Regulas (ES) 2024/1689 17. pants — Kvalitātes pārvaldības sistēma. Oficiālais teksts, praktiskā interpretācija, galvenie pienākumi un atbilstības ietekme.
Oficiālā teksta kopsavilkums
Regulas (ES) 2024/1689 17. pants uzliek augsta riska MI sistēmu nodrošinātājiem pienākumu izveidot kvalitātes pārvaldības sistēmu (KPS) pirms šādu sistēmu laišanas tirgū vai nodošanas ekspluatācijā. KPS jādokumentē sistemātiskā, kārtīgā veidā, un tai jāaptver visi MI sistēmas dzīves cikla posmi.
Regulā norādīts, ka KPS jāapskata vismaz: nodrošinātāja stratēģija regulatīvajai atbilstībai, tostarp atbilstības novērtēšanas procedūras; MI sistēmas projektēšanai, projektēšanas kontrolei un pārbaudei izmantotās metodes, procedūras un sistemātiskās darbības; datu pārvaldības procedūras, kas aptver datu iegūšanu, vākšanu, analīzi, marķēšanu, glabāšanu, filtrēšanu, ieguvi, apkopošanu un saglabāšanu; 9. pantā paredzētā riska pārvaldības sistēma; 72. pantam atbilstošas pēctirgus uzraudzības sistēmas izveide un īstenošana; incidentu ziņošanas procedūras saskaņā ar 73. pantu; saziņas ar kompetentajām iestādēm, paziņotajām struktūrām un citiem attiecīgajiem operatoriem apstrāde; reģistru uzturēšanas sistēmas un procedūras; resursu pārvaldība, tostarp ar piegādes ķēdi saistīti pasākumi; un atbildības satvars, kurā dokumentēta atbildība visā organizācijā.
Ja nodrošinātāji ir fiziskas personas vai mikrouzņēmumi, kā definēts Komisijas Ieteikumā 2003/361/EK, Komisija ir pilnvarota pieņemt īstenošanas aktus, ar kuriem atļauj vienkāršotus KPS pasākumus, atzīstot proporcionalitātes principu, kas caurvij visu regulu.
Ko tas nozīmē praksē
Jebkurai organizācijai, kas izstrādā vai laiž ES tirgū augsta riska MI sistēmu, 17. pants nozīmē, ka atbilstība nevar būt vienreizējs pasākums, kas tiek veikts laišanas brīdī. Tai jābūt iestrādātai dzīvā organizatoriskā sistēmā, kas pārvalda visu produkta dzīves ciklu — no sākotnējiem projektēšanas lēmumiem līdz izvietošanai, uzraudzībai un iespējamai izslēgšanai no apgrozības.
Konkrēti, nodrošinātājam jāspēj pierādīt, ka katrā posmā pastāv dokumentētas procedūras un tās tiek ievērotas. Piemēram, veselības aprūpes MI nodrošinātājs nevar vienkārši apmācīt modeli un iesniegt to atbilstības novērtēšanai. Organizācijai jāparāda, ka datu ieguvi regulēja dokumentēti pārvaldības noteikumi, ka projektēšanas izvēle tika pārskatīta atbilstoši riska kritērijiem, ka uzraudzības atbildība ir piešķirta un reģistrēta, un ka pastāv mehānisms izvietošanas pēc incidentu atklāšanai un ziņošanai.
KPS prasība nozīmē, ka atbilstība ir tikpat organizatorisks un procesuāls izaicinājums, cik tehnisks. Uzņēmumi, kas jau darbojas saskaņā ar ISO 9001 vai nozarei specifiskiem pārvaldības ietvariem — piemēram, ISO 13485 medicīnas ierīcēm — atradīs būtisku pārklāšanos, taču tiem joprojām būs jāattēlo savas esošās sistēmas tieši uz MI akta prasībām, nevis jāpieņem ekvivalence.
Mazāki nodrošinātāji izmanto proporcionalitātes noteikumu: mikrouzņēmumi var pretendēt uz vienkāršotiem pasākumiem saskaņā ar Komisijas izdotajiem īstenošanas aktiem. Tomēr tas tos neatbrīvo no būtiskajiem materiālajiem pienākumiem; tas var ietekmēt tikai formu, kādā šie pienākumi tiek dokumentēti un pārvaldīti.
Praktiski nodrošinātājiem KPS jāuzskata par centrālo mugurkaulu, no kura tiek ģenerēti un pārvaldīti visi pārējie atbilstības dokumenti — tehniskā dokumentācija, riska reģistri, pēctirgus uzraudzības plāni, incidentu žurnāli.
Galvenie pienākumi
- Izveidot dokumentētu kvalitātes pārvaldības sistēmu pirms augsta riska MI sistēmas laišanas tirgū vai nodošanas ekspluatācijā, aptverot visas dzīves cikla fāzes.
- Integrēt 9. panta prasītās riska pārvaldības procedūras KPS, nodrošinot, ka riska identificēšana, novērtēšana un mazināšana ir sistemātiska un izsekojama.
- Dokumentēt datu pārvaldības prakses, kas aptver iegūšanu, marķēšanu, apstrādi, glabāšanu un saglabāšanu, atbilstoši 10. panta datu pārvaldības prasībām.
- Uzturēt 11. pantā un IV pielikumā norādīto tehnisko dokumentāciju kā KPS rezultātu, saglabājot to aktuālu un pieejamu atbilstības novērtēšanas un tirgus uzraudzības vajadzībām.
- KPS satvarā īstenot pēctirgus uzraudzības un incidentu ziņošanas procedūras, kas ir saskaņotas attiecīgi ar 72. un 73. pantu.
- Visā organizācijā definēt un dokumentēt atbildības struktūras, lomas un pienākumus, tostarp piegādes ķēdes uzraudzību, ja trešo personu komponenti veicina MI sistēmu.
Saistība ar citiem pantiem
- pants darbojas kā Nosaukuma III, 3. nodaļā izveidotā augsta riska MI sistēmas atbilstības režīma organizatoriskais mugurkauls. Tas smeļ saturisko saturu no vairākiem savstarpēji saistītiem pienākumiem: 9. panta riska pārvaldības sistēma, 10. panta datu un datu pārvaldības prasības un 11. panta tehniskās dokumentācijas režīms tieši ietekmē to, kas KPS jāaptver un jārada.
KPS jāatbalsta arī 43. un 44. pantā paredzētās atbilstības novērtēšanas procedūras, jo tās ģenerētā dokumentācija ir primārie pierādījumi, ko izskata paziņotās struktūras vai pašnovērtējuma procesi. Izvietošanas pēc pienākumi saskaņā ar 72. pantu (pēctirgus uzraudzība) un 73. pantu (nopietnu incidentu ziņošana) jāiestrādā KPS procedūrās, nevis jāpārvalda kā atsevišķas ad hoc darbības.
- pants uzliek izvietotājiem pienākumus, kas ir atsevišķi no, bet papildinoši nodrošinātāju KPS pienākumiem. Ja nodrošinātāji un izvietotāji pārklājas — piemēram, ja organizācija gan izstrādā, gan iekšēji izvieto augsta riska MI sistēmu —, 17. panta KPS jālasa kopā ar 26. panta izvietotāja pienākumiem, lai nodrošinātu pilnīgu aptveršanu.
Atbilstības laika grafiks
ES MI akts stājās spēkā 2024. gada 1. augustā pēc publicēšanas Eiropas Savienības Oficiālajā Vēstnesī. Tā noteikumu piemērošana ir pakāpeniska:
- 2025. gada februāris — Kļuva piemērojami aizliegumi attiecībā uz nepieņemama riska MI praksi (5. pants).
- 2025. gada augusts — Kļuva piemērojami pienākumi attiecībā uz vispārīga nolūka MI modeļiem (VIII sadaļa).
- 2026. gada 2. augusts — 17. pants kļūst piemērojams III pielikumā uzskaitīto augsta riska MI sistēmu nodrošinātājiem (sistēmas tādās jomās kā biometrija, kritiskā infrastruktūra, izglītība, nodarbinātība, būtiskie pakalpojumi, tiesībaizsardzība, migrācija un tiesvedības administrācija).
- 2027. gada 2. augusts — 17. pants kļūst piemērojams I pielikumā (MI komponenti produktos, kas jau pakļauti Savienības saskaņošanas tiesību aktiem, piemēram, medicīnas ierīcēm, mašīnām un aviācijas iekārtām) paredzēto augsta riska MI sistēmu nodrošinātājiem.
Nodrošinātāji, kuru sistēmas jau atrodas tirgū pirms šiem datumiem, izmanto pārejas pasākumus saskaņā ar 111. pantu, kas var atlikt pilnīgas KPS atbilstības pienākumus, ievērojot nosacījumus, kas saistīti ar būtiskām izmaiņām un notiekošajiem atbilstības novērtēšanas cikliem. Organizācijām jāsāk KPS izstrāde un plaisu novērtēšana krietni pirms piemērojamā termiņa, lai atvēlētu laiku iekšējai validēšanai, paziņotās struktūras iesaistei, kur nepieciešams, un iteratīvai pilnveidošanai pirms pienākuma piemērošanas.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
17. pants kvalitātes pārvaldības sistēmas pienākumu uzliek tikai augsta riska MI sistēmu nodrošinātājiem, kā definēts Regulas (ES) 2024/1689 6. pantā un III pielikumā. Izvietotāji šim konkrētajam pienākumam nav pakļauti, lai gan tiem ir atsevišķi pienākumi saskaņā ar 26. pantu.
KPS jāaptver vismaz: stratēģija regulatīvajai atbilstībai, projektēšanas un izstrādes metodoloģijas, datu pārvaldības procedūras, riska pārvaldība, kā noteikts 9. pantā, tehniskā dokumentācija saskaņā ar 11. pantu, reģistrācija un uzskaites glabāšana, pēctirgus uzraudzība saskaņā ar 72. pantu, incidentu ziņošanas pienākumi un cilvēka uzraudzības pasākumi.
17. pants neparedz nekādu konkrētu sertifikācijas standartu. Tomēr atbilstība atzītiem standartiem, piemēram, ISO 9001 vai nozarei specifiskiem ekvivalentiem, var palīdzēt pierādīt atbilstību, jo īpaši, ja saskaņotie standarti saskaņā ar 40. pantu ietver KPS prasības.
KPS un tehniskā dokumentācija ir cieši saistītas. KPS jāģenerē un jāuztur 11. panta un IV pielikuma prasītā tehniskā dokumentācija, un pati dokumentācija atbilstības novērtēšanas laikā kalpo kā primārs pierādījums tam, ka KPS darbojas pareizi.
17. pants attiecas uz III pielikumā uzskaitīto augsta riska MI sistēmu nodrošinātājiem no 2026. gada 2. augusta un uz I pielikumā (nozarei specifiskais Savienības saskaņošanas tiesību akts) paredzēto augsta riska MI sistēmu nodrošinātājiem no 2027. gada 2. augusta, ievērojot 111. panta pārejas noteikumus.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.