Didelės rizikos DI sistemos turi tvarkyti pilną techninę bylą prieš pateikiant ES rinkai. Art. 11 ir Annex IV tiksliai apibrėžia, ką įtraukti — nuo sistemos architektūros iki mokymo duomenų valdysenos ir stebėjimo po pateikimo rinkai planų.
Kas yra techninė byla?
Techninė dokumentacija — dažnai vadinama „technine byla" — yra pagrindinis įrodymų paketas, patvirtinantis, kad didelės rizikos DI sistema atitinka visus ES DI akto reikalavimus. Pagal Art. 11 ir struktūrizuota Annex IV, ji turi būti sudaryta prieš sistemos pateikimą ES rinkai ir atnaujinama per visą sistemos gyvavimo ciklą.
Techninė byla neteikiama centralizuotai. Teikėjas ją saugo ir pateikia pagal prašymą rinkos priežiūros institucijoms ir notifikuotoms įstaigoms. Tai yra traukimo modelis: institucijos ateina pas jus; jūs turite būti pasirengę perduoti pilną, nuoseklų paketą, o ne improvizuotą bylų rinkinį, surinktą spaudimo metu.
Art. 11 nustato tris teikėjų pareigas:
- Sudaryti prieš pateikimą rinkai ar pradedant naudoti.
- Atnaujinti — bet koks esminis sistemos pakeitimas reikalauja atnaujinti bylą ir iš naujo įvertinti atitiktį.
- Pateikti kompetentingoms institucijoms ir notifikuotoms įstaigoms pagal prašymą per nustatytą laiką (paprastai 10 darbo dienų pagal nacionalines rinkos priežiūros taisykles).
„Atnaujinimo" standartas yra funkcionalus: techninė byla turi atspindėti sistemą, kaip ji iš tikrųjų diegiama, o ne sistemą, kaip ji buvo iš pradžių suprojektuota. Jei modelio atnaujinimas keičia veiklos charakteristikas, tikslumo slenkstius ar mokymo duomenis, byla turi būti peržiūrėta.
Kam reikalinga techninė dokumentacija?
Techninė dokumentacija pagal Art. 11 ir Annex IV yra privaloma teikėjams:
- Annex III pateiktų didelės rizikos DI sistemų — savarankiškų sistemų srityse, pvz., biometrinis kategorizavimas, įdarbinimas, kreditų vertinimas, ypatingos svarbos infrastruktūros valdymas, švietimas, teisėsauga, migracija ir sienų kontrolė bei teisingumo administravimas (su Art. 6(3) didelės rizikos filtru)
- DI sistemų, veikiančių kaip saugos komponentai Annex I reguliuojamuose gaminiuose — DI, įterpta į medicinos prietaisus, mašinas, transporto priemones, aviacijos įrangą ir panašius gaminius, reguliuojamus esamais ES gaminių saugos teisės aktais
Techninė dokumentacija nereikalinga:
- Minimalios rizikos DI sistemoms (pokalbių robotai, šiukšlių filtrai, rekomendacijų mechanizmai už didelės rizikos kategorijų ribų)
- DI sistemoms, pavaldžioms tik skaidrumo įpareigojimams pagal Art. 50 (pvz., gilių klastojinimų atskleidimas, emocijų atpažinimo atskleidimas, kur ne didelės rizikos)
- Bendrosios paskirties DI (GPAI) modelių teikėjams — jie turi atskirus dokumentavimo įpareigojimus pagal Art. 53, įskaitant paties modelio techninę dokumentaciją, tačiau ne Annex IV formatą, sukurtą diegtoms didelės rizikos sistemoms
Jei esate naudotojas (ne teikėjas), jūs neprivalo rengti techninės bylos. Tačiau naudotojai turi saugoti sistemos naudojimo žurnalus (Art. 26(5)), o teikėjai turi teisę remtis šiais žurnalais atnaujindami techninę dokumentaciją ar tvarkydami incidentų ataskaitas.
14 Annex IV elementų
Annex IV nurodo minimalų techninės bylos turinį. Nėra griežto formato — teikėjai gali organizuoti dokumentaciją savo nuožiūra — tačiau visi 14 elementų turi būti ir turiningi. Tikrinimo langelio įrašai be patvirtinančių įrodymų netenkina Annex IV.
| # | Annex IV elementas | Ką jis turi apimti |
|---|---|---|
| 1 | Bendrasis aprašymas | Sistemos pavadinimas, versijos identifikatorius, numatytas tikslas, numatomi naudotojai, geografinės rinkos, teikėjo pavadinimas ir adresas, bet koks įgaliotasis atstovas |
| 2 | Sistemos komponentai | Techninės įrangos reikalavimai, programinės įrangos komponentai, naudojami trečiųjų šalių modeliai ar bibliotekos, mokymo metodologijos apžvalga, algoritminė metodika (pvz., prižiūrimas mokymasis, stiprinimo mokymasis, transformerio architektūra) |
| 3 | Projektavimo specifikacijos | Sistemos architektūra, duomenų srautų schemos, pagrindiniai projektavimo sprendimai ir jų pagrindimas, kompromisai (pvz., tikslumas vs. aiškinamumas), išvesties formatas ir kaip išvestys patenka į tolimesnius sprendimus |
| 4 | Mokymo, validavimo ir testavimo duomenys | Kiekviename etape naudoti duomenų rinkiniai, duomenų šaltiniai, duomenų valdymo procedūros, duomenų rinkinių statistinės savybės (dydis, pasiskirstymas, aprėptis), duomenų apdorojimo ir išankstinio apdorojimo protokolai, priemonės, kurtos aptikti ir spręsti duomenų rinkinių šališkumus |
| 5 | Rizikos valdymo dokumentacija | Pilna Art. 9 rizikos valdymo sistema: nustatytos rizikos sveikatai, saugai ir pagrindinėms teisėms; rizikos vertinimas ir nustatymas; priimtos rizikos mažinimo priemonės; priimtos likutinės rizikos; likutinių rizikų priėmimo pagrindas |
| 6 | Gyvavimo ciklo pakeitimai | Visų esminių modifikacijų po pirminio diegimo aprašymas, jų pobūdis ir apimtis, kaip atitiktis buvo iš naujo įvertinta po kiekvieno pakeitimo, versijų istorija su datomis |
| 7 | Žmogaus priežiūros priemonės | Kaip įgyvendinami Art. 14 reikalavimai: perjungimas ir sustabdymas, sąsajos, leidžiančios žmogaus operatoriams stebėti išvestis, mokymo ar kvalifikacijos reikalavimai operatoriams, dokumentuotos žmogaus įsikišimo procedūros |
| 8 | Validavimo ir testavimo procedūros | Naudojami veiklos rodikliai (tikslumas, precisija, atsakas, F1, AUC, teisingi rodikliai), testavimo duomenų rinkinių aprašymai, testavimo sąlygos ir aplinka, šališkumo testavimo metodika ir rezultatai, patikimumo ir streso testavimas, veikimas ne distribucijoje |
| 9 | Kibernetinio saugumo priemonės | Techninės priemonės prieš modelio vagystę, duomenų apnuodijimą, prieštaringas atakas, klausimų injekciją (DKM pagrįstoms sistemoms), prieigos kontrolę, šifravimą perdavimo ir saugojimo metu, pažeidžiamumų valdymo procedūras |
| 10 | Šališkumo ir tikslumo stebėjimas | Vykdomos stebėjimo procedūros po diegimo, tikslumo slenkstiai, žemiau kurių sistema suaktyvina peržiūrą, veiklos lyginamosios analitikos, atskaidrytos pagal demografines grupes, kur aktualu, procedūros aptikto nukrypimo ar šališkumo sprendimui |
| 11 | Naudojimo instrukcijos | Art. 13 naudotojui skirtas dokumentas: numatytas tikslas ir naudojimo atvejai, veiklos charakteristikos ir apribojimai, žinomi apribojimai, priežiūros ir atnaujinimo reikalavimai, naudotojų registravimo įsipareigojimai, kontaktinis punktas incidentų pranešimui |
| 12 | Stebėjimo po pateikimo rinkai planas | Art. 72 stebėjimo sistemos projektavimas: duomenys, renkami iš naudotojų, stebėjimo ciklų dažnumas, peržiūrą ar atnaujinimą suaktyvinantys slenkstiai, rimtų incidentų pranešimo procedūra (Art. 73), procedūra stebėjimo duomenims grąžinti į rizikos valdymą |
| 13 | Sąsajų aprašymas | API ir integracijos taškai, įvesties duomenų formatai ir apribojimai, išvesties formatai ir jų semantika, integracija su kitomis sistemomis ar komponentais, versijų suderinamumas |
| 14 | Suderinti standartai ir bendrosios specifikacijos | Taikytų suderintų standartų sąrašas (pvz., ISO/IEC 42001:2023, EN standartai pagal DI akto standartizavimo programą), pagal Art. 41 priimtos bendrosios specifikacijos, kiek kiekvienas standartas buvo taikytas, bet kokie nukrypimai ir jų pagrindimas |
Praktinė pastaba apie 4 elementą (mokymo duomenys): Annex IV nereikalauja, kad duomenų rinkiniai būtų viešai ar pagal nutylėjimą atskleisti institucijoms. Reikalaujama, kad dokumentacija egzistuotų ir galėtų būti pateikta. Dėl patentuotų duomenų rinkinių duomenų valdymo procedūrų aprašymas, statistinės santraukos ir šališkumo testavimo rezultatai paprastai tenkina reikalavimą, neatskleidžiant komerciškai jautrių duomenų.
Praktinė pastaba apie 14 elementą (standartai): 2026 m. viduryje DI akto standartizavimo programa vis dar yra vykdoma. ISO/IEC 42001 (DI valdymo sistemos) yra prieinama ir plačiai referuojama. Teikėjai turėtų stebėti Europos standartizavimo darbus pagal CEN/CENELEC JTC 21 ir atnaujinti šį skyrių, kai Oficialiajame leidinyje paskelbiami suderinti standartai.
ES atitikties deklaracija (Art. 47)
ES atitikties deklaracija (ES AtiD) yra atskiras privalomas dokumentas — ji nėra techninės bylos dalis, tačiau į ją nurodo. ES AtiD yra teikėjo oficialus pareiškimas, kad DI sistema atitinka visus taikytinus ES DI akto reikalavimus.
Galiojanti ES AtiD turi apimti:
- Teikėjo pavadinimą ir adresą (ir įgaliotąjį atstovą, jei taikoma)
- DI sistemos pavadinimą, versiją, serijos ar partijos numerį, jei taikoma
- Pareiškimą, kad sistema atitinka ES DI aktą
- Naudotą atitikties vertinimo procedūrą: Annex VI (vidaus kontrolė / savivertinimas) daugumai Annex III sistemų arba Annex VII (trečiosios šalies vertinimas notifikuotos įstaigos) biometrinio kategorizavimo DI ir DI, naudojamai ypatingos svarbos infrastruktūroje, reikalaujančiai trečiosios šalies dalyvavimo
- Naudotų suderintų standartų ar bendrųjų specifikacijų sąrašą
- Teikėjo įgaliotojo atstovo parašą su data ir vieta
ES AtiD turi būti saugoma 10 metų po pateikimo rinkai ir pateikiama pagal prašymą. Ji lydi CE ženklinimą (žr. žemiau).
Annex I gaminiuose įterptoms DI sistemoms ES AtiD gali būti sujungta su atitinkamo sektoriaus teisės akto reikalaujama atitikties deklaracija, jei ji apima visus abiejų teisinių instrumentų reikalaujamus elementus.
CE ženklinimas (Art. 48)
Didelės rizikos DI sistemos, pateikiamos ES rinkai, turi turėti CE ženklinimą, kuris signalizuoja atitiktį ES DI aktui ir bet kokiai kitai taikytinai Sąjungos harmonizuotai teisės aktui, apimančiai tą patį gaminį.
Išimtys: Annex III kategorijų DI sistemos, diegiamos viešojo sektoriaus institucijų jų vidiniam naudojimui, yra atleistos nuo CE ženklinimo reikalavimų. Jos lieka pavaldžios visiems kitiems įpareigojimams — techninei dokumentacijai, rizikos valdymui, žmogaus priežiūrai, registracijai — tačiau nereikia affixuoti CE ženklinimo.
CE ženklinimas turi būti affixuotas prieš pateikiant sistemą ES rinkai. Jis turi būti matomas, įskaitomas ir neišdildomas. Kai fizinė sistemos prigimtis neleidžia tiesiogiai affixuoti ženklinimo, ji gali būti ant pakuotės ar naudojimo instrukcijose.
Kai didelės rizikos DI sistema yra Annex I gaminio, jau reikalaujančio CE ženklinimo pagal sektoriaus konkretų teisės aktą (pvz., medicinos prietaisai, mašinos), CE ženklinimas apima atitiktį tiek sektoriaus teisės aktams, tiek DI aktui. Teikėjai turėtų aiškiai dokumentuoti, kurios atitikties vertinimo procedūros pagrindžia CE ženklinimą.
Praktinis kontrolinis sąrašas: minimali perspektyvi techninė byla
Prieš bet kurią didelės rizikos DI sistemą pateikiant ES rinkai, patikrinkite šiuos 10 punktų, ar jie pilni ir pagrįsti:
- [ ] Sistemos aprašymas ir versijų kontrolė — pavadinimas, versija, numatytas tikslas dokumentuotas; pakeitimų žurnalas egzistuoja
- [ ] Architektūros schema — duomenų srautų ir komponento schema, rodanti visą techninę ir programinę įrangą bei trečiųjų šalių elementus
- [ ] Mokymo duomenų inventorius ir valdysenos įrašas — duomenų rinkiniai katalogizuoti su šaltiniu, dydžiu, skaidymais ir duomenų kokybės procedūromis dokumentuotomis
- [ ] Rizikos vertinimas (pagal Art. 9) — nustatytos rizikos, mažinimo priemonės ir priimtos likutinės rizikos dokumentuotos ir pasirašytos
- [ ] Šališkumo testavimo rezultatai — testavimo metodika dokumentuota; rezultatai atskaidryti pagal aktualias demografines grupes, kur taikoma
- [ ] Tikslumo rodikliai reprezentatyviame testų rinkinyje — veiklos rodikliai dokumentuoti su testavimo sąlygomis; nustatyti slenkstiai
- [ ] Žmogaus priežiūros procedūros dokumentas — nepaisymo mechanizmai aprašyti; operatoriaus reikalavimai (mokymas, kvalifikacija) dokumentuoti
- [ ] Kibernetinio saugumo vertinimas — žinomos atakų vektoriai įvertintos; techniniai priešpriešiniai veiksmai dokumentuoti
- [ ] Naudojimo instrukcijos (naudotojui skirtos) — Art. 13 dokumentas pilnas, įskaitant apribojimus, registravimo įsipareigojimus ir incidentų pranešimo kontaktą
- [ ] Stebėjimo po pateikimo rinkai planas — duomenų rinkimo apimtis, stebėjimo dažnumas, peržiūros suaktyvintojai ir incidentų pranešimo procedūra dokumentuoti
Šis kontrolinis sąrašas apima minimumą. Gerai parengta techninė byla eis toliau — ypač dėl šališkumo testavimo metodikos, komponentų modelių kortelių ir įrodymų, kad rizikos valdymo procesas yra iteratyvus, o ne vienkartinis pratimas.
Kaip tai susijęs su ES DI akto akademija
ES DI akto akademijos Pro lygio yra paruošti naudoti techninės dokumentacijos šablonai, apimantys visus 14 Annex IV elementų, įskaitant:
- Struktūrizuotą XLSX darbo knygelę su vienu skirtuku kiekvienam Annex IV elementui, iš anksto užpildytą klausimais ir pavyzdžių įrašais
- DOCX techninės bylos struktūrą, paruoštą redagavimui
- Rizikos vertinimo darbo lapą, sekantį Art. 9 iteratyvų procesą
- Duomenų valdysenos įrašo šabloną, apimantį mokymo, validavimo ir testavimo duomenų rinkinius
- Stebėjimo po pateikimo rinkai plano šabloną, suderintą su Art. 72
Šie šablonai skirti pritaikyti jūsų konkrečiai sistemai — jie yra pradiniai taškai su turiniu, o ne tušti blankai.
Susijusios puslapiai:
- Annex III — Didelės rizikos DI kategorijos ir įsipareigojimai
- Atitikties vertinimo procedūros (Annex VI ir VII)
- ES DI akto akademija — šablonai ir mokymai
- Įrankiai — Atitikties vertinimo parinktuvas
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Didelės rizikos DI sistemos teikėjas yra vienintelis atsakingas už techninės dokumentacijos rengimą ir palaikymą. Naudotojai neprivalo jos rengti, tačiau turi saugoti prieigos žurnalus ir gali prireikti juos pateikti teikėjams pranešimų tikslais.
Techninė dokumentacija turi būti saugoma 10 metų po DI sistemos pateikimo ES rinkai arba pradėjimo naudoti (Art. 18). DI sistemoms, įterptoms į Annex I teisės aktams pavaldžius gaminius, taikomas ilgesnis gaminio teisės akto saugojimo terminas.
Ne — techninė dokumentacija nėra centralizuotai teikiama. Ją turi saugoti teikėjas ir pateikti rinkos priežiūros institucijoms ir notifikuotoms įstaigoms pagal prašymą. Registracija ES DI duomenų bazėje (Art. 71) yra privaloma, tačiau pilna techninė byla lieka pas teikėją.
Formalus dokumentas, pasirašytas teikėjo, nurodantis, kad DI sistema atitinka ES DI akto reikalavimus. Jame turi būti nurodytas sistemos pavadinimas, versija, teikėjo tapatybė, taikytinų įvykdytų reikalavimų sąrašas, naudota atitikties vertinimo procedūra ir nuoroda į atitinkamus suderintus standartus. Jis lydi CE ženklinimą.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.