MSP-ovi — Vodič za usklađenost s EU AI aktom

Usklađenost s EU AI aktom za mala i srednja poduzeća. Odredbe specifične za MSP-ove, pristup regulatornim pijeskalištima, snižene naknade te praktični vodič za korisnike i razvijatelje AI sustava.

EU AI akt i MSP-ovi — Pozitivne vijesti

EU AI akt (Uredba (EU) 2024/1689) primjenjuje se na sve organizacije koje plasiraju ili koriste AI sustave na tržištu EU-a, bez obzira na veličinu. Međutim, regulatorna stvarnost za većinu malih i srednje velikih poduzeća znatno je manje opterećujuća nego što naslovi sugeriraju, iz jednog temeljnog razloga: golema većina MSP-ova koristi AI, a ne gradi ga.

MSP koji se pretplaćuje na CRM s AI funkcijama, uvodi chatbot SaaS dobavljača ili koristi softver za prognozu potražnje temeljen na oblaku, u terminologiji EU AI akta je korisnik — a ne pružatelj. Obveze korisnika sustavno su lakše od obveza pružatelja. Pružatelji snose primarni teret ocjene sukladnosti, tehničke dokumentacije, CE oznake i registracije. Korisnici imaju ciljaniiji skup obveza usredotočen na ispravnu upotrebu, ljudski nadzor i izvješćivanje o incidentima.

Osim razlikovanja korisnika i pružatelja, EU AI akt sadržava poseban paket odredbi specifičnih za MSP-ove koji pruža strukturnu potporu: prednostni pristup regulatornim pijeskalištima, snižene naknade za ocjenu sukladnosti i namjensku jedinstvenu kontaktnu točku na nacionalnoj razini. Te odredbe odražavaju izričitu namjeru zakonodavca da spriječi pretvaranje AI akta u nerazmjernu prepreku manjim sudionicima na tržištu.

Ovaj vodič objašnjava što EU AI akt praktično znači za MSP — bez obzira koristite li AI alate trećih strana, uvodite AI u kontekstima koji se suočavaju s kupcima ili sami razvijate i komercijalizirate AI proizvod.

Odredbe specifične za MSP-ove u Uredbi

EU AI akt uključuje četiri odredbe koje se primjenjuju posebno na MSP-ove (poduzeća koja ispunjavaju prag iz Preporuke Komisije 2003/361/EC: manje od 250 zaposlenika te godišnji promet koji ne prelazi 50 milijuna EUR ili ukupna bilanca koja ne prelazi 43 milijuna EUR) i na startupe.

Čl. 55 — Prednostni pristup regulatornim pijeskalištima

Čl. 55 utvrđuje da regulatorna AI pjeskališta — nadzorna okruženja za razvoj i testiranje AI sustava prije plasiranja na tržište — MSP-ovima i startupima moraju biti dostupna prednostno. Pristup je besplatan ili podliježe sniženim naknadama, a sudjelujuće organizacije dobivaju izravno vodstvo od nadležnog tijela. Pristup pijeskalištu omogućuje identifikaciju rizika i regulatorni dijalog u zaštićenom okruženju prije plasiranja na tržište, bez posljedica nesukladnog plasiranja. MSP-ovi koji grade AI sustave trebali bi sudjelovanje u pijeskalištu smatrati i uskladitvenim alatom i mehanizmom za izravnu suradnju s nadzornim tijelom prije lansiranja proizvoda.

Čl. 96 — Snižene naknade za ocjenu sukladnosti

Kada visokorizični AI sustav zahtijeva ocjenu sukladnosti treće strane od strane prijavljenog tijela (primjenjivo na sustave navedene u točkama 1, 6 i 7 Priloga III te AI za medicinske uređaje prema čl. 6(1)), čl. 96 od država članica zahtijeva uspostavljanje sniženih naknada za mala poduzeća. Mikropoduzećima — onima s manje od 10 zaposlenika i godišnjim prometom ili ukupnom bilancom koja ne prelazi 2 milijuna EUR — pripada pravo na još veće smanjenje. Točne tablice naknada utvrđuju se na razini država članica i razlikuju se prema nadležnosti; relevantno nacionalno tijelo za AI ili mreža Enterprise Europe Network može pružiti aktualne podatke.

Čl. 85 — Jedinstvena kontaktna točka

Čl. 85 obvezuje nacionalna nadzorna tijela za AI na uspostavljanje namjenske jedinstvene kontaktne točke za MSP-ove. To znači da MSP koji traži smjernice o obvezama iz AI akta ne mora prolaziti kroz više regulatornih odjela niti koordinirati s fragmentiranim tijelima. Jedinstvena kontaktna točka pruža informacije, usmjerava upite na odgovarajuću funkciju i olakšava zahtjeve za pristup pijeskalištu. Ova odredba znatno smanjuje administrativne troškove razumijevanja regulatornih obveza.

Čl. 9(5) — Razmjerno upravljanje rizicima

Čl. 9(5) predviđa da se sustav upravljanja rizicima koji se zahtijeva od pružatelja visokorizičnih AI sustava može provoditi razmjerno, uzimajući u obzir veličinu i strukturu organizacije. Za MSP koji djeluje kao pružatelj visokorizičnog sustava to znači da, iako moraju biti ispunjeni svi materijalni zahtjevi sustava upravljanja rizicima, format dokumentacije, složenost procesa i upravljačka struktura mogu biti prilagođeni stvarnim kapacitetima organizacije — pod uvjetom da to ne narušava zaštitne ciljeve okvira.

Jeste li pružatelj ili korisnik? — Okvir za odlučivanje za MSP-ove

Najvažnije prethodno utvrđivanje za svaki MSP koji se bavi EU AI aktom jest to djeluje li kao pružatelj ili korisnik u pogledu svakog AI sustava koji koristi ili nudi.

Pružatelj (čl. 3(3)): Organizacija koja razvija AI sustav, ili je razvoj AI sustava naručila, te ga plasira na tržište ili stavlja u upotrebu pod vlastitim imenom ili markom — uz naknadu ili besplatno. To uključuje MSP-ove koji:

Grade softverski proizvod koji ugrađuje AI (uključujući AI modele kojima se pristupa putem API-ja) te prodaju ili licenciraju taj proizvod kupcima;
Interno razvijaju AI model ili aplikaciju i nude ih kao uslugu krajnjim korisnicima izvan organizacije;
Bitno mijenjaju AI sustav treće strane na način koji mijenja njegovu namijenjenu svrhu.

Korisnik (čl. 3(4)): Organizacija koja u profesionalne svrhe pod vlastitom ovlašću koristi AI sustav. To obuhvaća MSP-ove koji:

Pretplaćuju se na SaaS proizvode s ugrađenim AI funkcijama (CRM, ERP, računovodstveni softver s AI značajkama);
Na svojoj web-stranici koriste chatbot ili konverzacijski AI treće strane;
API-jima AI u oblaku (obrada prirodnog jezika, klasifikacija slika, preporučni sustavi) pristupaju isključivo radi automatizacije internih radnih tokova ili poboljšanja vlastitih usluga, a bez nuđenja AI mogućnosti kao značajke proizvoda trećim stranama;
Nabavljaju softver za upravljanje HR-om, prognoziranje zaliha ili analitiku kupaca od vanjskih dobavljača.

Kritičan granični slučaj: MSP koji integrira vanjski AI API u vlastiti proizvod namijenjen kupcima i na tržištu predstavlja tu mogućnost kao značajku svog proizvoda jest pružatelj u pogledu te AI funkcionalnosti — a ne samo korisnik temeljnog API-ja. Pravna osoba koja definira namijenjenu svrhu, kontrolira korisničko iskustvo i plasira proizvod na tržište snosi obveze pružatelja prema čl. 16, bez obzira na podrijetlo AI modela.

Ključne obveze korisnika za MSP-ove koji koriste AI treće strane

Za većinu MSP-ova — onih koji uvode AI alate trećih strana umjesto da grade vlastite — prema čl. 26 i srodnim odredbama primjenjuju se sljedeće obveze.

Korištenje AI sustava u skladu s uputama pružatelja

Korisnici smiju visokorizične AI sustave koristiti samo u skladu s uputama za upotrebu pružatelja dostavljenima prema čl. 13. Korištenje AI sustava u svrhe koje nadilaze njegovu dokumentiranu namijenjenu svrhu, ili u konfiguracijama koje pružatelj nije validirao, prenosi dio uskladitvene odgovornosti na korisnika i može poništiti ocjenu sukladnosti sustava.

Imenovanje odgovorne osobe za ljudski nadzor

Čl. 26(1) zahtijeva da korisnici odgovornost za nadzor AI sustava dodijele kvalificiranoj osobi unutar organizacije. Za većinu MSP-ova to će biti imenована osoba (ne nužno namjenski AI compliance officer) koja razumije funkciju sustava, njegova poznata ograničenja i okolnosti u kojima je potrebna ljudska intervencija. To imenovanje treba biti dokumentirano.

Čuvanje operativnih zapisa

Kada visokorizični AI sustavi automatski generiraju zapise (čl. 12), korisnici moraju čuvati te zapise za zakonom propisano razdoblje — općenito šest mjeseci prema AI aktu, osim ako sektorski zakon propisuje dulje čuvanje. Korisnici moraju provjeriti da im ugovor s dobavljačem daje pristup zapisima te potvrđuje njihov format i potpunost.

Obavješćivanje pružatelja o ozbiljnim incidentima

Čl. 26(5) od korisnika zahtijeva da pružatelja obavijeste o svim ozbiljnim incidentima ili kvarovima otkrivenim tijekom upotrebe. Kada je korisnik javno tijelo, obveze obavješćivanja protežu se i na nacionalno nadzorno tijelo za AI. Za MSP korisnike iz privatnog sektora primarni je kanal izravno obavješćivanje pružatelja, koji zatim snosi vlastite obveze obavješćivanja tijela prema čl. 73.

Provedba ocjene učinka na temeljna prava gdje je primjenjivo

Čl. 27 od javnih tijela koja uvode visokorizični AI zahtijeva dovršenje ocjene učinka na temeljna prava prije uvođenja. MSP-ovima iz privatnog sektora koji uvode visokorizični AI — posebno u kontekstu HR-a, kreditne procjene ili odlučivanja prema kupcima — snažno se preporučuje provesti ekvivalentnu ocjenu, jer dokazuje dužnu pažnju i materijalno smanjuje rizik od provedbe mjera.

Pregled ugovora s dobavljačima

MSP korisnici moraju osigurati da njihovi ugovori s dobavljačima AI sustava sadrže: dokumentaciju o sukladnosti i upute za upotrebu; potvrdu registracije u bazi podataka EU-a gdje se zahtijeva; specifikaciju mogućnosti zapisivanja i prava pristupa; obvezu dobavljača na obavješćivanje o incidentima i sanaciju; te informacije o obvezama ažuriranja ili izmjene koje mogu utjecati na status sukladnosti sustava.

Ako gradite AI — Obveze MSP-ova pružatelja i dostupna potpora

MSP-ovi koji razvijaju i komercijaliziraju AI sustave pružatelji su i snose pune obveze pružatelja prema Poglavlju III za svaki sustav koji je visokorizičan. Opseg tih obveza je znatan: sustav upravljanja kvalitetom (čl. 17), tehnička dokumentacija prema Prilogu IV, upravljanje podacima prema čl. 10, zapisivanje prema čl. 12, zahtjevi transparentnosti prema čl. 13, dizajn ljudskog nadzora prema čl. 14 te standardi točnosti i robusnosti prema čl. 15. Za sustave iz Priloga III koji zahtijevaju procjenu prijavljenog tijela, put sukladnosti slijedi čl. 43.

Praktična polazna točka za MSP pružatelja jest utvrđivanje klasifikacije rizika:

Je li AI sustav obuhvaćen čl. 5 (zabranjene prakse)? Ako jest, razvoj mora prestati ili biti temeljito restrukturiran prije bilo kakve tržišne aktivnosti.
Kvalificira li se sustav kao visokorizičan prema čl. 6(1) (sigurnosna komponenta reguliranog proizvoda) ili Prilogu III (navedena područja primjene, uključujući biometrijsku identifikaciju, kritičnu infrastrukturu, obrazovanje, zapošljavanje, ključne usluge, provedbu zakona, migracije, pravosuđe)?
Kvalificira li se sustav samo kao AI model opće namjene uređen čl. 51–56, bez klasifikacije visokog rizika?
Podliježe li sustav samo obvezama transparentnosti iz čl. 50 (prepoznavanje emocija, deepfake, chatbotovi)?

Za MSP-ove čiji sustavi ne ulaze u kategorije visokog rizika ni zabranjene kategorije, usklađenost je znatno lakša: obveze transparentnosti iz čl. 50, usklađenost s GDPR-om i sektorske obveze prema primjenjivom nacionalnom ili pravu EU-a.

Za MSP-ove koji razvijaju visokorizični AI, regulatorno pjeskalište iz čl. 55 najvažniji je dostupni alat. Sudjelovanje u pijeskalištu omogućuje testiranje pred plasiranjem na tržište pod regulatornim nadzorom, pruža dokumentirane dokaze o naporu usklađivanja u dobroj vjeri i može identificirati korektivne mjere prije nego što postanu predmet provedbe. Zahtjevi se podnose nacionalnoj jedinstvenom kontaktnoj točki (čl. 85).

Praktični koraci za usklađenost MSP-ova

Korak 1 — Popisite sve AI sustave u upotrebi ili razvoju. Navedite svaki AI alat, SaaS proizvod, API u oblaku i interno razvijeni model. Zabilježite dobavljača, funkciju i to djeluje li MSP kao pružatelj ili korisnik za svaki od njih.

Korak 2 — Razvrstajte svaki sustav prema kategoriji rizika. Primijenite okvir čl. 5 / čl. 6 / Prilog III / čl. 50 na svaki sustav. Kada je klasifikacija neizvjesna, koristite jedinstvenu kontaktnu točku iz čl. 85 za smjernice.

Korak 3 — Za uloge korisnika: revidirajte ugovore s dobavljačima. Provjerite je li svaki dobavljač AI sustava dostavio dokumentaciju propisanu čl. 13 te da ugovor uređuje zapisivanje, obavješćivanje o incidentima i obveze ažuriranja. Označite praznine radi pregovaranja.

Korak 4 — Za uloge pružatelja: pokrenite put sukladnosti. Utvrdite zahtijeva li vaš visokorizični AI sustav samoprocjenu (čl. 43(2)) ili procjenu prijavljenog tijela treće strane (čl. 43(1)). Podnijte zahtjev za pristup pijeskalištu prema čl. 55 ako je sustav u razvoju. Rano stupite u kontakt s prijavljenim tijelom radi razumijevanja vremenskog okvira i financijskih implikacija, uzimajući u obzir vaše pravo na smanjenje naknada za MSP-ove prema čl. 96.

Korak 5 — Provedite obveze korisnika iz čl. 26 za sve visokorizične sustave. Imenujte osobe odgovorne za nadzor, dokumentirajte njihove odgovornosti, provjerite postupke čuvanja zapisa i potvrdite kanale za obavješćivanje o incidentima.

Korak 6 — Uspostavite ciklus pregleda AI akta. EU AI akt je živi okvir. Odredite odgovornu osobu za praćenje smjernica Ureda EU-a za AI, ažuriranja nacionalnih tijela i izmjena klasifikacija u Prilogu III. Planirajte godišnji interni pregled popisa sustava i statusa usklađenosti.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Smatramo li se pružateljem prema AI aktu ako kao MSP koristimo OpenAI API u svom proizvodu?

Da. Ako vaš MSP integrira AI model treće strane (uključujući putem API-ja) u proizvod ili uslugu koju stavljate na tržište ili u upotrebu pod vlastitim imenom ili markom, klasificirate se kao **pružatelj** prema **čl. 3(3)** EU AI akta. To se primjenjuje bez obzira na to je li temeljni model izradilo drugo poduzeće. Obveze pružatelja — uključujući tehničku dokumentaciju, ocjenu sukladnosti, CE oznaku (za visokorizične sustave) i registraciju — vaša su odgovornost. Kada uzlazni pružatelj modela dostavlja dokumentaciju o sukladnosti i upute za upotrebu, ti dokumenti podupiru vaš uskladitveni napor, ali ga ne zamjenjuju. Čl. 55 i čl. 96 predviđaju mehanizme potpore specifične za MSP-ove radi lakšeg ispunjavanja obveza.

Mora li chatbot na web-stranici našeg MSP-a biti usklađen s EU AI aktom?

To ovisi o dva čimbenika: o prirodi chatbota i o tome što radi. Kao prvo, ako je chatbot **sustav opće namjene koji se temelji na AI** i koji komunicira s korisnicima, mora ispunjavati **obvezu transparentnosti iz čl. 50**: korisnici moraju biti obaviješteni da komuniciraju s AI sustavom, osim ako to nije očito iz konteksta. Kao drugo, ako chatbot obavlja funkcije koje ga kvalificiraju kao visokorizičan — primjerice, pregled kandidata za posao, procjena kreditne sposobnosti ili donošenje odluka s pravnim ili značajnim osobnim učincima — primjenjuju se dodatne visokorizične obveze. Jednostavan chatbot za ČPP ili navigaciju proizvodima koji koristi SaaS pružatelja treće strane (gdje ste vi korisnik) primarno aktivira zahtjev transparentnosti iz čl. 50 i obveze korisnika iz čl. 26, posebno ispravnu upotrebu u skladu s uputama i obavješćivanje o incidentima.

Što je regulatorno AI pjeskalište i kako mu naš startup može pristupiti?

**Regulatorno AI pjeskalište** nadzorno je okruženje za testiranje koje uspostavljaju nacionalna nadzorna tijela za AI, u kojemu pružatelji AI sustava — uključujući startupe i MSP-ove — mogu razvijati, testirati i validirati AI sustave prije plasiranja na tržište, uz izravno regulatorno vodstvo. Pjeskališta su uređena **čl. 57–63** EU AI akta. **Čl. 55 MSP-ovima i startupima daje prednostni pristup**, a sudjelovanje je besplatno ili podliježe sniženim naknadama. Zahtjevi se podnose izravno nacionalnom tijelu nadležnom za AI akt u vašoj državi članici. Unutar pjeskalištâ tijelo može odobriti ograničena odstupanja od pojedinih zahtjeva radi omogućavanja stvarnog testiranja; svaki proizvod koji se plasira na tržište nakon završetka sandbox razdoblja mora naknadno ispunjavati sve primjenjive obveze. Kontaktirajte nacionalnu jedinstvenu kontaktnu točku za MSP-ove (**čl. 85**) radi informacija o postupku podnošenja zahtjeva.

Trebamo li registrirati naš AI sustav u bazi podataka EU-a?

Registracija u **bazi podataka EU-a za visokorizične AI sustave** prema **čl. 49** obvezna je samo ako je vaš sustav klasificiran kao **visokorizičan** prema čl. 6 ili Prilogu III. Pružatelji visokorizičnih sustava dužni su se registrirati prije plasiranja na tržište; korisnici koji su javna tijela moraju se registrirati i prije upotrebe. Većina MSP-ova koji primjenjuju AI sustave trećih strana (kao SaaS korisnici ili korisnici API-ja) nisu dužni registrirati se — ta obveza leži na pružatelju. Ako je vaš MSP pružatelj visokorizičnog AI sustava, registracija je obvezna neovisno o veličini poduzeća, premda se odredbe potpore iz čl. 55 i čl. 96 primjenjuju radi smanjenja troškova i proceduralne složenosti. Baza podataka javno je dostupna i njome upravlja Ured EU-a za AI.

Koje dokumente trebamo zatražiti od našeg dobavljača AI sustava prije njegova uvođenja?

Prije uvođenja AI sustava treće strane, posebno onog koji bi mogao biti visokorizičan, vaš MSP trebao bi ugovorom zahtijevati i pribaviti: (1) **EU Izjavu o sukladnosti** ili odgovarajuću dokumentaciju o sukladnosti; (2) **upute za upotrebu** kako je propisano čl. 13, uključujući namijenjenu svrhu, poznata ograničenja i zahtjeve za ljudski nadzor; (3) potvrdu da je sustav **registriran u bazi podataka EU-a** gdje se to zahtijeva; (4) informacije o **mogućnostima zapisivanja** sustava i načinu pristupa zapisima ili njihovog dohvaćanja; (5) **postupke obavješćivanja o incidentima** dobavljača i njihove obveze da vas obavijeste o kvarovima ili ažuriranjima koja utječu na sukladnost; te (6) informacije o **karakteristikama obrade podataka** sustava relevantnim za vaše GDPR obveze. Odsutnost ovih dokumenata od dobavljača koji nudi AI sustav u osjetljivoj domeni predstavlja materijalni uskladitveni rizik.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.