ES MI Akta Pēctirgus Uzraudzība (Art. 72): Pienākumi Augsta Riska MI Nodrošinātājiem

Atbilstība nebeidzas ar ienākšanu tirgū. Art. 72 prasa augsta riska MI sistēmu nodrošinātājiem uzturēt aktīvu pēctirgus uzraudzības sistēmu, vākt darbības datus un ziņot par nopietniem incidentiem. Lūk, kas jums jādara — un kad.

Kas ir Pēctirgus Uzraudzība?

Atbilstības novērtēšana un CE marķēšana ir ieejas biļete ES tirgū augsta riska MI sistēmai — nevis finiša līnija. ES MI Akta 72. pants uzliek turpinošu pienākumu: nodrošinātājiem jāizveido un jāekspluatē pēctirgus uzraudzības (PTU) sistēma, kas aktīvi vāc, analizē un rīkojas pēc reālās pasaules darbības datiem visā sistēmas darbības laikā.

Pamatojums ir vienkāršs. MI sistēma, kas validēta uz fiksētas datu kopas, var novirzīties, mainoties reālās pasaules ievades datiem, mainot lietotāju populāciju vai mainot vidi, kurā tā darbojas. Statiski atbilstības momentuzņēmumi to nevar uztvert. PTU ir mehānisms, kas pārvērš atbilstību par nepārtrauktu procesu, nevis vienreizēju notikumu.

PTU sistēmai jābūt samērīgai ar attiecīgās augsta riska MI sistēmas raksturu un riskiem. Kredītu vērtēšanas modelis, kas izvietots lielos mērogos miljoniem patērētāju, prasīs intensīvāku uzraudzību nekā šaurs dokumentu klasificēšanas rīks, ko lieto iekšēji regulēts uzņēmums.

Kam Jāizveido PTU Sistēma?

Obligāti:

III pielikuma patstāvīgo augsta riska MI sistēmu nodrošinātājiem — sistēmas, kas uzskaitītas III pielikumā un nav cita produkta drošības komponenti (piemēram, MI, ko izmanto nodarbinātības lēmumos, izglītības pieejā, tiesībaizsardzībā, kredītspējas novērtēšanā, kritiskās infrastruktūras pārvaldībā)
I pielikuma produktā iekļauto MI sistēmu nodrošinātājiem — MI drošības komponenti, kas integrēti produktos, ko aptver esošie ES saskaņotie tiesību akti (medicīnas ierīces, mašīnas, transportlīdzekļi)

Nav nepieciešams:

Minimāla riska MI sistēmu nodrošinātājiem (nav formālu PTU pienākumu, lai gan labā prakse piemērojama)
Tikai pārredzamības MI sistēmu nodrošinātājiem (Art. 50 pienākumi nesniedzas līdz PTU)
GPAI modeļu nodrošinātājiem — šiem piemērojams atsevišķs režīms saskaņā ar Art. 61–62, kas ietver incidentu ziņošanu sistēmiska riska modeļiem, taču ir strukturēts atšķirīgi no Art. 72 PTU

Izmantotāja loma ir atbalstoša, taču ne izvēles. Izmantotājiem jāekspluatē MI sistēma saskaņā ar nodrošinātāja instrukcijām, jāaktivizē un jāsaglabā sistēmā iebūvētās reģistrēšanas funkcionalitātes, un — būtiski — jāziņo nodrošinātājam par nopietniem incidentiem, ko tie uzzinājuši, bez nepamatotas kavēšanās. Izmantotājs, kas novēro nopietnu incidentu un nespēj paziņot nodrošinātājam, nav atbilstošs.

Pēctirgus Uzraudzības Plāns (IV pielikuma 12. punkts)

PTU plāns ir obligāta techniskās dokumentācijas (IV pielikums) daļa. Tas nevar būt vispārējs dokuments: tam jābūt specifiskam attiecībā uz sistēmu, tās izvietošanas kontekstu un identificētajiem riskiem. Minimums tam jādefinē:

Datu vākšana — kādi darbības rādītāji tiek uztverti (precizitāte, kļūdu rādītāji, lēmumu rezultāti), kā dati tiek vākti (automatizēta telemetrija, izmantotāju ziņojumi, lietotāju atsauksmes) un ar kādu biežumu
Atgriezeniskās saites cilpas — mehānisms, ar kuru izmantotāji var ziņot nodrošinātājam par darbības problēmām, anomālijām vai incidentiem strukturētā un savlaicīgā veidā
Precizitātes uzraudzība — kā sistēmas darbība tiek izsekota pret validēto etalonu, kas izmantots atbilstības novērtēšanas laikā, tostarp jebkura novirzes noteikšanas metodika
Aizspriedumu uzraudzība — sistēmām, kur demogrāfiskie rezultāti ir būtiski (darbā pieņemšana, kredīts, tiesībaizsardzība), nepārtraukta statistisko atšķirību uzraudzība pēc aizsargātajām grupām ar definētu metodiku un sliekšņiem
Atjaunināšanas aktivizatāji — konkrēti kvantitatīvie vai kvalitatīvie sliekšņi, kas izraisa korektīvas darbības, tostarp modeļa pārapmācību, parametru korekciju vai izvietošanas apturēšanu
Pārskatīšanas grafiks — cik bieži pats PTU plāns tiek pārskatīts un atjaunināts, nodrošinot, ka tas paliek piemērots mērķim, mainoties izvietošanas kontekstam

PTU plāns jāuztur atjaunināts. Novecojis plāns, kas vairs neatspoguļo faktisko uzraudzības metodiku, neapmierina Art. 72.

Nopietnu Incidentu Ziņošana (Art. 73)

Kas veido nopietnu incidentu?

pants nosaka nopietnu incidentu kā jebkuru incidentu vai augsta riska MI sistēmas darbības traucējumu, kas tieši vai netieši izraisa:

Nāvi vai nopietnu kaitējumu veselībai (fiziskam vai psiholoģiskam)
Nopietnu un neatgriezenisku traucējumu kritiskās infrastruktūras pārvaldībai vai ekspluatācijai
Nopietnu pamattiesību pārkāpumu (privātums, nediskriminācija, pienācīgs process)
Situāciju, kurā persona šauri novairījās no kāda no iepriekš minētajiem

Svarīgi, ka MI Akts neprasa kauzālas saites ar MI sistēmu konstatēšanu pirms ziņošanas. Pamatota aizdomu, ka MI sistēma veicināja vai neizdevās novērst kaitējumu, ir pietiekams ziņošanas pienākuma aktivizēšanai. Nodrošinātāji, kas gaida noteiktību pirms ziņošanas, riskē ar neatbilstību.

Ziņošanas termiņi

No	Uz	Termiņš
Izmantotājs	Nodrošinātājs	Bez nepamatotas kavēšanās (uzzinot)
Nodrošinātājs	Valstu tirgus uzraudzības iestāde	15 kalendāro dienu laikā pēc uzzināšanas
Nodrošinātājs (sabiedriskās drošības risks)	Valstu tirgus uzraudzības iestāde	24 stundu laikā pēc uzzināšanas
Nodrošinātājs (jauns sistēmisks riska modelis)	Valstu tirgus uzraudzības iestāde	Bez nepamatotas kavēšanās (nav nepieciešams konkrēts incidents)

15 dienu skaitīšana sākas, kad nodrošinātājs uzzina par incidentu — kas praksē nozīmē, kad izmantotājs tos paziņo. Nodrošinātājiem jāprojektē savu izmantotāju paziņošanas procedūras tā, lai informācija sasniegtu tos pietiekami ātri, lai izpildītu pakārtotā ziņošanas termiņu.

Kas jāsatur incidenta ziņojumā

Atbilstošam incidenta ziņojumam valstu tirgus uzraudzības iestādei jāietver:

Sistēmas identifikācija: nosaukums, versija, ES datubāzes reģistrācijas numurs
Incidenta apraksts: kas notika, kāds kaitējums notika vai tika gandrīz novairīts, datums un atrašanās vieta
Ietekmētās personas: ietekmēto lietotāju vai trešo personu skaits un kategorijas (anonimizēts, kur to prasa VDAR)
Provizoriskā cēloņsakarīgā analīze: nodrošinātāja pašreizējā izpratne par to, kā incidents radās, skaidri marķēts kā provizoriskais
Tūlītēji korektīvie vai drošības pasākumi: jebkuri jau veiktie pasākumi, lai ierobežotu turpmāku kaitējumu vai risku (piemēram, ietekmētās funkcionalitātes apturēšana, izmantotāju paziņojumi)
Kontaktpunkts: persona vai komanda, kas atbildīga par turpmāko saraksti ar iestādi

Ziņojumam jābūt faktiskam un samērīgam. Provizoriskos ziņojumus var papildināt ar turpmākiem ziņojumiem, progresējot izmeklēšanai.

Obligātā Reģistrēšana (Art. 12)

pants prasa, lai augsta riska MI sistēmas būtu projektētas un veidotas ar spēju automātiski ģenerēt žurnālus tādā detalizācijas pakāpē, kas ļauj:

Pēctirgus uzraudzību saskaņā ar Art. 72
Notikumu, kas noveda pie nopietna incidenta, izsekošanu
Valstu iestāžu izmeklēšanu

Tas ir dizaina prasība, ko uzliek nodrošinātājam. Nodrošinātājam jāiebūvē reģistrēšanas spēja sistēmā pirms tās laišanas tirgū.

Pienākums aktivizēt un saglabāt šos žurnālus gulstas uz izmantotāju. Izmantotājiem nedrīkst atspējot reģistrēšanas funkcionalitāti un jāsaglabā žurnāli nodrošinātāja instrukcijās un techniskajā dokumentācijā norādītajam periodam. Kur nav definēts konkrēts saglabāšanas periods, žurnāli jāsaglabā periodam, kas ir samērīgs ar sistēmas darbības dzīves ciklu un jebkuriem piemērojamiem nozares specifiskajiem saglabāšanas noteikumiem (piemēram, finanšu pakalpojumu dokumentu uzglabāšanas noteikumi saskaņā ar DORA vai MiFID II).

Būtiskas Modifikācijas un Pārvērtēšana

Ne katra izvietotās MI sistēmas izmaiņa izraisa jaunu atbilstības novērtēšanu. Akts nošķir nelielus atjauninājumus un būtiskas modifikācijas.

Modifikācija ir būtiska — un prasa jaunu atbilstības novērtēšanu un atjauninātu technisko dokumentāciju — kad tā:

Maina sistēmas paredzēto mērķi (pat daļēji)
Ietver ievērojamas izmaiņas arhitektūrā vai apmācības metodikā
Izmanto jaunus apmācības datus, kas būtiski ietekmē sistēmas darbību tādos veidos, kas varētu ietekmēt atbilstībai svarīgu uzvedību
Pasliktina darbību ārpus riska pārvaldības dokumentācijā definētajiem sliekšņiem tādos veidos, kas ietekmē drošību vai pamattiesības

Nelieli atjauninājumi — drošības ielāpi, kļūdu labojumi, kas novērš skaidri identificētus defektus, nemainot atbilstībai svarīgu uzvedību, kosmētiskas saskarnes izmaiņas — neprasa pilnīgu pārvērtēšanu. Tomēr tiem jābūt dokumentētiem, un nodrošinātājam jāsaglabā rakstisks novērtējums, kas apstiprina, ka modifikācija nav būtiska modifikācija. Šis ieraksts ir pakļauts tirgus uzraudzības iestāžu pārbaudei.

Praktiskais Ieviešanas Kontrolsaraksts

Šis kontrolsaraksts atspoguļo minimālās darbības prasības saskaņā ar Art. 72, Art. 73 un Art. 12. Tas nav juridiskā padoma aizstājējs, taču sniedz sākuma punktu nepilnību analīzei.

[ ] PTU plāns dokumentēts techniskajā dokumentācijā (IV pielikuma 12. punkts), specifisks sistēmai un tās izvietošanas kontekstam
[ ] Automātiskās reģistrēšanas spēja projektēta un iebūvēta sistēmā pirms laišanas tirgū
[ ] Izmantotāju instrukcijas ietver skaidru, rakstisku incidentu ziņošanas procedūru ar eskalācijas kontaktpunktu
[ ] Iekšēji izveidots incidentu ziņošanas kontaktpunkts un paziņots attiecīgajai valstu tirgus uzraudzības iestādei
[ ] Aizspriedumu un precizitātes uzraudzības procesi vai informācijas paneļi definēti ar dokumentētu metodiku un sliekšņiem
[ ] Eskalācijas sliekšņi korektīvai darbībai dokumentēti un saistīti ar riska pārvaldības sistēmu
[ ] Būtiskās modifikācijas novērtēšanas procedūra ieviesta ar lēmuma ierakstu veidni katram atjauninājumam
[ ] Žurnālu saglabāšanas politika definēta, paziņota izmantotājiem un saskaņota ar nozares specifiskiem saglabāšanas noteikumiem

Savstarpējās atsauces: Tehniskā dokumentācija — III pielikuma augsta riska MI sistēmas — Nodrošinātāji pret izmantotājiem

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vai pēctirgus uzraudzība attiecas uz visām MI sistēmām vai tikai augsta riska?

Pēctirgus uzraudzības pienākumi saskaņā ar Art. 72 piemērojami tikai augsta riska MI sistēmu nodrošinātājiem (I un III pielikums). GPAI modeļu nodrošinātājiem ir paralēli, bet atšķirīgi pienākumi, tostarp incidentu ziņošana sistēmiska riska modeļiem. Minimāla riska un tikai pārredzamības sistēmām nav formālu pēctirgus uzraudzības prasību.

Kas ir nopietns incidents saskaņā ar Art. 73?

Nopietns incidents ir jebkurš incidents vai darbības traucējums, kas tieši vai netieši noved pie: nāves, smagas kaitējuma veselībai, nopietniem neatgriezeniskiem infrastruktūras vai īpašuma traucējumiem, vai nopietniem pamattiesību pārkāpumiem. Tas ietver arī gandrīz notikušos gadījumus, kur persona tikai nedaudz novairījās no kaitējuma. MI Akts neprasa kauzālas saites konstatēšanu — pamatota aizdomu pietiek ziņošanas pienākuma aktivizēšanai.

Cik ātri nopietns incidents jāziņo?

Nodrošinātājiem jāziņo par nopietniem incidentiem attiecīgajai valsts tirgus uzraudzības iestādei bez nepamatotas kavēšanās un jebkurā gadījumā 15 dienu laikā pēc informācijas iegūšanas. Incidentiem, kas saistīti ar sabiedriskās drošības risku, termiņš ir 24 stundas. Izmantotājiem jāpaziņo nodrošinātājiem par nopietniem incidentiem bez nepamatotas kavēšanās.

Vai programmatūras atjauninājums MI sistēmai var izraisīt pārvērtēšanu?

Jā. Ja atjauninājums veido 'būtisku modifikāciju' — mainot paredzēto mērķi, ievērojami pasliktinot darbību vai mainot riska pārvaldības pasākumus — tas prasa jaunu atbilstības novērtēšanu. Nelieli kļūdu labojumi un drošības ielāpi parasti to neprasa. Nodrošinātājam jādokumentē visi atjauninājumi un jānovērtē, vai tie izraisa pārvērtēšanu.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.