Visokorizični AI sustavi moraju održavati potpunu tehničku datoteku prije stavljanja na EU tržište. Čl. 11 i Prilog IV točno definiraju što uključiti — od arhitekture sustava do upravljanja podacima za obuku i planova nadzora post-tržišta.
Što je tehnička datoteka?
Tehnička dokumentacija — koja se obično naziva "tehnička datoteka" — je glavni paket dokaza koji dokazuje da visokorizični AI sustav ispunjava sve zahtjeve EU AI akta. Propisana je Čl. 11 i strukturirana Prilogom IV, mora se sastaviti prije nego što se sustav stavi na EU tržište i ažurirati kroz cijeli životni ciklus sustava.
Tehnička datoteka nije se podnosi centralno. Pružatelj je drži i predaje na zahtjev tijelima za nadzor tržišta i prijavljenim tijelima. Ovo je model povlačenja: tijela dolaze k vama; morate biti spremni predati potpun, koherentan paket, a ne improviziran hrpu datoteka sastavljen pod pritiskom.
Čl. 11 nameće tri dužnosti pružateljima:
- Sastaviti je prije stavljanja na tržište ili u pogon.
- Ažurirati je — svaka bitna promjena sustava zahtijeva ažuriranje datoteke i ponovnu procjenu sukladnosti.
- Staviti je na raspolaganje nadležnim tijelima i prijavljenim tijelima na zahtjev, unutar definiranog vremenskog okvira (obično 10 radnih dana prema nacionalnim pravilima nadzora tržišta).
Standard za "ažurirano" je funkcionalan: tehnička datoteka mora odražavati sustav koji je stvarno raspoređen, a ne sustav koji je originally dizajniran. Ako ažuriranje modela mijenja karakteristike performansi, pragove točnosti ili podatke za obuku, datoteka mora biti revidirana.
Kome je potrebna tehnička dokumentacija?
Tehnička dokumentacija prema Čl. 11 i Prilogu IV je obvezna za pružatelje:
- Visokorizičnih AI sustava navedenih u Prilogu III — samostalnih sustava u područjima poput biometrijske kategorizacije, zapošljavanja, kreditnog bodovanja, upravljanja kritičnom infrastrukturom, obrazovanjem, kaznenim pravosuđem, migracije i nadzora granica te uprave pravosuđa (podložno filtru značajnog rizika prema Čl. 6(3))
- AI sustava koji funkcioniraju kao sigurnosne komponente u proizvoda reguliranim prema Prilogu I — AI ugrađen u medicinske uređaje, strojeve, vozila, zrakoplovnu opremu i slične proizvode uređene postojećim EU zakonodavstvom o sigurnosti proizvoda
Tehnička dokumentacija nije potrebna za:
- Minimalno rizične AI sustave (chatbotovi, filteri neželjene pošte, preporučne aplikacije izvan visokorizičnih kategorija)
- AI sustave podložne samo obvezama transparentnosti prema Čl. 50 (npr. otkrivanje dubokih lažnjaka, otkrivanje prepoznavanja emocija gdje nisu visokorizični)
- Pružatelje GPAI modela — oni imaju zasebne obveze dokumentacije prema Čl. 53, uključujući tehničku dokumentaciju za sam model, ali ne format Priloga IV osmišljen za raspoređene visokorizične sustave
Ako ste korisnik (ne pružatelj), od vas se ne zahtijeva priprema tehničke datoteke. Međutim, korisnici moraju održavati zapise o korištenju sustava (Čl. 26(5)), a pružatelji imaju pravo koristiti te zapise pri ažuriranju tehničke dokumentacije ili rukovanju izvještajima o incidentima.
14 elemenata Priloga IV
Prilog IV specificira minimalni sadržaj tehničke datoteke. Nema krutog formata — pružatelji mogu organizirati dokumentaciju po svom nahođenju — ali svih 14 elemenata mora biti prisutno i sadržajno. Unosi u obliku potvrdnih polja bez popratnih dokaza ne zadovoljavaju Prilog IV.
| # | Element Priloga IV | Što mora sadržavati |
|---|---|---|
| 1 | Opći opis | Naziv sustava, identifikator verzije, namijenjena svrha, namijenjeni korisnici, geografska tržišta, naziv i adresa pružatelja, eventualni ovlašteni predstavnik |
| 2 | Komponente sustava | Zahtjevi za hardver, softverske komponente, korišteni modeli ili biblioteke trećih strana, pregled metodologije obuke, algoritmski pristup (npr. nadzirano učenje, pojačano učenje, transformer arhitektura) |
| 3 | Projektne specifikacije | Arhitektura sustava, dijagrami toka podataka, ključne projektne odluke i njihovo obrazloženje, napravljeni kompromisi (npr. točnost vs. objašnjivost), format izlaza i kako izlazi ulaze u downstream odluke |
| 4 | Podaci za obuku, validaciju i testiranje | Skupovi podataka korišteni u svakoj fazi, izvori podataka, postupci upravljanja podacima, statistička svojstva skupova podataka (veličina, distribucija, pokrivenost), protokoli obrade podataka i predobrade, mjere poduzete za otkrivanje i rješavanje pristranosti skupova podataka |
| 5 | Dokumentacija upravljanja rizicima | Potpuni sustav upravljanja rizicima prema Čl. 9: identificirani rizici za zdravlje, sigurnost i temeljna prava; procjena i evaluacija rizika; usvojene mjere ublažavanja rizika; prihvaćeni rezidualni rizici; osnova za prihvaćanje rezidualnih rizika |
| 6 | Promjene životnog ciklusa | Opis svih bitnih modifikacija napravljenih nakon početnog raspoređivanja, njihova priroda i opseg, način na koji je sukladnost bila ponovno procijenjena nakon svake promjene, povijest verzija s datumima |
| 7 | Mjere ljudskog nadzora | Kako su implementirani zahtjevi Čl. 14: mehanizmi overridea i zaustavljanja, sučelja koja omogućuju operaterima praćenje izlaza, zahtjevi za obuku ili kvalifikacije operatera, dokumentirani postupci za ljudsku intervenciju |
| 8 | Postupci validacije i testiranja | Korištene metrike performansi (točnost, preciznost, odziv, F1, AUC, metrike pravednosti), opisi skupova podataka za testiranje, uvjeti testiranja i okoline, metodologija testiranja pristranosti i rezultati, testiranje čvrstoće i stresa, performanse izvan distribucije |
| 9 | Mjere kibersigurnosti | Tehničke mjere protiv krađe modela, trovanja podataka, adversarijalnih napada, ubrizgavanja promptova (za LLM sustave), kontrole pristupa, enkripcija u prijenosu i u mirovanju, postupci upravljanja ranjivostima |
| 10 | Praćenje pristranosti i točnosti | Postupci praćenja post-raspoređivanja, pragovi točnosti ispod kojih sustav aktivira pregled, referentne vrijednosti performansi razvrstane po demografskim skupinama gdje je relevantno, postupci za djelovanje na otkrivene drift ili pristranost |
| 11 | Upute za korištenje | Dokument prema Čl. 13 za korisnike: namijenjena svrha i slučajevi upotrebe, karakteristike performansi i ograničenja, poznana ograničenja, zahtjevi za održavanje i ažuriranje, obveze bilježenja za korisnike, kontaktna točka za prijavu incidenata |
| 12 | Plan nadzora post-tržišta | Dizajn sustava praćenja prema Čl. 72: podaci prikupljeni od korisnika, učestalost ciklusa praćenja, pragovi koji aktiviraju pregled ili ažuriranje, postupak prijave ozbiljnih incidenata (Čl. 73), postupak povratne sprege podataka praćenja u upravljanje rizicima |
| 13 | Opis sučelja | API-ji i integracijske točke, formati i ograničenja ulaznih podataka, formati izlaza i njihova semantika, integracija s drugim sustavima ili komponentama, kompatibilnost verzija |
| 14 | Usklađene norme i zajedničke specifikacije | Popis primijenjenih usklađenih normi (npr. ISO/IEC 42001:2023, EN norme prema programu standardizacije AI akta), usvojene zajedničke specifikacije prema Čl. 41, stupanj primjene svake norme, eventualna odstupanja i njihovo obrazloženje |
Praktična napomena o elementu 4 (podaci za obuku): Prilog IV ne zahtijeva javno objavljivanje skupova podataka tijelima prema zadanom. Zahtijeva da dokumentacija postoji i može se predočiti. Za vlasnički skupove podataka, opis postupaka upravljanja podacima, statistički sažeci i rezultati testiranja pristranosti obično će zadovoljiti zahtjev bez otkrivanja komercijalno osjetljivih podataka.
Praktična napomena o elementu 14 (norme): Od sredine 2026., program standardizacije AI akta još je u tijeku. ISO/IEC 42001 (sustavi upravljanja AI-jem) je dostupan i široko se navodi. Pružatelji bi trebali pratiti europski rad na standardizaciji prema CEN/CENELEC JTC 21 i ažurirati ovaj dio kako se usklađene norme budu objavljivale u Službenom listu.
EU Izjava o sukladnosti (Čl. 47)
EU Izjava o sukladnosti (EU IoS) je zasebni obvezni dokument — nije dio tehničke datoteke, ali se na nju poziva. EU IoS je formalna izjava pružatelja da AI sustav ispunjava sve primjenjive zahtjeve EU AI akta.
Valjana EU IoS mora uključivati:
- Naziv i adresu pružatelja (i ovlaštenog predstavnika ako je primjenjivo)
- Naziv, verziju, serijski broj ili broj serije AI sustava ako je primjenjivo
- Izjavu da je sustav u skladu s EU AI aktom
- Korišten postupak ocjene sukladnosti: Prilog VI (unutarnja kontrola / samoprocjena) za većinu sustava prema Prilogu III, ili Prilog VII (procjena treće strane od strane prijavljenog tijela) za AI biometrijske kategorizacije i AI koji se koriste u kritičnoj infrastrukturi koji zahtijevaju uključenost treće strane
- Popis usklađenih normi ili zajedničkih specifikacija na koje se oslanja
- Potpis ovlaštenog predstavnika pružatelja s datumom i mjestom
EU IoS mora se čuvati 10 godina nakon stavljanja na tržište i predočiti na zahtjev. Prati CE oznaku (vidi dolje).
Za AI sustave ugrađene u Prilog I proizvode, EU IoS se može spojiti s izjavom o sukladnosti zahtijevanom prema relevantnom sektorskom zakonodavstvu, pod uvjetom da sadrži sve elemente zahtijevane od oba pravna instrumenta.
CE oznaka (Čl. 48)
Visokorizični AI sustavi koji se stavljaju na EU tržište moraju nositi CE oznaku, koja signalizira sukladnost s EU AI aktom i bilo kojim drugim primjenjivim EU usklađenim zakonodavstvom koje pokriva isti proizvod.
Iznimke: AI sustavi u kategorijama Priloga III koje raspoređuju javna tijela za vlastitu internu upotrebu su izuzeti od zahtjeva za CE oznaku. Ostaju podložni svim ostalim obvezama — tehničkoj dokumentaciji, upravljanju rizicima, ljudskom nadzoru, registraciji — ali ne moraju stavljati CE oznaku.
CE oznaka mora se staviti prije nego što se sustav stavi na EU tržište. Mora biti vidljiva, čitljiva i neizbrisiva. Gdje fizička priroda sustava ne dopušta izravno stavljanje oznake, može se pojaviti na pakiranju ili u uputama za korištenje.
Kada je visokorizični AI sustav komponenta Prilog I proizvoda koji već zahtijeva CE oznaku prema sektorski specifičnom zakonodavstvu (npr. medicinski uređaji, strojevi), CE oznaka pokriva sukladnost i sa sektorskim zakonodavstvom i s AI aktom. Pružatelji trebaju jasno dokumentirati koji postupci ocjene sukladnosti podupiru CE oznaku.
Praktični kontrolni popis: Minimalna održiva tehnička datoteka
Prije nego što se bilo koji visokorizični AI sustav stavi na EU tržište, provjerite je li ovih 10 stavki potpuno i evidentirano:
- [ ] Opis sustava i kontrola verzija — naziv, verzija, namijenjena svrha dokumentirani; postoji zapisnik promjena
- [ ] Dijagram arhitekture — dijagram toka podataka i komponenti koji prikazuje sav hardver, softver i elemente trećih strana
- [ ] Inventar podataka za obuku i zapis upravljanja — skupovi podataka katalogizirani s izvorom, veličinom, podjelama i postupcima kvalitete podataka dokumentirani
- [ ] Procjena rizika (prema Čl. 9) — identificirani rizici, mjere ublažavanja i prihvaćeni rezidualni rizici dokumentirani i potpisani
- [ ] Rezultati testiranja pristranosti — metodologija testiranja dokumentirana; rezultati razvrstani po relevantnim demografskim skupinama gdje je primjenjivo
- [ ] Metrike točnosti na reprezentativnom skupu za testiranje — metrike performansi dokumentirane s uvjetima testiranja; pragovi definirani
- [ ] Dokument postupka ljudskog nadzora — mehanizmi overridea opisani; zahtjevi operatera (obuka, kvalifikacije) dokumentirani
- [ ] Procjena kibersigurnosti — poznati vektori napada procijenjeni; tehničke protumjere dokumentirane
- [ ] Upute za korištenje (za korisnike) — dokument prema Čl. 13 potpun, uključujući ograničenja, obveze bilježenja i kontakt za prijavu incidenata
- [ ] Plan nadzora post-tržišta — opseg prikupljanja podataka, učestalost praćenja, pokretači pregleda i postupak prijave incidenata dokumentirani
Ovaj kontrolni popis pokriva minimum. Dobro pripremljena tehnička datoteka ići će dalje — posebno na metodologiji testiranja pristranosti, karticama modela za komponente modela i dokazima da je proces upravljanja rizicima iterativan, a ne jednokratna vježba.
Kako se ovo povezuje s Akademijom EU AI akta
Pro razina Akademije EU AI akta uključuje gotove predloške tehničke dokumentacije koji pokrivaju svih 14 elemenata Priloga IV, uključujući:
- Strukturiranu XLSX radnu bilježnicu s jednom karticom po elementu Priloga IV, unaprijed popunjenom s promptovima i primjerima unosa
- DOCX kostur tehničke datoteke spreman za uređivanje
- Radni list procjene rizika koji prati iterativni proces Čl. 9
- Predložak zapisa upravljanja podacima koji pokriva skupove podataka za obuku, validaciju i testiranje
- Predložak plana nadzora post-tržišta usklađen s Čl. 72
Ovi predlošci osmišljeni su za prilagodbu vašem specifičnom sustavu — to su polazišne točke sa sadržajnim sadržajem, ne prazni obrasci.
Povezane stranice:
- Prilog III — Kategorije i obveze visokorizičnog AI-ja
- Postupci ocjene sukladnosti (Prilog VI i VII)
- Akademija EU AI akta — predlošci i obuka
- Alati — Odabir ocjene sukladnosti
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Pružatelj visokorizičnog AI sustava isključivo je odgovoran za pripremu i održavanje tehničke dokumentacije. Korisnici nisu dužni je pripremati, ali moraju čuvati zapise o pristupu i možda ih trebaju dostaviti pružateljima za svrhe izvještavanja.
Tehnička dokumentacija mora se čuvati 10 godina nakon što je AI sustav stavljen na EU tržište ili u pogon (Čl. 18). Za AI sustave ugrađene u proizvode podložne zakonodavstvu prema Prilogu I, primjenjuje se dulje razdoblje zadržavanja zakonodavstva o proizvodu ako je dulje.
Ne — tehnička dokumentacija ne podnosi se centralno. Mora je čuvati pružatelj i staviti na raspolaganje tijelima za nadzor tržišta i prijavljenim tijelima na zahtjev. Registracija u bazi podataka AI EU (Čl. 71) je obvezna, ali puna tehnička datoteka ostaje kod pružatelja.
Formalni dokument koji potpisuje pružatelj koji izjavljuje da je AI sustav u skladu sa zahtjevima EU AI akta. Mora sadržavati naziv sustava, verziju, identitet pružatelja, popis ispunjenih primjenjivih zahtjeva, korišten postupak ocjene sukladnosti i referencu na relevantne usklađene norme. Prati CE oznaku.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.