A megfelelőség nem ér véget a piacon való megjelenéssel. Az Art. 72 megköveteli, hogy a magas kockázatú MI-rendszerek szolgáltatói aktív forgalomba hozatal utáni figyelési rendszert tartsanak fenn, teljesítményadatokat gyűjtsenek és súlyos incidenseket jelentsék be. Íme, mit kell tennie — és mikor.
Mi a forgalomba hozatal utáni figyelés?
A megfelelőségértékelés és a CE-jelölés a belépési jegy az EU piaca számára egy magas kockázatú MI-rendszer számára — nem a befejező vonal. Az EU MI-törvény 72. cikke folyamatos kötelezettséget ír elő: a szolgáltatóknak forgalomba hozatal utáni figyelési (PMM) rendszert kell létrehozniuk és üzemeltetniük, amely aktívan gyűjti, elemzi és reagál a valós teljesítményadatokra a rendszer teljes üzemeltetési élettartama alatt.
Az indoklás egyértelmű. Egy rögzített adathalmazon validált MI-rendszer eltérhet, ahogy a valós bemenetek változnak, a felhasználói populáció változik, vagy az üzemeltetési környezet fejlődik. A statikus megfelelési pillanatképek ezt nem ragadhatják meg. A PMM az a mechanizmus, amely a megfelelőséget egyszeri esemény helyett folyamatos folyamattá alakítja.
A PMM-rendszernek arányosnak kell lennie az érintett magas kockázatú MI-rendszer jellegével és kockázataival. Egy millió fogyasztóra kiterjedő hitelminősítő modell intenzívebb figyelést igényel, mint egy szabályozott cégnél belsőleg használt, szűk körű dokumentumosztályozó eszköz.
Kinek kell PMM-rendszert létrehoznia?
Kötelező:
- III. melléklet szerinti önálló magas kockázatú MI-rendszerek szolgáltatói — a III. mellékletben felsorolt rendszerek, amelyek nem termékek biztonsági összetevői (pl. foglalkoztatási döntésekhez, oktatáshoz való hozzáféréshez, bűnüldözéshez, hitelképesség-értékeléshez, kritikus infrastruktúra kezeléshez használt MI)
- I. melléklet szerinti termékbe ágyazott MI-rendszerek szolgáltatói — meglévő uniós harmonizációs jogszabályok hatálya alá tartozó termékekbe integrált MI biztonsági összetevők (orvostechnikai eszközök, gépek, járművek)
Nem kötelező:
- Minimális kockázatú MI-rendszerek szolgáltatói (nincs formális PMM-kötelezettség, bár a jó gyakorlat alkalmazandó)
- Kizárólag átláthatósági kötelezettségű MI-rendszerek szolgáltatói (az Art. 50 kötelezettségek nem terjednek ki a PMM-re)
- GPAI-modell-szolgáltatók — ezek az Art. 61–62 szerinti külön rendszer hatálya alatt állnak, amely tartalmaz incidensbejelentést a rendszerszintű kockázatú modelleknél, de az Art. 72 PMM-től eltérően strukturált
Az alkalmazó szerepe támogató, de nem opcionális. Az alkalmazóknak a rendszert a szolgáltató utasításainak megfelelően kell üzemeltetniük, aktiválni és megőrizni kell a rendszerbe épített naplózási funkcionalitást, és — kritikusan — indokolatlan késedelem nélkül be kell jelenteniük a tudomásukra jutó súlyos incidenseket a szolgáltatónak. Az a szolgáltató, aki súlyos incidensről értesül és nem értesíti a szolgáltatót, nem megfelelő.
A forgalomba hozatal utáni figyelési terv (IV. melléklet, 12. pont)
A PMM-terv a műszaki dokumentáció (IV. melléklet) kötelező összetevője. Nem lehet általános dokumentum: konkrétnak kell lennie a rendszerre, annak telepítési kontextusára és azonosított kockázataira nézve. Minimálisan meg kell határoznia:
- Adatgyűjtés — milyen teljesítménymutatókat rögzítanak (pontosság, hibaarányok, döntési eredmények), hogyan gyűjtik az adatokat (automatizált telemetria, alkalmazói jelentések, felhasználói visszajelzések) és milyen gyakorisággal
- Visszajelzési hurkok — az a mechanizmus, amellyel az alkalmazók strukturált és időszerű módon jelenthetik vissza a teljesítménybeli problémákat, rendellenességeket vagy incidenseket a szolgáltatónak
- Pontosságfigyelés — hogyan követik nyomon a rendszer teljesítményét a megfelelőségértékelés során alkalmazott validált referenciaértékkel szemben, beleértve az eltérés-észlelési módszertant
- Elfogultságfigyelés — olyan rendszereknél, ahol a demográfiai eredmények anyagi jelentőségűek (toborzás, hitel, bűnüldözés), a védett csoportokon átívelő statisztikai eltérések folyamatos figyelése, meghatározott módszertannal és küszöbértékekkel
- Frissítési kiváltók — azok a konkrét kvantitatív vagy kvalitatív küszöbértékek, amelyek korrekciós intézkedést indítanak, köztük modell-újrabetanítást, paraméter-módosítást vagy telepítés felfüggesztését
- Felülvizsgálati ütemterv — a PMM-terv felülvizsgálatának és frissítésének gyakorisága, biztosítva, hogy az célravezetős maradjon a telepítési kontextus fejlődésével
A PMM-tervet naprakészen kell tartani. Egy elavult, a tényleges figyelési módszertant nem tükröző terv nem elégíti ki az Art. 72-t.
Súlyos incidensek bejelentése (Art. 73)
Mi minősül súlyos incidensnek?
A 73. cikk súlyos incidensként határozza meg a magas kockázatú MI-rendszer bármely olyan incidensét vagy meghibásodását, amely közvetlenül vagy közvetve vezet:
- Halálhoz vagy személyek súlyos egészségkárosodásához (testi vagy lelki)
- A kritikus infrastruktúra kezelésének és üzemeltetésének súlyos és visszafordíthatatlan zavarához
- Az alapvető jogok (magánszféra, hátrányos megkülönböztetésmentesség, kellő eljárás) súlyos megsértéséhez
- Olyan helyzethez, amelyben egy személy alig kerülte el a fentiek bármelyikét
Fontos, hogy az MI-törvény nem követeli meg az okozati összefüggés megállapítását a bejelentés előtt. Az ésszerű gyanú, hogy az MI-rendszer hozzájárult a kárhoz vagy nem akadályozta meg azt, elegendő a kötelezettség kiváltásához. Azok a szolgáltatók, akik a bejelentéssel bizonyosságra várnak, nemteljesítés kockázatának teszik ki magukat.
Bejelentési határidők
| Feladó | Fogadó | Határidő |
|---|---|---|
| Alkalmazó | Szolgáltató | Indokolatlan késedelem nélkül (tudomásszerzés után) |
| Szolgáltató | Nemzeti piacfelügyeleti hatóság | 15 naptári napon belül a tudomásszerzéstől számítva |
| Szolgáltató (közbiztonsági kockázat) | Nemzeti piacfelügyeleti hatóság | A tudomásszerzéstől számított 24 órán belül |
| Szolgáltató (újonnan felmerülő rendszerszintű kockázati minta) | Nemzeti piacfelügyeleti hatóság | Indokolatlan késedelem nélkül (nem szükséges konkrét incidens) |
A 15 napos időszak a tudomásszerzéskor indul — ami a gyakorlatban azt jelenti, amikor az alkalmazó értesíti a szolgáltatót. A szolgáltatóknak úgy kell kialakítaniuk az alkalmazói értesítési eljárásaikat, hogy a tájékoztatás elég gyorsan eljusson hozzájuk az alsóbb szintű bejelentési határidő teljesítéséhez.
Mit kell tartalmaznia egy incidensbejelentésnek?
A nemzeti piacfelügyeleti hatóságnak szóló szabályszerű incidensbejelentésnek tartalmaznia kell:
- Rendszerazonosítás: név, verzió, EU adatbázis regisztrációs szám
- Az incidens leírása: mi történt, milyen kár keletkezett vagy lett alig elkerülve, dátum és helyszín
- Érintett személyek: érintett felhasználók vagy harmadik felek száma és kategóriái (ahol a GDPR megköveteli, anonimizálva)
- Előzetes okozati elemzés: a szolgáltató jelenlegi megértése arról, hogyan merült fel az incidens, egyértelműen előzetesként megjelölve
- Meghozott azonnali korrekciós vagy biztonsági intézkedések: már megtett lépések a további kár vagy kockázat korlátozására (pl. érintett funkciók felfüggesztése, alkalmazói értesítések)
- Kapcsolattartási pont: a hatósággal való utókövetési levelezésért felelős személy vagy csapat
A jelentésnek tényszerűnek és arányosnak kell lennie. Az előzetes jelentések a vizsgálat előrehaladtával utókövetési jelentésekkel egészíthetők ki.
Kötelező naplózás (Art. 12)
A 12. cikk megköveteli, hogy a magas kockázatú MI-rendszerek automatikusan naplókat generáló képességgel legyenek tervezve és felépítve, amelyek elegendő részletességgel rendelkeznek a következők lehetővé tételéhez:
- Az Art. 72 szerinti forgalomba hozatal utáni figyelés
- A súlyos incidenshez vezető eseménysor nyomon követése
- Nemzeti hatóságok vizsgálata
Ez a szolgáltatóra háruló tervezési követelmény. A szolgáltatónak a rendszerbe kell építenie a naplózási képességet, mielőtt az piacra kerül.
Ezen naplók aktiválásának és megőrzésének kötelezettsége az alkalmazóra hárul. Az alkalmazók nem kapcsolhatják ki a naplózási funkcionalitást, és meg kell őrizniük a naplókat a szolgáltató utasításaiban és műszaki dokumentációjában meghatározott ideig. Ha nincs megadva konkrét megőrzési idő, a naplókat a rendszer operatív életciklusával és az ágazatspecifikus követelményekkel (pl. pénzügyi szolgáltatások nyilvántartás-megőrzési szabályai DORA vagy MiFID II alapján) arányos ideig kell megőrizni.
Lényeges módosítások és újraértékelés
Nem minden módosítás egy telepített MI-rendszerben vált ki új megfelelőségértékelést. A törvény különbséget tesz a kisebb frissítések és a lényeges módosítások között.
Egy módosítás lényeges — és új megfelelőségértékelést és frissített műszaki dokumentációt igényel —, ha:
- Megváltoztatja a rendszer rendeltetési célját (akár részben is)
- Az architektúrában vagy betanítási módszertanban lényeges változást jelent
- Olyan új betanítási adatokat alkalmaz, amelyek lényegesen befolyásolják a rendszer teljesítményét oly módon, hogy az érinti a megfelelés szempontjából releváns viselkedést
- Rontja a teljesítményt a kockázatkezelési dokumentációban meghatározott küszöbértékeken túl, olyan módon, hogy az érinti a biztonságot vagy az alapvető jogokat
A kisebb frissítések — biztonsági javítások, egyértelműen azonosított hibákat javító hibajavítások, amelyek nem változtatják meg a megfelelés szempontjából releváns viselkedést, kozmetikai felületi változások — nem igényelnek teljes újraértékelést. Azonban dokumentálni kell őket, és a szolgáltatónak írásbeli értékelést kell megőriznie, amely megerősíti, hogy a módosítás nem jelent lényeges módosítást. Ez a nyilvántartás piacfelügyeleti hatóságok általi vizsgálatnak vethető alá.
Gyakorlati megvalósítási ellenőrzőlista
Az alábbi ellenőrzőlista az Art. 72, Art. 73 és Art. 12 szerinti minimális működési követelményeket tükrözi. Nem helyettesíti a jogi tanácsot, de kiindulópontot nyújt a hiányosságelemzéshez.
- [ ] PMM-terv dokumentálva a műszaki dossziéban (IV. melléklet, 12. pont), konkrétan a rendszerre és annak telepítési kontextusára vonatkoztatva
- [ ] Automatizált naplózási képesség tervezve és a rendszerbe építve a piaci megjelenés előtt
- [ ] Az alkalmazói utasítások egyértelmű, írásos incidensbejelentési eljárást tartalmaznak eszkalációs kapcsolattartóval
- [ ] Incidensbejelentési kapcsolattartási pont belső szinten meghatározva és az illetékes nemzeti piacfelügyeleti hatóságnak bejelentve
- [ ] Elfogultság- és pontosságfigyelési folyamatok vagy irányítópultok meghatározva, dokumentált módszertannal és küszöbértékekkel
- [ ] Korrekciós intézkedés eszkalációs küszöbértékei dokumentálva és a kockázatkezelési rendszerhez kapcsolva
- [ ] Lényeges módosítás értékelési eljárás bevezetve, döntési nyilvántartás sablonnal minden frissítéshez
- [ ] Napló-megőrzési politika meghatározva, az alkalmazóknak közölve és az ágazatspecifikus megőrzési szabályokhoz igazítva
Kereszthivatkozások: Műszaki dokumentáció — III. melléklet szerinti magas kockázatú MI-rendszerek — Szolgáltatók vs. alkalmazók
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Az Art. 72 szerinti forgalomba hozatal utáni figyelési kötelezettségek kizárólag a magas kockázatú MI-rendszerek (I. és III. melléklet) szolgáltatóira vonatkoznak. A GPAI-modell-szolgáltatóknak párhuzamos, de eltérő kötelezettségeik vannak, köztük a rendszerszintű kockázatú modellek incidensbejelentése, de ezek az Art. 72 PMM-től eltérően strukturáltak. A minimális kockázatú és kizárólag átláthatósági kötelezettségű rendszerekre nem vonatkozik formális forgalomba hozatal utáni figyelési követelmény.
Súlyos incidensnek minősül bármely olyan incidens vagy meghibásodás, amely közvetlenül vagy közvetve halálhoz, súlyos egészségkárosodáshoz, az infrastruktúra vagy tulajdon súlyos, visszafordíthatatlan zavaraihoz vagy az alapvető jogok súlyos megsértéséhez vezet. Ide tartoznak az olyan közel-vészhelyzetek is, amelyekben egy személy alig kerülte el a kárt. Az MI-törvény nem követeli meg az okozati összefüggés megállapítását — a bejelentési kötelezettség kiváltásához ésszerű gyanú elegendő.
A szolgáltatóknak az illetékes nemzeti piacfelügyeleti hatóságnak be kell jelenteniük a súlyos incidenseket indokolatlan késedelem nélkül, és mindenképpen 15 napon belül, attól az időponttól számítva, amikor tudomást szereztek róluk. A közbiztonsági kockázatot jelentő incidensek esetén a határidő 24 óra. Az alkalmazóknak indokolatlan késedelem nélkül értesíteniük kell a szolgáltatókat a súlyos incidensekről.
Igen. Ha egy frissítés 'lényeges módosítást' jelent — megváltoztatja a rendeltetési célt, lényegesen rontja a teljesítményt vagy megváltoztatja a kockázatkezelési intézkedéseket —, új megfelelőségértékelés szükséges. A kisebb hibajavítások és biztonsági frissítések általában nem. A szolgáltatónak dokumentálnia kell az összes frissítést, és értékelnie kell, hogy azok lényeges módosítást jelentenek-e.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.