9. cikk — Kockázatkezelési rendszer (EU MI-rendelet)

Az (EU) 2024/1689 rendelet 9. cikke — Kockázatkezelési rendszer. Hivatalos szöveg, gyakorlati értelmezés, főbb kötelezettségek és megfelelőségi következmények.

A Hivatalos Szöveg Összefoglalója

Az (EU) 2024/1689 rendelet 9. cikke kötelező, folyamatos kockázatkezelési rendszert ír elő a nagy kockázatú MI-rendszerek szolgáltatóira a rendszer teljes életciklusa alatt. A rendelkezés előírja, hogy a kockázatkezelési rendszer iteratív folyamatból álljon, amely integrálódik a nagy kockázatú MI-rendszer fejlesztésébe és működésébe, és amelyet rendszeresen frissítenek a forgalomba hozatal utáni felügyelet során összegyűjtött új információk fényében.

Konkrétan a 9. cikk előírja a szolgáltatóknak, hogy: (a) azonosítsák és elemezzék a nagy kockázatú MI-rendszerrel kapcsolatos összes ismert és ésszerűen előre látható kockázatot; (b) becsüljék meg és értékeljék azokat a kockázatokat, amelyek akkor valósulhatnak meg, amikor a rendszert a tervezett céljának megfelelően és ésszerűen előre látható visszaélés feltételei között használják; (c) értékeljék a rendelkezésre álló adatokból és a rendszerrel kölcsönhatásba lépő személyek viselkedéséből eredő kockázatokat; és (d) fogadjanak el megfelelő kockázatkezelési intézkedéseket ezen elemzés alapján.

A kockázatkezelési intézkedéseknek olyanoknak kell lenniük, hogy az egyes veszélyekhez kapcsolódó maradványkockázat, valamint a nagy kockázatú MI-rendszer teljes maradványkockázata elfogadhatónak minősüljön. A 9. cikk azt is előírja, hogy tesztelést kell végezni a megfelelő intézkedések azonosítása érdekében, és hogy az ilyen tesztelést meghatározott mutatók és valószínűségi küszöbértékek alapján kell elvégezni. Különös figyelmet kell fordítani arra, ha a rendszer valószínűleg gyermekekkel vagy más sérülékeny csoportokkal lép kölcsönhatásba. Az üzemeltetők tapasztalataiból származó információkat vissza kell csatolni a rendszerszolgáltató kockázatkezelési folyamatába.

Gyakorlati Jelentése

A 9. cikk az EU MI-rendelet III. címének egyik legszigorúbb operatív követelménye. Vonatkozik minden olyan jogi személyre, amely nagy kockázatú MI-rendszer szolgáltatójának minősül — azaz arra a szervezetre, amely a rendszert fejleszti vagy fejlesztteti, és saját neve vagy védjegye alatt forgalomba hozza vagy üzembe helyezi.

Gyakorlati szempontból a megfelelőség megköveteli egy dokumentált kockázatkezelési keretrendszer létrehozását, mielőtt a rendszert forgalomba hozzák. Ez nem pusztán egy jelölőnégyzet-kitöltési feladat: a rendelet iteratív folyamatot ír elő, amely a termék teljes élettartama alatt fennáll, ami azt jelenti, hogy a kockázatkezelési dokumentációnak fejlődnie kell ahogy a rendszert frissítik, újratanítják vagy új kontextusokban telepítik.

Egy megfelelő kockázatkezelési rendszer jellemzően a következőket fogja tartalmazni: strukturált kockázatazonosítási eljárás, amely lefedi mind a tervezett használatot, mind a valószínűsíthető visszaélési forgatókönyveket; kockázatbecslési mátrix, amely értékeli a károsodás valószínűségét és súlyosságát; a mérséklési intézkedések katalógusa a kiválasztásuk dokumentált indokával; formális forgalomba hozatal előtti tesztelés meghatározott mutatók alapján; és egy mechanizmus a forgalomba hozatal utáni visszajelzések — beleértve az üzemeltetők által nyújtott incidensadatokat — folyamatos kockázatelemzésbe való beépítéséhez.

Például egy, az Annex III alapján nagy kockázatúnak minősített MI-alapú hitelpontozó eszköz szolgáltatójának dokumentálnia kell, hogyan produkálhat a modell diszkriminatív kimeneteleket, milyen műszaki és szervezeti intézkedések csökkentik ezt a kockázatot, és hogyan fogja a valós teljesítményadat kiváltani az újraértékelést. Egy egészségügyi kontextusban használt MI-rendszernek emellett foglalkoznia kell a fokozott gondossági kötelezettséggel, amikor sérülékeny felhasználók érintettek. A kockázatkezelés eredményei közvetlenül beépülnek a 11. cikk által megkövetelt műszaki dokumentációba és a 43-44. cikk szerinti megfelelőségi értékelésbe.

Főbb Kötelezettségek

Folyamatos kockázatkezelési rendszert kell létrehozni és fenntartani, amely a nagy kockázatú MI-rendszer teljes életciklusát lefedi, a tervezéstől a leszereléséig, frissítve a forgalomba hozatal utáni felügyeleti adatok fényében.
Azonosítani kell az összes ismert és ésszerűen előre látható kockázatot, beleértve az ésszerűen előre látható visszaélésből, más rendszerekkel való kölcsönhatásból és a telepítés szociotechnikai kontextusából eredő kockázatokat.
Meg kell becsülni és értékelni a kockázatokat a bekövetkezési valószínűségük és a potenciális károsodás súlyossága tekintetében, figyelembe véve a tervezett célt és az érintett személyek valószínű kategóriáit, beleértve a sérülékeny csoportokat és a gyermekeket.
Kockázatkezelési intézkedéseket kell elfogadni, amelyek az azonosított kockázatokat elfogadható maradványszintre csökkentik; ahol a műszaki intézkedések nem elegendők, szervezeti vagy tájékoztatási intézkedéseknek kell kiegészíteniük azokat.
Forgalomba hozatal előtti tesztelést kell végezni a tervezett célnak megfelelő meghatározott mutatók és valószínűségi küszöbértékek alapján, annak érvényesítésére, hogy a kiválasztott intézkedések hatékonyak, és hogy a maradványkockázat elfogadható.
Be kell építeni a forgalomba hozatal utáni felügyeleti visszajelzéseket az üzemeltetőktől és végfelhasználóktól a folyamatos kockázatkezelési folyamatba, biztosítva, hogy a rendszer reagálóképes maradjon a tényleges károsodásra vagy majdnem-baleseti eseményekre vonatkozó valós bizonyítékokra.

Kapcsolat Más Cikkekkel

A 9. cikk a 2. fejezet követelményrendszerének középpontjában áll, és strukturálisan több más rendelkezéshez kapcsolódik. Hatályához a 6. cikkre és a III. mellékletre támaszkodik: csak a nagy kockázatúnak minősülő rendszerekre vonatkoznak kötelezettségei. A 9. cikk szerinti folyamat eredményei közvetlenül táplálják a 11. cikket (műszaki dokumentáció), amely megköveteli a szolgáltatóktól annak igazolását, hogy megfelelő kockázatkezelési rendszer létezik és alkalmazták.

A 9. cikk szorosan kapcsolódik a 10. cikkhez is (adatok és adatirányítás), mivel a képzési, validálási és tesztelési adatok minősége lényegesen befolyásolja a kezelendő kockázati profilt. A 13. cikk (átláthatóság és tájékoztatás) előírja, hogy bizonyos kockázatokkal kapcsolatos információkat közölni kell az üzemeltetőkkel, a 14. cikk (emberi felügyelet) pedig olyan intézkedéseket határoz meg, amelyek gyakran első vonalbeli kockázatmérséklési eszközként szolgálnak a 9. cikk alapján. A 26. cikk lefelé irányuló kötelezettségeket ró az üzemeltetőkre a valós használat nyomon követésére és a releváns információk visszajuttatására a szolgáltatókhoz, lezárva a 9. cikk által megkövetelt visszacsatolási hurkot. Végül a 72. cikk (forgalomba hozatal utáni felügyelet) formalizálja az adatgyűjtési mechanizmusokat, amelyek az iteratív kockázatkezelési folyamatot idővel fenntartják.

Megfelelési Ütemterv

Az EU MI-rendelet 2024. augusztus 1-jén lépett hatályba. A 9. cikk, mint a nagy kockázatú MI-rendszerekre alkalmazandó 2. fejezet alapvető követelménye, a III. cím kötelezettségeinek általános megfelelési ütemtervét követi:

2024. augusztus 1. — A rendelet hatályba lép; megkezdődik a 24 hónapos átmeneti időszak a legtöbb nagy kockázatú kötelezettség esetében.
2025. február 2. — Az elfogadhatatlan kockázatú MI-gyakorlatokra vonatkozó tilalmak (5. cikk) alkalmazandóvá válnak. A 9. cikk még nem alkalmazandó.
2025. augusztus 2. — Az általános célú MI-modellekre vonatkozó szabályok (VIII. cím) alkalmazandóvá válnak. A 9. cikk a legtöbb nagy kockázatú rendszer esetében még nem kötelező.
2026. december 2. — A 9. cikk teljes egészében alkalmazandóvá válik a III. mellékletben felsorolt nagy kockázatú MI-rendszerekre (olyan területeken működő MI-rendszerek, mint az oktatás, foglalkoztatás, alapvető szolgáltatások, bűnüldözés, migráció és igazságszolgáltatás). A szolgáltatóknak erre az időpontra megfelelő kockázatkezelési rendszerrel kell rendelkezniük.
2027. augusztus 2. — Meghosszabbított határidő az I. mellékletben felsorolt meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékek biztonsági alkotóelemeit képező nagy kockázatú MI-rendszerek esetében (pl. gépek, orvostechnikai eszközök, polgári repülés).

Azoknak a szolgáltatóknak, akik nagy kockázatú MI-rendszereket fejlesztenek vagy szereznek be, 2026. december 2-ját kell kemény határidőként kezelniük a 9. cikk szerinti megfelelési felkészültség tekintetében, jóval előre beépítve a kockázatkezelési keretrendszereket a fejlesztési folyamataikba, hogy elegendő idő maradjon a tesztelésre, dokumentálásra és megfelelőségi értékelésre.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kinek kell kockázatkezelési rendszert bevezetnie a 9. cikk alapján?

Az (EU) 2024/1689 rendelet 6. cikkében és III. mellékletében meghatározott nagy kockázatú MI-rendszerek szolgáltatói kötelesek kockázatkezelési rendszert létrehozni és fenntartani, mielőtt rendszerüket forgalomba hozzák vagy üzembe helyezik.

Mit kell lefednie a 9. cikk szerinti kockázatkezelési rendszernek?

A rendszernek azonosítania és elemeznie kell az ismert és ésszerűen előre látható kockázatokat, becslést és értékelést kell készítenie a használat során felmerülhető kockázatokról, megfelelő kockázatkezelési intézkedéseket kell elfogadnia, és biztosítania kell, hogy a maradványkockázatok a rendelet szerint elfogadhatónak minősüljenek.

Elegendő-e az egyszeri kockázatértékelés a 9. cikk szerinti megfelelőséghez?

Nem. A 9. cikk folyamatos, iteratív folyamatot ír elő, amely a nagy kockázatú MI-rendszer teljes életciklusa alatt fut, beleértve a forgalomba hozatal utáni felügyeletet is. A rendszert frissíteni kell, ahogy új kockázatokra vonatkozó információk merülnek fel.

Mik az 'ésszerűen előre látható visszaélési' forgatókönyvek, és miért fontosak?

A 9. cikk kifejezetten előírja, hogy a szolgáltatóknak figyelembe kell venniük az ésszerűen előre látható visszaélésből eredő kockázatokat — nem csak a tervezett felhasználásból. Ez azt jelenti, hogy a szolgáltatóknak elemezniük kell azokat a valószínűsíthető módokat, amelyekkel a rendszert helytelenül vagy rosszhiszeműen lehetne felhasználni, és ezeket a kockázatokat megfelelően kell mérsékelniük.

Hogyan kapcsolódik a 9. cikk a 9. cikk (7) bekezdésében foglalt tesztelési kötelezettségekhez?

A 9. cikk (7) bekezdése előírja, hogy tesztelési eljárásokat kell meghatározni és lefolytatni a legmegfelelőbb kockázatkezelési intézkedések azonosítása érdekében. A tesztelést előzetesen meghatározott mutatók és a tervezett célnak megfelelő valószínűségi küszöbértékek alapján kell elvégezni, és a forgalomba hozatalt megelőzően kell elvégezni.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.