Reglamento (ES) 2024/1689 17 straipsnis — Kokybės valdymo sistema. Oficialus tekstas, praktinis aiškinimas, pagrindinės prievolės ir atitikties pasekmės.
Oficialaus teksto santrauka
Reglamento (ES) 2024/1689 17 straipsnis įpareigoja didelės rizikos DI sistemų tiekėjus sukurti kokybės valdymo sistemą (KVS) prieš pateikiant tokias sistemas rinkai arba pradedant jas eksploatuoti. KVS turi būti dokumentuota sistemingai, tvarkingai ir turi apimti visus DI sistemos gyvavimo ciklo etapus.
Reglamente nurodyta, kad KVS turi apimti bent: tiekėjo reguliavimo atitikties strategiją, įskaitant atitikties vertinimo procedūras; DI sistemos projektavimui, projektavimo kontrolei ir patikrinimui naudojamas technikas, procedūras ir sistemingus veiksmus; duomenų valdymo procedūras, apimančias duomenų gavimą, rinkimą, analizę, žymėjimą, saugojimą, filtravimą, gavybą, kaupimą ir saugojimą; 9 straipsnyje numatytą rizikos valdymo sistemą; 72 straipsnyje numatytos stebėsenos po pateikimo rinkai sistemos sukūrimą ir įgyvendinimą; 73 straipsnyje numatytas incidentų pranešimo procedūras; bendravimą su kompetentingomis institucijomis, notifikuotosiomis įstaigomis ir kitais susijusiais operatoriais; įrašų tvarkymo sistemas ir procedūras; išteklių valdymą, įskaitant su tiekimo grandine susijusias priemones; ir atskaitomybės sistemą, dokumentuojančią atsakomybę visoje organizacijoje.
Kai tiekėjai yra fiziniai asmenys arba labai mažos įmonės, kaip apibrėžta Komisijos rekomendacijoje 2003/361/EB, Komisija yra įgaliota priimti įgyvendinimo aktus, leidžiančius taikyti supaprastintas KVS priemones, pripažįstant proporcingumo principą, kuris persmelkia visą reglamentą.
Praktinė reikšmė
Bet kuriai organizacijai, kuri kuria ar pateikia didelės rizikos DI sistemą ES rinkai, 17 straipsnis reiškia, kad atitiktis negali būti vienkartiniu veiksmu, atliekamu pateikimo momentu. Ji turi būti įtvirtinta gyvoje organizacinėje sistemoje, kuri valdo visą produkto gyvavimo ciklą — nuo pradinių projektavimo sprendimų per diegimą, stebėseną iki galutinio pašalinimo iš naudojimo.
Konkrečiai, tiekėjas turi sugebėti įrodyti, kad kiekviename etape egzistuoja ir yra laikomasi dokumentuotų procedūrų. Pavyzdžiui, sveikatos priežiūros DI tiekėjas negali tiesiog apmokyti modelio ir pateikti jį atitikties vertinimui. Organizacija turi parodyti, kad duomenų gavimas atitiko dokumentuotas valdymo taisykles, kad projektavimo sprendimai buvo peržiūrėti pagal rizikos kriterijus, kad priežiūros atsakomybė yra paskirta ir užfiksuota, ir kad egzistuoja mechanizmas po įdiegimo atsirandantiems incidentams nustatyti ir pranešti apie juos.
KVS reikalavimas reiškia, kad atitiktis yra ne mažiau organizacinis ir procedūrinis iššūkis nei techninis. Bendrovės, jau dirbančios pagal ISO 9001 ar sektorinius valdymo sistemas — pavyzdžiui, ISO 13485 medicinos prietaisams — ras reikšmingą persidengimą, tačiau vis tiek turės aiškiai susieti savo esamas sistemas su DI akto reikalavimais, o ne daryti prielaidą dėl lygiavertiškumo.
Mažesni tiekėjai naudojasi proporcingumo nuostata: labai mažos įmonės gali turėti teisę naudotis supaprastintomis priemonėmis pagal Komisijos išduotus įgyvendinimo aktus. Tačiau tai jų neatleidžia nuo esminių materialinių prievolių; tai gali tik paveikti formą, kuria tos prievolės yra dokumentuojamos ir valdomos.
Praktiškai tiekėjai turėtų laikyti KVS centriniu stuburu, iš kurio generuojami ir valdomi visi kiti atitikties artefaktai — techninė dokumentacija, rizikos registrai, stebėsenos po pateikimo rinkai planai, incidentų žurnalai.
Pagrindinės prievolės
- Prieš pateikiant didelės rizikos DI sistemą rinkai arba pradedant ją eksploatuoti, sukurti dokumentuotą kokybės valdymo sistemą, apimančią visas gyvavimo ciklo fazes.
- Integruoti 9 straipsnio reikalaujamas rizikos valdymo procedūras į KVS, užtikrinant, kad rizikos nustatymas, vertinimas ir mažinimas būtų sistemiškas ir atsekamas.
- Dokumentuoti duomenų valdymo praktikas, apimančias gavimą, žymėjimą, tvarkymą, saugojimą ir išsaugojimą, atsižvelgiant į 10 straipsnio duomenų valdymo reikalavimus.
- Tvarkyti 11 straipsnyje ir IV priede nurodytą techninę dokumentaciją kaip KVS išeigą, laikant ją naujausią ir prieinamą atitikties vertinimo ir rinkos priežiūros tikslais.
- KVS sistemoje įgyvendinti stebėsenos po pateikimo rinkai ir incidentų pranešimo procedūras, suderintas atitinkamai su 72 ir 73 straipsniais.
- Apibrėžti ir dokumentuoti atskaitomybės struktūras, vaidmenis ir atsakomybę visoje organizacijoje, įskaitant tiekimo grandinės priežiūrą, kai trečiųjų šalių komponentai prisideda prie DI sistemos.
Ryšys su kitais straipsniais
17 straipsnis veikia kaip organizacinis stuburas Pavadinime III, 3 skyriuje nustatyto didelės rizikos DI sistemų atitikties režimo. Jis semiasi materialinio turinio iš kelių tarpusavyje susijusių prievolių: 9 straipsnio rizikos valdymo sistema, 10 straipsnio duomenų ir duomenų valdymo reikalavimai bei 11 straipsnio techninės dokumentacijos režimas tiesiogiai nulemia tai, ką KVS turi apimti ir gaminti.
KVS taip pat turi remti 43 ir 44 straipsniuose numatytas atitikties vertinimo procedūras, nes generuojama dokumentacija sudaro pagrindinius įrodymus, kuriuos peržiūri notifikuotosios įstaigos ar savęs vertinimo procesai. Po diegimo taikomi įsipareigojimai pagal 72 straipsnį (stebėsena po pateikimo rinkai) ir 73 straipsnį (pranešimas apie rimtus incidentus) turi būti įtvirtinti KVS procedūrose, o ne valdomi kaip atskira ad hoc veikla.
26 straipsnis naudotojams nustato pareigas, kurios yra atskiros, tačiau papildo tiekėjų KVS prievoles. Kai tiekėjai ir naudotojai sutampa — pavyzdžiui, kai organizacija kuria ir viduje diegia didelės rizikos DI sistemą — 17 straipsnio KVS turi būti skaitoma kartu su 26 straipsnio naudotojų prievolėmis, siekiant užtikrinti visišką aprėptį.
Atitikties grafikas
ES DI aktas įsigaliojo 2024 m. rugpjūčio 1 d., paskelbus jį Europos Sąjungos oficialiajame leidinyje. Jo nuostatų taikymas yra laipsniškas:
- 2025 m. vasaris — Pradėti taikyti draudimai, susiję su nepriimtinos rizikos DI praktikomis (5 straipsnis).
- 2025 m. rugpjūtis — Pradėtos taikyti bendrosios paskirties DI modeliams taikomos prievolės (VIII antraštinė dalis).
- 2026 m. rugpjūčio 2 d. — 17 straipsnis pradedamas taikyti III priede išvardytų didelės rizikos DI sistemų tiekėjams (sistemos tokiose srityse kaip biometrika, kritinė infrastruktūra, švietimas, užimtumas, esminės paslaugos, teisėsauga, migracija ir teisingumo administravimas).
- 2027 m. rugpjūčio 2 d. — 17 straipsnis pradedamas taikyti I priedo (DI komponentai produktuose, jau reguliuojamuose Sąjungos derinamaisiais teisės aktais, pavyzdžiui, medicinos prietaisų, mašinų ir aviacijos įrangos srityje) didelės rizikos DI sistemų tiekėjams.
Tiekėjai, kurių sistemos iki šių datų jau buvo rinkoje, naudojasi pereinamojo laikotarpio priemonėmis pagal 111 straipsnį, kurios gali atidėti visiškas KVS atitikties prievoles, atsižvelgiant į sąlygas, susijusias su reikšmingais pakeitimais ir vykstančiais atitikties vertinimo ciklais. Organizacijos turėtų pradėti KVS projektavimą ir spragų vertinimą gerokai prieš taikytinąjį terminą, kad galėtų atlikti vidinį patvirtinimą, prireikus bendrauti su notifikuotosiomis įstaigomis ir nuolat tobulinti procesą, kol prievolė dar netaikoma.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
17 straipsnis kokybės valdymo sistemos prievolę nustato išimtinai didelės rizikos DI sistemų tiekėjams, kaip apibrėžta Reglamento (ES) 2024/1689 6 straipsnyje ir III priede. Naudotojai šiai konkrečiai prievolei netaikomi, nors jiems tenka atskiros pareigos pagal 26 straipsnį.
KVS turi apimti bent: reguliavimo atitikties strategiją, projektavimo ir kūrimo metodikas, duomenų valdymo procedūras, rizikos valdymą, kaip reikalaujama pagal 9 straipsnį, techninę dokumentaciją pagal 11 straipsnį, registravimą ir įrašų saugojimą, stebėseną po pateikimo rinkai pagal 72 straipsnį, incidentų pranešimo prievoles ir žmogaus priežiūros priemones.
17 straipsnis nenurodo jokio konkretaus sertifikavimo standarto. Tačiau atitiktis pripažintiems standartams, tokiems kaip ISO 9001 ar jų sektoriniams ekvivalentams, gali padėti įrodyti atitiktį, ypač kai pagal 40 straipsnį suderinti standartai apima KVS reikalavimus.
KVS ir techninė dokumentacija yra glaudžiai susijusios. KVS turi generuoti ir tvarkyti 11 straipsnio ir IV priedo reikalaujamą techninę dokumentaciją, o pati dokumentacija atitikties vertinimo metu yra pagrindinis įrodymas, kad KVS veikia tinkamai.
17 straipsnis taikomas III priede išvardytų didelės rizikos DI sistemų tiekėjams nuo 2026 m. rugpjūčio 2 d., o I priede (sektoriniai Sąjungos derinamieji teisės aktai) nurodytų didelės rizikos DI sistemų tiekėjams — nuo 2027 m. rugpjūčio 2 d., atsižvelgiant į 111 straipsnyje numatytas pereinamojo laikotarpio nuostatas.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.