnih ispitnih tijela. Obuhvaća platforme adaptivnog učenja, software za nadzor ispita, automatizirano ocjenjivanje eseja i alate za predviđanje rizika učenika.

Financijski sektor (bankarstvo)

Vodič za bankarski sektor obrađuje Annex III točka 5(b) kreditno bodovanje i procjenu kreditne sposobnosti, AI za otkrivanje prijevara, sustave algoritmičnog trgovanja, alate AML/KYC i robo-savjetničke platforme. Ispituje slojevanje obveza EU AI Act-a na vrh DORA-e, MiFID II, CRR/CRD i smjernica EBA-e. Primarni fokus je presijecanje zahtjeva AI Akta za upravljanje modelima s postojećim okvirima upravljanja modelskim rizicima prema smjernicama EBA-e.

Horizontalne obveze

Nekoliko obveza prema EU AI Act-u primjenjuje se neovisno o sektoru. Svaka organizacija koja posluje u EU-u mora razumjeti ove temeljne zahtjeve.

Zabranjene prakse — Art. 5

Art. 5 uspostavlja apsolutne zabrane koje su na snazi od 2. veljače 2025. Primjenjuju se na sve sektore bez iznimke: subliminalne manipulativne tehnike koje uzrokuju štetu, iskorištavanje ranjivosti fizičkih osoba, socijalno bodovanje od strane javnih tijela, identifikacija biometrijskim sustavima u stvarnom vremenu na daljinu od strane tijela za provedbu zakona na javnim mjestima (uz uske iznimke), prepoznavanje emocija na radnim mjestima i u obrazovnim ustanovama (izvan specificiranih upotreba), biometrijska kategorizacija prema osjetljivim karakteristikama i prediktivno policijsko djelovanje temeljeno isključivo na profiliranju. Nijedna sektorska iznimka ne nadilazi ove zabrane.

Obveze transparentnosti — Art. 50

Art. 50 zahtijeva od pružatelja i deployera AI sustava koji komuniciraju s fizičkim osobama da objave AI prirodu interakcije. Ovo se primjenjuje na chatbotove, virtualne asistente, automatizirane sustave kontaktnih centara i svaki AI sustav dizajniran da izgleda kao čovjek. AI generirani sadržaj — sintetički mediji, deepfakeovi, tekst — mora biti strojno čitljivo označen. Ove se obveze primjenjuju na maloprodaju, financijske usluge, zdravstvene alate za pacijente, javne usluge za građane i sve druge sektore koji primjenjuju konverzacijski ili generativni AI.

Obveze GPAI modela — Art. 51 do Art. 55

Organizacije koje primjenjuju GPAI modele — modele velikih jezičnih resursa, temeljne modele, multimodalni AI — moraju procijeniti jesu li deployeri GPAI modela treće strane ili pružatelji sustava koji integrira GPAI. Pružatelji GPAI-a nose obveze prema Art. 53 (transparentnost prema downstream pružateljima, politika autorskih prava, sažetak podataka za treniranje). GPAI modeli sa sistemskim rizikom nose dodatne obveze prema Art. 55. Svaki sektor koji koristi komercijalne API-je temeljnih modela ili vlastito hostane temeljne modele mora procijeniti ove obveze.

MSP-ovi i razmjerne obveze

MSP-ovi predstavljaju većinu europskih poduzeća i sve veći udio pružatelja i deployera AI sustava. EU AI Act ne predviđa blanketno izuzeće za MSP-ove, ali Art. 9(5), Art. 11 i Art. 16 zahtijevaju da obveze pružatelja budu razmjerne veličini i kapacitetu organizacije.

Okvir regulatornih pješčanika (Art. 57 do Art. 63) specifično je dizajniran kako bi MSP-ovima i startupovima osigurao nadgledana razvojna okruženja, smanjenu regulatornu neizvjesnost i izravan pristup smjernicama nacionalnih nadležnih tijela. Sudjelovanje ne jamči odobrenje usklađenosti, ali pruža strukturirani put za ulazak na tržište inovativnih AI proizvoda.

Za MSP-ove koji djeluju kao deployeri visokorizičnog AI-ja kojeg pruža treća strana, primjenjuju se obveze prema Art. 26 — procjena slučaja upotrebe, implementacija ljudskog nadzora, procjena učinka na temeljna prava. Opseg potrebne dokumentacije i praćenja je razmjeran, ali pravne obveze nisu odgođene.

Namjenski vodič za MSP-ove pruža plan usklađenosti prilagođen manjim organizacijama, uključujući određivanje prioriteta, minimalnu potrebnu dokumentaciju, dubinsku analizu dobavljača i postupke pristupa pješčanicima.

Provedba

EU AI Act uspostavlja slojevitu arhitekturu provedbe sa značajnim sektorski specifičnim dimenzijama.

Nacionalna nadležna tijela

Svaka država članica EU-a određuje jedno ili više nacionalnih nadležnih tijela (NCA) prema Art. 70. NCA-ovi su odgovorni za odobravanje regulatornih pješčanika, provođenje tržišnog nadzora, primanje podataka post-tržišnog praćenja od pružatelja, istragu sumnjivim kršenjima i izricanje administrativnih kazni prema Art. 99 do Art. 101. Maksimalne kazne dosežu 35 milijuna eura ili 7% ukupnog globalnog godišnjeg prometa za kršenja zabranjenih praksi iz Art. 5.

Sektorski regulatori kao tijela za nadzor tržišta

Art. 74(8) i Art. 74(9) predviđaju da sektorski regulatori djeluju kao tijela za nadzor tržišta za AI u svojim domenama. Europsko nadzorno tijelo za bankarstvo (EBA), Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje (EIOPA), Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA), Europska agencija za lijekove (EMA) i Agencija Europske unije za sigurnost zračnog prometa (EASA) imaju svoju ulogu u nadzoru AI unutar svojih regulatornih perimetara. Ovo stvara dvostruku izloženost provedbi: AI sustav banke za kreditno bodovanje može biti predmet ispitivanja i nacionalnog financijskog regulatora koji primjenjuje obveze iz Annex III i NCA-a koji provodi tržišni nadzor prema AI Aktu.

Europski ured za AI

Europski ured za AI, uspostavljen prema Art. 64 do Art. 70, ima izravnu ovlast provedbe nad pružateljima GPAI modela. Za organizacije koje primjenjuju GPAI modele sa sistemskim rizikom, Ured za AI je primarni regulatorni sugovornik — a ne nacionalni NCA. Sektorski regulatori nemaju izravnu nadležnost nad GPAI modelima kao takvima, premda downstream AI sustavi koji integriraju GPAI ostaju podložni nacionalnom i sektorskom nadzoru.

Vremenski okvir provedbe

Zabrana praksi prema Art. 5 primjenjuje se od 2. veljače 2025. Obveze za GPAI prema Art. 51 do Art. 55 stupile su na snagu 2. kolovoza 2025. Pune obveze za visokorizične AI sustave iz Annex III — koje obuhvaćaju svih osam kategorija i sve dužnosti pružatelja i deployera — primjenjuju se od 2. prosinca 2027. (produljeno od izvornog roka 2. kolovoza 2026. amandmanom Digital Omnibus iz 2025.). Organizacije u svim sektorima trebaju tretirati period do prosinca 2027. kao aktivni prozor usklađenosti, a ne kao poček.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Primjenjuje li se EU AI Act različito ovisno o sektoru?

Da. EU AI Act primjenjuje se jedinstveno diljem EU-a, no njegov praktični učinak znatno se razlikuje po sektorima. Annex III Zakona izravno mapira kategorije visokorizičnih AI sustava na pojedine industrije — AI u zapošljavanju cilja HR i agencije za zapošljavanje, AI za procjenu kreditne sposobnosti cilja financije i osiguranje, a biometrijski sustavi ciljaju tijela za provedbu zakona i graničnu kontrolu. Operatori u snažno reguliranim sektorima (zdravstvo, financije, promet) suočeni su i s AI Aktom koji se nadovezuje na postojeće sektorske propise, što može izazvati dodatne obveze ili zahtijevati koordinaciju između nadzornih tijela.

Koji sektor nosi najveći teret obveza prema EU AI Act-u?

Zdravstvo, financijske usluge i javni sektor nose najteže kumulativne obveze. AI u zdravstvu presijecuje se s Uredbom o medicinskim uređajima (MDR) i Uredbom o in vitro dijagnostičkim uređajima (IVDR); AI u financijskom sektoru presijecuje se s DORA-om, MiFID II i Solvency II; AI u javnom sektoru tiče se kategorija 5 do 8 iz Annex III (ključne usluge, provedba zakona, migracije i pravosuđe). Svaki od ovih sektora mora biti usklađen i s okvirom EU AI Act-a i s postojećom sektorskom regulativom, pri čemu se neke obveze primjenjuju istodobno.

Jesu li MSP-ovi izuzeti od obveza prema EU AI Act-u?

MSP-ovi nisu izuzeti, no Zakon predviđa razmjerne mjere. Art. 9(5) zahtijeva da sustavi upravljanja rizicima budu razmjerni veličini i prirodi pružatelja. Art. 11 i Art. 16 omogućuju MSP-ovima pojednostavljenu tehničku dokumentaciju. Art. 57 do Art. 63 uspostavljaju regulatorne pješčanike kojima MSP-ovi mogu pristupiti pod nadzorom nacionalnih nadležnih tijela. Obveze deployera prema Art. 26 također se primjenjuju na MSP-ove koji koriste visokorizični AI, premda s lakšim proceduralnim zahtjevima nego za pružatelje.

Kako nacionalna AI nadzorna tijela surađuju sa sektorskim regulatorima?

Art. 70 do Art. 77 EU AI Act-a uspostavljaju višeslojnu arhitekturu provedbe. Svaka država članica određuje nacionalno nadležno tijelo (NCA) odgovorno za provedbu AI Akta. Gdje AI sustavi djeluju u reguliranim sektorima — financijskim uslugama, zdravstvu, zrakoplovstvu, željeznici — sektorski regulatori (EBA, EIOPA, ESMA, EMA, EASA) koordiniraju s NCA-ovima. Europski ured za AI pruža središnji nadzor nad GPAI modelima. Ova paralelna struktura znači da AI sustav financijske institucije može biti predmetom revizije i NCA-a i sektorskog financijskog regulatora koji primjenjuju različite, ali preklapajuće okvire.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.