55. cikk — Az általános célú, rendszerszintű kockázatot hordozó mesterséges intelligencia modellek értékelése és adverszáris tesztelése (EU AI-rendelet)

Az (EU) 2024/1689 rendelet 55. cikke — Az általános célú, rendszerszintű kockázatot hordozó mesterséges intelligencia modellek értékelése és adverszáris tesztelése. Hivatalos szöveg, gyakorlati értelmezés, főbb kötelezettségek és megfelelőségi következmények.

A hivatalos szöveg összefoglalása

Az (EU) 2024/1689 rendelet 55. cikke egyedi értékelési és adverszáris tesztelési kötelezettségeket állapít meg az általános célú mesterséges intelligencia (GPAI) modellek azon szolgáltatói számára, amelyek rendszerszintű kockázatot hordoznak. Az 53. cikkben meghatározott szélesebb körű kötelezettségekre és az 51. cikkben szereplő rendszerszintű kockázat-besorolási kritériumokra építve az 55. cikk megköveteli, hogy az ilyen szolgáltatók szabványosított protokolloknak megfelelően végezzék el a modellértékeléseket, és rendszeresen végezzenek adverszáris tesztelést — amelyet általánosan red-teamingnek neveznek.

Az 1. cikk (1) bekezdés a) pontja alapján megkövetelt értékeléseknek követniük kell az élenjáró szabványosított protokollokat és eszközöket, beleértve az AI-iroda által kidolgozott vagy jóváhagyott protokollokat. Ha nem léteznek szabványosított protokollok, a szolgáltatóknak megfelelő módszertanokat kell tervezniük és alkalmazniuk a rendszerszintű kockázatok jellegének és mértékének azonosítása és értékelése érdekében.

Az 1. cikk (1) bekezdés b) pontja adverszáris tesztelést rendel el, amelyet belsőleg vagy akkreditált külső szakértők bevonásával kell elvégezni, azzal a céllal, hogy azonosítsák a standard értékelési eljárások által nem rögzített kockázatokat. A szolgáltatóknak dokumentálniuk kell mind az értékelések, mind az adverszáris tesztelési gyakorlatok módszertanát, terjedelmét és eredményeit, és a jelentős megállapításokat be kell jelenteniük az AI-irodának. Maga az AI-iroda a (2) bekezdés alapján bármikor fenntartja a jogot független adverszáris tesztelés szervezésére vagy megrendelésére. A cikk arra is kötelezi a szolgáltatókat, hogy az értékelési eredményeket és tesztelési jelentéseket kérésre megosszák az illetékes hatóságokkal.

Mit jelent ez a gyakorlatban

Az élvonalbeli GPAI-modelleket fejlesztő vagy telepítő szervezetek számára az 55. cikk strukturált és dokumentált minőségbiztosítási folyamatot ír elő, amely kifejezetten a rendszerszintű károk azonosítására összpontosít. A gyakorlatban ez azt jelenti, hogy a minősített modell kiadása előtt — és a kiadás után folyamatosan — a szolgáltatóknak mind szabványosított képességértékeléseket, mind célzott adverszáris gyakorlatokat kell elvégezniük, amelyek célja a katasztrofális vagy széles körű kockázatok feltárása, mint például tömeges manipuláció, fegyverekkel kapcsolatos tartalom generálása, nagy léptékű kibertámadások vagy kritikus infrastruktúra megzavarása.

Operatív szempontból a megfelelés megköveteli multidiszciplináris red-team kapacitás összeállítását vagy megbízását, amely AI-biztonság, kiberbiztonság, dezinformáció, biobiztonság és más releváns területeken szerzett szakértelemmel rendelkezik. Az értékeléseket a legújabb álláspontot tükröző referenciamutatókkal és protokollokkal szemben kell elvégezni; a szolgáltatók nem támaszkodhatnak kizárólag szabadalmaztatott, nem közzétett módszertanokra, ha szabványosított alternatívák léteznek.

A dokumentáció alapvető fontosságú. A szolgáltatóknak részletes nyilvántartást kell vezetniük minden értékelési ciklusról — beleértve a terjedelmet, a csapat összetételét, a tesztelt forgatókönyveket, a megfigyelt kimeneteket és az alkalmazott enyhítő intézkedéseket —, és kérésre képesnek kell lenniük ezeket a nyilvántartásokat az AI-iroda rendelkezésére bocsátani. Ahol a tesztelés új vagy súlyosbodott rendszerszintű kockázatokat tár fel, a szolgáltatók kötelesek korrekciós intézkedéseket végrehajtani, és ahol a kockázat súlyos, indokolatlan késedelem nélkül értesíteni kell az AI-irodát.

Például egy 10^25 FLOP képzési küszöbértéket meghaladó nagy multimodális modellt kiadó szolgáltatónak a red-team gyakorlatokat az indítás előtt kell ütemezni, amelyek legalább a következőket fedik le: kettős felhasználású tudományos ismeretek kinyerése, meggyőző tartalom generálása nagy léptékben és automatizált kibertámadások elősegítése. Az indítás után ezeket a gyakorlatokat meg kell ismételni, amikor a modell jelentős finomhangolást vagy képességfrissítéseket kap.

Főbb kötelezettségek

Szabványosított értékelések: Modellértékelések végzése legkorszerűbb szabványosított protokollok és eszközök alkalmazásával, beleértve az AI-iroda által kidolgozott vagy jóváhagyott protokollokat, a piacra helyezés előtt és folyamatosan.
Adverszáris tesztelés (red-teaming): Strukturált adverszáris tesztelési gyakorlatok elvégzése — belsőleg vagy minősített külső harmadik felek bevonásával — amelyek célja a standard értékeléssel nem azonosított rendszerszintű kockázatok felszínre hozása.
Dokumentáció és nyilvántartás-vezetés: Részletes nyilvántartás vezetése az értékelési módszertanról, terjedelmekről, tesztelt forgatókönyvekről, eredményekről és az alkalmazott korrekciós intézkedésekről, a nyilvántartások kérésre az AI-iroda rendelkezésére bocsátásával.
Jelentős megállapítások jelentése: Az AI-iroda értesítése az értékelések vagy adverszáris tesztelés során felfedezett súlyos vagy újonnan azonosított rendszerszintű kockázatokról indokolatlan késedelem nélkül.
Együttműködés az AI-iroda által megrendelt teszteléssel: Az AI-iroda felügyeleti hatáskörén belül közvetlenül szervezett vagy megrendelt független adverszáris tesztelés megkönnyítése és az azzal való együttműködés.
Folyamatos megfelelés a kiadás után: Értékelések és adverszáris tesztelés megismétlése a modell jelentős frissítései, finomhangolása vagy a tervezett felhasználási esetek változásai után, amelyek megváltoztathatják a modell kockázati profilját.

Kapcsolat más cikkekkel

Az 55. cikk az 51. cikkben megállapított rendszerszintű kockázat-besorolás és az 53. cikkben meghatározott általános GPAI-kötelezettségek operatív kiegészítőjeként működik. Az 52. cikkel együtt kell olvasni, amely meghatározza a rendszerszintű kockázat besorolásának küszöbértékét és kritériumait, és az 54. cikkel, amely a rendszerszintű kockázatú GPAI-modellekre vonatkozó műszaki dokumentációval kapcsolatos kötelezettségeket tárgyalja. A 73. cikkben foglalt incidensjelentési kötelezettség találkozik az 55. cikkel, ahol az adverszáris tesztelés súlyos incidenst vagy közel-incidenst tár fel, amely értesítést igényel. Felügyeleti szinten az AI-iroda azon joga, hogy az 55. cikk (2) bekezdése alapján tesztelést rendeljen meg, a 88. és 89. cikk által biztosított szélesebb körű felügyeleti hatásköröken alapul. A szolgáltatóknak a 110. preambulumbekezdést is meg kell vizsgálniuk, amely tisztázza a rendszerszintű kockázatú modellek megkülönböztetésének indokait és a piacra kerülés előtti biztonsági értékelés fontosságát a folyamatos monitoring kiegészítéseként.

Megfelelési ütemterv

2024. augusztus 1. — Az (EU) 2024/1689 rendelet hatályba lépett, megkezdve a fokozatos alkalmazás óráját.
2025. február 2. — A tiltott AI-gyakorlatok (II. cím) alkalmazandóvá váltak.
2025. augusztus 2. — Az általános célú AI-modelleket szabályozó V. cím rendelkezései, beleértve az 55. cikket, teljes mértékben alkalmazandóvá váltak. A már piacon lévő minősített GPAI-modelleket forgalmazó szolgáltatóknak ezen időpontig kellett megfelelést elérniük.
2026. december 2. — Az I. melléklet szerinti nagy kockázatú AI-rendszerekre vonatkozó kötelezettségek (biztonsági-komponens rendszerek) alkalmazandóvá válnak.
2027. augusztus 2. — A fennmaradó nagy kockázatú AI-rendszer-kötelezettségek (III. melléklet rendszerei) alkalmazandóvá válnak.

Az 55. cikk tehát már hatályban van. A rendszerszintű kockázatot hordozó GPAI-modellek azon szolgáltatói, akik még nem hoztak létre értékelési és adverszáris tesztelési programokat, megsértik a jelenlegi kötelezettségeket, és azonnali prioritásként kell kezelniük a kárelhárítást.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Mi az adverszáris tesztelés az EU AI-rendelet 55. cikke szerint?

Az adverszáris tesztelés, más néven red-teaming, olyan strukturált értékelésekre utal, amelyek során szakértők megpróbálnak káros, elfogult vagy egyéb nemkívánatos kimeneteket előidézni egy általános célú AI-modellből. Az 55. cikk előírja, hogy a rendszerszintű kockázatot hordozó GPAI-modellek szolgáltatói ilyen tesztelést végezzenek a modell piacra helyezése előtt és azt követően folyamatosan, hogy a komoly kockázatokat még a károkozás előtt azonosítsák és mérsékeljenek.

Mely AI-modellekre vonatkozik az 55. cikk?

Az 55. cikk kizárólag azon általános célú mesterséges intelligencia (GPAI) modellek szolgáltatóira vonatkozik, amelyekről megállapították, hogy rendszerszintű kockázatot hordoznak — ez a besorolás az 51. cikk alapján akkor aktiválódik, ha egy modellt 10^25 FLOPs-ot meghaladó teljes számítási kapacitással képeztek, vagy ha az Európai Bizottság más eszközökkel arra a következtetésre jut, hogy a modell rendszerszintű kockázatot jelent. Az e küszöbérték alatti GPAI-modellek szolgáltatóira nem vonatkozik az 55. cikk.

Ki végezheti az 55. cikk által megkövetelt adverszáris tesztelést?

Az 55. cikk lehetővé teszi a szolgáltatók számára, hogy adverszáris tesztelést végezzenek belső erőforrások felhasználásával vagy minősített külső harmadik felek bevonásával. Figyelemre méltó, hogy a cikk feljogosítja az AI-irodát arra, hogy szervezze és koordinálja a rendszerszintű kockázatot hordozó GPAI-modellek független adverszáris tesztelését, beleértve az ilyen tesztelés megbízható szervektől való megrendelését is. Az eredményeket és módszertanokat dokumentálni kell és kérésre az AI-iroda rendelkezésére kell bocsátani.

Mikor válik alkalmazandóvá az 55. cikk?

Az általános célú AI-modelleket szabályozó rendelkezések, beleértve az 55. cikket, 2025. augusztus 2-án váltak alkalmazandóvá, tizenkét hónappal azután, hogy a rendelet 2024. augusztus 1-jén hatályba lépett. Az ezen időpont előtt minősített GPAI-modellt piacra helyező szolgáltatóknak 2025. augusztus 2-ig kellett megfelelniük a rendszerszintű kockázatra vonatkozó kötelezettségeknek.

Mi történik, ha egy szolgáltató nem tartja be az 55. cikket?

A rendszerszintű kockázatot hordozó GPAI-modellekre vonatkozó kötelezettségek — beleértve az 55. cikkben foglalt adverszáris tesztelési követelményt — be nem tartása akár a globális éves forgalom 3%-áig terjedő, vagy 15 millió EUR összegű igazgatási bírságot vonhat maga után, attól függően, melyik a magasabb. Az AI-iroda, amely elsődleges felügyeleti hatáskörrel rendelkezik a GPAI-szolgáltatók felett, korrekciós intézkedéseket is hozhat, további dokumentációt kérhet, vagy súlyos esetekben felfüggesztheti a piaci hozzáférést.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.