ES DI akto laikymasis mažosioms ir vidutinėms įmonėms. MVĮ specifinės nuostatos, prieiga prie smėlio dėžių, sumažintos mokesčiai ir praktinės rekomendacijos DI diegėjams ir kūrėjams.
ES DI aktas ir MVĮ — geroji žinia
ES DI aktas (Reglamentas (ES) 2024/1689) taikomas visoms organizacijoms, pateikiančioms arba naudojančioms DI sistemas ES rinkoje, nepriklausomai nuo jų dydžio. Tačiau faktinė reguliavimo tikrovė daugumai mažųjų ir vidutinių įmonių yra gerokai mažiau sudėtinga nei skelbia antraštės, ir tam yra viena esminė priežastis: didžioji dauguma MVĮ DI naudoja, o ne kuria.
MVĮ, kuri prenumeruoja DI patobulintas CRM sistemas, diegia pokalbių robotą iš SaaS tiekėjo arba naudoja debesijos pagrindu veikiančią paklausos prognozavimo programinę įrangą, ES DI akto terminologijoje yra diegėjas, o ne teikėjas. Diegėjų prievolės sistemingai yra lengvesnės nei teikėjų prievolės. Teikėjai prisiima pagrindinę naštą dėl atitikties vertinimo, techninės dokumentacijos, CE ženklinimo ir registracijos. Diegėjų prievolių rinkinys yra labiau tikslingas ir orientuotas į tinkamą naudojimą, žmogaus priežiūrą ir pranešimą apie incidentus.
Be diegėjo ir teikėjo skirtumo, ES DI akte yra atskiras MVĮ specifinių nuostatų paketas, teikiantis struktūrinę paramą: pirmenybinė prieiga prie reguliavimo smėlio dėžių, sumažinti atitikties vertinimo mokesčiai ir specialus vienas kontaktinis punktas nacionaliniu lygmeniu. Šios nuostatos atspindi įstatymų leidėjo aiškų ketinimą neleisti DI aktui tapti neproporcinga kliūtimi mažesniems rinkos dalyviams.
Šiame vadove nurodoma, ką ES DI aktas praktiškai reiškia MVĮ — nesvarbu, ar naudojate trečiųjų šalių DI įrankius, diegiate DI klientams skirtose situacijose, ar patys kuriate ir komercializuojate DI produktą.
MVĮ specifinės nuostatos reglamente
ES DI akte yra keturios nuostatos, taikomos konkrečiai MVĮ (įmonėms, atitinkančioms Komisijos rekomendacijos 2003/361/EB ribas: mažiau nei 250 darbuotojų ir arba metinė apyvarta neviršija 50 milijonų eurų, arba bendra balanso suma neviršija 43 milijonų eurų) ir startuoliams.
55 straipsnis — Pirmenybinė prieiga prie reguliavimo smėlio dėžių
55 straipsnis nustato, kad reguliavimo DI smėlio dėžės — prižiūrimos aplinkos, skirtos DI kūrimui ir testavimui prieš pateikiant rinkai — prioriteto tvarka turi būti prieinamos MVĮ ir startuoliams. Prieiga yra nemokama arba taikomi sumažinti mokesčiai, o dalyvaujančios organizacijos gauna tiesioginę kompetentingos institucijos gairę. Prieiga prie smėlio dėžės leidžia prieš rinką nustatyti rizikas ir vesti reguliavimo dialogą apsaugotoje aplinkoje, nepatirsiant neatitinkančios rinkai pateiktos sistemos pasekmių. MVĮ, kuriančios DI sistemas, turėtų dalyvavimą smėlio dėžėje vertinti kaip atitikties priemonę ir mechanizmą tiesiogiam bendravimui su priežiūros institucija prieš produkto paleidimą.
96 straipsnis — Sumažinti atitikties vertinimo mokesčiai
Kai didelės rizikos DI sistemai reikalingas trečiosios šalies atitikties vertinimas, atliekamas notifikuotosios įstaigos (taikoma sistemoms, išvardytoms III priedo 1, 6 ir 7 punktuose, ir medicinos prietaisų DI pagal 6 straipsnio 1 dalį), 96 straipsnis reikalauja, kad valstybės narės nustatytų sumažintus mokesčius mažosioms įmonėms. Labai mažos įmonės — turinčios mažiau nei 10 darbuotojų ir kurių metinė apyvarta arba balanso suma neviršija 2 milijonų eurų — turi teisę į dar didesnius sumažinimus. Tikslūs mokesčių tvarkaraščiai nustatomi valstybių narių lygmeniu ir skiriasi priklausomai nuo jurisdikcijos; dabartines sumas gali pateikti atitinkama nacionalinė DI institucija arba „Enterprise Europe Network".
85 straipsnis — Vienas kontaktinis punktas
85 straipsnis įpareigoja nacionalines DI priežiūros institucijas įsteigti specialų vieną kontaktinį punktą MVĮ. Tai reiškia, kad MVĮ, ieškanti gairių dėl DI akto prievolių, neturi naršyti po kelias reguliavimo institucijas ar koordinuoti su fragmentuotomis institucijomis. Vienas kontaktinis punktas teikia informaciją, nukreipia užklausas atitinkamai funkcijai ir palengvina paraiškų smėlio dėžėms teikimą. Ši nuostata žymiai sumažina reguliavimo prievolių supratimo administracinę naštą.
9 straipsnio 5 dalis — Proporcinga rizikos valdymas
9 straipsnio 5 dalis numato, kad rizikos valdymo sistema, kurios reikalaujama iš didelės rizikos DI sistemų teikėjų, gali būti įgyvendinta proporcingai, atsižvelgiant į organizacijos dydį ir struktūrą. MVĮ, veikiančiai kaip didelės rizikos sistemos teikėja, tai reiškia, kad nors visi esminiai rizikos valdymo sistemos reikalavimai turi būti tenkinami, dokumentacijos formatas, procesų sudėtingumas ir valdymo struktūra gali būti adaptuoti pagal realius organizacijos pajėgumus — jeigu tai nekenkia sistemos apsaugos tikslams.
Ar esate teikėjas, ar diegėjas? — Sprendimų priėmimo sistema MVĮ
Svarbiausia pradinis nustatymas bet kuriai MVĮ, susijusiai su ES DI aktu, yra tai, ar ji veikia kaip teikėjas, ar kaip diegėjas kiekvienos DI sistemos, kurią naudoja arba siūlo, atžvilgiu.
Teikėjas (3 straipsnio 3 dalis): Organizacija, kuri kuria DI sistemą arba užsako jos kūrimą ir pateikia ją rinkai arba pradeda naudoti savo vardu ar prekės ženklu — už mokestį ar nemokamai. Tai apima MVĮ, kurios:
- Kuria programinės įrangos produktą, apimantį DI (įskaitant per API pasiekiamus DI modelius), ir parduoda arba licencijuoja tą produktą klientams;
- Kuria DI modelį ar programą vidaus reikmėms ir diegia jį kaip paslaugą galutiniams naudotojams už organizacijos ribų;
- Iš esmės modifikuoja trečiosios šalies DI sistemą taip, kad keičia jos numatytą paskirtį.
Diegėjas (3 straipsnio 4 dalis): Organizacija, kuri naudoja DI sistemą savo įgaliojimais profesiniais tikslais. Tai apima MVĮ, kurios:
- Prenumeruoja SaaS produktus su integruotomis DI funkcijomis (DI patobulintas CRM, ERP, apskaitos programinė įranga);
- Naudoja trečiosios šalies pokalbių robotą arba pokalbio DI savo svetainėje;
- Naudoja debesijos DI API (natūralios kalbos apdorojimas, vaizdo klasifikavimas, rekomendacijų varikliai) tik vidaus darbo eigai automatizuoti arba savo paslaugoms tobulinti, nesiūlydamos DI galimybių kaip produkto funkcijos trečiosioms šalims;
- Įsigyja personalo valdymo programinę įrangą, atsargų prognozavimo arba klientų analizės įrankius iš išorės tiekėjų.
Kritinis ribinis atvejis: MVĮ, integruojanti išorinę DI API į savo klientams skirtą produktą ir reklamuojanti tą galimybę kaip savo produkto funkciją, yra teikėja tos DI funkcionalumo atžvilgiu — o ne vien tik pagrindinės API diegėja. Juridinis asmuo, apibrėžiantis numatytą paskirtį, kontroliuojantis naudotojo patirtį ir pateikiantis produktą rinkai, prisiima teikėjo prievoles pagal 16 straipsnį, nepriklausomai nuo to, kur DI modelis buvo sukurtas.
Pagrindinės diegėjo prievolės MVĮ, naudojančioms trečiųjų šalių DI
Daugumai MVĮ — tų, kurios diegia trečiųjų šalių DI įrankius, o ne kuria savus — taikomos šios prievolės pagal 26 straipsnį ir susijusias nuostatas.
Naudokite DI sistemas pagal teikėjo instrukcijas
Diegėjai privalo naudoti didelės rizikos DI sistemas tik pagal teikėjo pateiktas naudojimo instrukcijas pagal 13 straipsnį. DI sistemos naudojimas tikslais, viršijančiais jos dokumentuotą numatytą paskirtį, arba konfigūracijomis, kurių teikėjas nepatvirtino, perkelia dalį atitikties atsakomybės diegėjui ir gali panaikinti sistemos atitikties vertinimą.
Paskirkite atsakingą žmogaus priežiūrą
26 straipsnio 1 dalis reikalauja, kad diegėjai paskirtų atsakomybę už DI priežiūrą kvalifikuotam organizacijos asmeniui. Daugumai MVĮ tai bus įvardytas asmuo (nebūtinai dedikuotas DI atitikties pareigūnas), kuris supranta sistemos funkciją, jos žinomus apribojimus ir aplinkybes, kuriomis reikalinga žmogaus intervencija. Ši paskirtis turėtų būti dokumentuota.
Saugokite veiklos žurnalus
Kai didelės rizikos DI sistemos automatiškai generuoja žurnalus (12 straipsnis), diegėjai privalo saugoti tuos žurnalus teisiškai reikalaujamą laikotarpį — paprastai šešis mėnesius pagal DI aktą, jeigu sektorinis teisės aktai nereikalauja ilgesnio saugojimo. Diegėjai turi patikrinti, ar jų tiekėjo sutartis suteikia prieigą prie žurnalų ir patvirtina jų formatą ir išsamumą.
Pranešti teikėjui apie rimtus incidentus
26 straipsnio 5 dalis reikalauja, kad diegėjai praneštų teikėjui apie bet kokius rimtus incidentus ar gedimus, nustatytus naudojimo metu. Kai diegiančioji organizacija yra viešoji įstaiga, pranešimo prievolės apima ir nacionalinę DI priežiūros instituciją. Privačiojo sektoriaus MVĮ diegėjams pagrindinis kanalas yra tiesioginis pranešimas teikėjui, kuris tada prisiima savas prievoles pranešti institucijai pagal 73 straipsnį.
Atlikite pagrindinių teisių poveikio vertinimą ten, kur taikoma
27 straipsnis reikalauja, kad viešosios įstaigos, diegiančios didelės rizikos DI, prieš diegimą atliktų pagrindinių teisių poveikio vertinimą. Privačiojo sektoriaus MVĮ, diegiančios didelės rizikos DI — ypač personalo valdymo, kredito vertinimo ar klientams skirtų sprendimų kontekstuose — yra primygtinai rekomenduojama atlikti lygiavertį vertinimą, nes tai parodo deramą rūpestingumą ir iš esmės sumažina vykdymo riziką.
Peržiūrėkite tiekėjų sutartis
MVĮ diegėjai turi užtikrinti, kad jų sutartys su DI tiekėjais apima: atitikties dokumentaciją ir naudojimo instrukcijas; ES duomenų bazės registracijos patvirtinimą ten, kur reikalaujama; žurnalų registravimo galimybės ir prieigos teisių specifikaciją; tiekėjo įsipareigojimą pranešti apie incidentus ir imtis taisomųjų priemonių; taip pat informaciją apie atnaujinimo ar modifikavimo prievoles, galinčias turėti įtakos sistemos atitikties būklei.
Jei kuriate DI — MVĮ teikėjo prievolės ir parama
MVĮ, kuriančios ir komercializuojančios DI sistemas, yra teikėjos ir prisiima visas teikėjo prievoles pagal III skyrių bet kuriai sistemai, kuri yra didelės rizikos. Tų prievolių apimtis yra reikšminga: kokybės valdymo sistema (17 straipsnis), techninė dokumentacija pagal IV priedą, duomenų valdymas pagal 10 straipsnį, žurnalų registravimas pagal 12 straipsnį, skaidrumo reikalavimai pagal 13 straipsnį, žmogaus priežiūros projektavimas pagal 14 straipsnį ir tikslumo bei patikimumo standartai pagal 15 straipsnį. III priedo sistemoms, kurioms reikalingas notifikuotosios įstaigos vertinimas, atitikties kelias vykdomas pagal 43 straipsnį.
Praktinis MVĮ teikėjui skirtas įėjimo taškas yra rizikos klasifikacijos nustatymas:
- Ar DI sistema patenka į 5 straipsnio (draudžiama praktika) taikymo sritį? Jeigu taip, kūrimas turi būti nutrauktas arba iš esmės pertvarkytas prieš bet kokią rinkos veiklą.
- Ar sistema kvalifikuojama kaip didelės rizikos pagal 6 straipsnio 1 dalį (reguliuojamo produkto saugos komponentas) ar III priedą (išvardytos taikymo sritys: biometrinis identifikavimas, kritinė infrastruktūra, švietimas, užimtumas, esminės paslaugos, teisėsauga, migracija, teisingumas)?
- Ar sistema kvalifikuojama tik kaip bendrosios paskirties DI modelis, reguliuojamas 51–56 straipsniais, be didelės rizikos klasifikacijos?
- Ar sistemai taikomi tik 50 straipsnio skaidrumo prievolės (emocijų atpažinimas, giliosios klastotės, pokalbių robotai)?
MVĮ, kurių sistemos nepatenka į didelės rizikos ir draudžiamų kategorijų taikymo sritį, atitikties reikalavimai yra gerokai lengvesni: 50 straipsnio skaidrumo atskleidimas, GDPR suderinimas ir sektorinės prievolės pagal taikytinus nacionalinius arba ES teisės aktus.
MVĮ, kuriančioms didelės rizikos DI, 55 straipsnio reguliavimo smėlio dėžė yra svarbiausias prieinamas įrankis. Dalyvavimas smėlio dėžėje suteikia galimybę atlikti prieš rinką vykdomą testavimą reguliavimo priežiūroje, pateikia dokumentuotus sąžiningų atitikties pastangų įrodymus ir leidžia nustatyti taisomąsias priemones prieš joms tampant vykdymo klausimais. Paraiškos teikiamos nacionaliniam vienam kontaktiniam punktui (85 straipsnis).
Praktiniai MVĮ atitikties žingsniai
1 žingsnis — Sudarykite visų naudojamų ar kuriamų DI sistemų sąrašą. Išvardykite kiekvieną DI įrankį, SaaS produktą, debesijos API ir vidaus sukurtą modelį. Pažymėkite tiekėją, funkciją ir tai, ar MVĮ veikia kaip teikėja ar diegėja kiekvienai iš jų.
2 žingsnis — Klasifikuokite kiekvieną sistemą pagal rizikos kategoriją. Taikykite 5 straipsnio / 6 straipsnio / III priedo / 50 straipsnio sistemą kiekvienai sistemai. Kai klasifikacija neaiški, naudokitės 85 straipsnio vienu kontaktiniu punktu, kad gautumėte gaires.
3 žingsnis — Diegėjų vaidmenims: tikrinkite tiekėjų sutartis. Patikrinkite, ar kiekvienas DI tiekėjas pateikė dokumentaciją, reikalaujamą pagal 13 straipsnį, ir ar sutartis apima žurnalų registravimą, pranešimą apie incidentus ir atnaujinimo prievoles. Pažymėkite trūkumus, kuriuos reikia perderėti.
4 žingsnis — Teikėjų vaidmenims: pradėkite atitikties kelią. Nustatykite, ar jūsų didelės rizikos DI sistemai reikalingas savarankiškas vertinimas (43 straipsnio 2 dalis) ar trečiosios šalies notifikuotosios įstaigos vertinimas (43 straipsnio 1 dalis). Teikite paraišką dėl prieigos prie smėlio dėžės pagal 55 straipsnį, jeigu sistema dar kuriama. Anksti susisiekite su notifikuotąja įstaiga, kad suprastumėte terminus ir mokesčių pasekmes, atsižvelgdami į savo teisę į MVĮ mokesčių sumažinimus pagal 96 straipsnį.
5 žingsnis — Įdiekite 26 straipsnio diegėjo prievoles visose didelės rizikos sistemose. Paskirkite priežiūros asmenis, dokumentuokite jų atsakomybes, patikrinkite žurnalų saugojimo procedūras ir patvirtinkite pranešimo apie incidentus kanalus.
6 žingsnis — Nustatykite DI akto peržiūros ciklą. ES DI aktas yra gyvas teisinis pagrindas. Paskirkite atsakingą asmenį stebėti ES DI biuro gaires, nacionalinių institucijų atnaujinimus ir III priedo klasifikacijų pakeitimus. Planuokite metinę vidinę sistemų sąrašo ir atitikties būklės peržiūrą.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Taip. Jeigu jūsų MVĮ integruoja trečiosios šalies DI modelį (įskaitant prieigą per API) į produktą ar paslaugą, kurią pateikiate rinkai arba pradedame naudoti savo pavadinimu ar prekės ženklu, pagal ES DI akto **3 straipsnio 3 dalį** esate klasifikuojami kaip **teikėjas**. Tai taikoma nepriklausomai nuo to, ar pagrindinį modelį sukūrė kita įmonė. Teikėjo pareigos — įskaitant techninę dokumentaciją, atitikties vertinimą, CE ženklinimą (didelės rizikos sistemoms) ir registraciją — tenka jums. Tais atvejais, kai pradinis modelio teikėjas pateikia atitikties dokumentaciją ir naudojimo instrukcijas, tie dokumentai padeda jūsų atitikties pastangoms, tačiau jų nepakeičia. 55 ir 96 straipsniai numato MVĮ specifines paramos priemones, kad sumažintų atitikties naštą.
Tai priklauso nuo dviejų veiksnių: pokalbių roboto pobūdžio ir jo atliekamų funkcijų. Pirma, jeigu pokalbių robotas yra **bendrosios paskirties DI sistema**, bendraujanti su naudotojais, ji privalo atitikti **50 straipsnio skaidrumo prievolę**: naudotojai turi būti informuojami, kad bendrauja su DI sistema, išskyrus atvejus, kai tai akivaizdu iš konteksto. Antra, jeigu pokalbių robotas atlieka funkcijas, kurios priskirtinos didelės rizikos kategorijai — pavyzdžiui, atrenkant darbo pretendentus, vertinant kreditingumą ar priimant sprendimus, turinčius teisinių ar reikšmingų asmeninių pasekmių, — taikomos papildomos didelės rizikos prievolės. Paprastas DUK arba produktų naršymo pokalbių robotas, naudojantis trečiosios šalies SaaS teikėją (kai jūs esate diegėjas), pirmiausia sukelia 50 straipsnio skaidrumo reikalavimą ir 26 straipsnyje nustatytas diegėjo prievoles, ypač tinkamą naudojimą pagal instrukcijas ir pranešimą apie incidentus.
**Reguliavimo DI smėlio dėžė** — tai prižiūrima testavimo aplinka, kurią steigia nacionalinės DI priežiūros institucijos ir kurioje DI teikėjai — įskaitant startuolius ir MVĮ — gali kurti, testuoti ir patvirtinti DI sistemas prieš pateikiant jas rinkai, tiesiogiai konsultuodamiesi su reguliavimo institucija. Smėlio dėžės reguliuojamos ES DI akto **57–63 straipsniais**. **55 straipsnis suteikia MVĮ ir startuoliams pirmenybinę prieigą**, o dalyvavimas yra nemokamas arba taikomi sumažinti mokesčiai. Paraiškos teikiamos tiesiogiai nacionalinei institucijai, atsakingai už DI aktą jūsų valstybėje narėje. Smėlio dėžėje institucija gali suteikti ribotus nukrypimus nuo konkrečių reikalavimų, kad būtų galima vykdyti tikrąjį testavimą; visi produktai, pateikiami rinkai pasibaigus smėlio dėžės laikotarpiui, turi atitikti visas taikytinas prievoles. Kreipkitės į savo nacionalinį vieną kontaktinį MVĮ punktą (**85 straipsnis**), kad gautumėte paraiškų teikimo tvarką.
Registracija **ES didelės rizikos DI sistemų duomenų bazėje** pagal **49 straipsnį** privaloma tik tuo atveju, jeigu jūsų sistema klasifikuojama kaip **didelės rizikos** pagal 6 straipsnį arba III priedą. Didelės rizikos sistemų teikėjai privalo registruotis prieš pateikdami produktą rinkai; diegėjai, kurie yra viešosios įstaigos, taip pat privalo registruotis prieš pradėdami naudoti. Daugumai MVĮ, diegiančių trečiųjų šalių DI sistemas (kaip SaaS ar API vartotojai), registruotis nereikalaujama — ta prievolė tenka teikėjui. Jeigu jūsų MVĮ yra didelės rizikos DI sistemos teikėja, registracija privaloma nepriklausomai nuo įmonės dydžio, nors 55 ir 96 straipsnių paramos nuostatos taikomos siekiant sumažinti susijusias išlaidas ir procedūrinę naštą. Duomenų bazė yra viešai prieinama ir ją tvarko ES DI biuras.
Prieš diegiant trečiosios šalies DI sistemą, ypač jei ji gali būti didelės rizikos, jūsų MVĮ turėtų sutartimi reikalauti ir gauti: (1) **ES atitikties deklaraciją** arba lygiavertę atitikties dokumentaciją; (2) **naudojimo instrukcijas**, kaip reikalaujama 13 straipsnyje, įskaitant numatytą paskirtį, žinomus apribojimus ir žmogaus priežiūros reikalavimus; (3) patvirtinimą, kad sistema buvo **registruota ES duomenų bazėje**, kur tai privaloma; (4) informaciją apie sistemos **žurnalų registravimo galimybes** ir tai, kaip žurnalai gali būti pasiekiami arba išgaunami; (5) tiekėjo **pranešimo apie incidentus procedūras** ir jų prievoles pranešti jums apie gedimus ar atnaujinimus, darančius įtaką atitikčiai; ir (6) informaciją apie sistemos **duomenų tvarkymo ypatybes**, aktualias jūsų GDPR prievolėms. Šių dokumentų nebuvimas tiekėjo, siūlančio DI sistemą jautrioje srityje, yra esminis atitikties rizikos veiksnys.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.