Artykuł 25 — Obowiązki w łańcuchu wartości AI (Akt w sprawie AI UE)

Artykuł 25 Rozporządzenia (UE) 2024/1689 — Obowiązki w łańcuchu wartości AI. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Streszczenie tekstu oficjalnego

Artykuł 25 Rozporządzenia (UE) 2024/1689 (Akt w sprawie AI UE) określa warunki, na jakich strony inne niż pierwotny dostawca przejmują obowiązki na poziomie dostawcy w odniesieniu do systemu AI wysokiego ryzyka. Artykuł ten jest zawarty w Tytule III, Rozdziale 3, który reguluje obowiązki dostawców i podmiotów stosujących przez cały cykl życia systemów AI wysokiego ryzyka.

Artykuł określa trzy scenariusze wyzwalające. Po pierwsze, dystrybutor, importer, podmiot stosujący lub inna strona trzecia staje się dostawcą — z wszelkimi związanymi z tym obowiązkami wynikającymi z Rozdziału 2 Tytułu III — gdy wprowadzają system AI wysokiego ryzyka do obrotu lub oddają go do użytku pod własną nazwą lub znakiem towarowym. Po drugie, status dostawcy jest przejmowany, gdy strona trzecia dokonuje istotnej modyfikacji systemu AI wysokiego ryzyka. Po trzecie, zmiana zamierzonego przeznaczenia systemu AI wysokiego ryzyka — nawet bez fizycznej zmiany — może uruchamiać wymogi ponownej klasyfikacji i ponownej oceny.

Gdy następuje taka zmiana odpowiedzialności, pierwotny dostawca nie jest automatycznie zwolniony z odpowiedzialności. Rozporządzenie wymaga, aby ustalenia umowne między stronami łańcucha dostaw wyraźnie określały, kto posiada jakie obowiązki na każdym etapie. Zapewnia to, że odpowiedzialność regulacyjna przysługuje podmiotowi sprawującemu faktyczną kontrolę nad wdrożeniem lub modyfikacją systemu. Artykuł wzmacnia szerszą zasadę, że Akt w sprawie AI UE przypisuje obowiązki na podstawie rzeczywistej roli i wpływu każdego aktora w łańcuchu wartości, a nie jedynie formalnych etykiet umownych.

Co to oznacza w praktyce

Artykuł 25 ma bezpośrednie implikacje dla zgodności każdej organizacji, która integruje, rebranduje, istotnie modyfikuje lub ponownie wdraża system AI wysokiego ryzyka strony trzeciej. Zapobiega powszechnej praktyce handlowej polegającej na zakładaniu, że odpowiedzialność za zgodność spoczywa wyłącznie na dostawcy nadrzędnym.

Integratorzy systemów i sprzedawcy wprowadzający system AI wysokiego ryzyka na rynek UE pod własną marką — na przykład firma programistyczna wbudowująca silnik scoringu kredytowego oparty na AI strony trzeciej we własny produkt i wprowadzająca go na rynek pod własną nazwą — stają się dostawcami na mocy rozporządzenia. Muszą wypełniać wszystkie obowiązki określone w Artykule 16, w tym oceny zgodności, dokumentację techniczną, rejestrację w bazie danych UE i umieszczanie oznakowania CE.

Firmy modyfikujące systemy AI muszą ocenić, czy ich zmiany stanowią istotną modyfikację. Ponowne trenowanie modelu na nowym zbiorze danych, zmiana progów decyzyjnych w sposób zmieniający profile ryzyka lub rozszerzenie funkcjonalności systemu na nową dziedzinę to przykłady, które prawdopodobnie uruchamiają ponowną ocenę. Nawet czysto programowa zmiana wpływająca na wyniki w kontekście regulowanym może być kwalifikowana.

Podmioty stosujące, które zmieniają przeznaczenie systemów poza pierwotnie zamierzonym użytkowaniem — na przykład używając ogólnego narzędzia do analityki miejsca pracy do podejmowania decyzji o zatrudnieniu — muszą ocenić, czy nowe zastosowanie należy do kategorii wysokiego ryzyka, a jeśli tak, czy faktycznie stały się dostawcą systemu.

W praktyce organizacje powinny przeprowadzać audyty wszystkich systemów AI w swoim portfolio, mapować udokumentowane przez pierwotnego dostawcę zamierzone przeznaczenie i ustanawiać wewnętrzne procesy zarządzania w celu sygnalizowania, gdy proponowane zmiany lub nowe przypadki użycia zbliżają się do progów Artykułu 25.

Kluczowe obowiązki

Przejmowanie obowiązków dostawcy przy rebrandingu: Każdy dystrybutor, importer lub strona trzecia, która wprowadza na rynek lub wdraża system AI wysokiego ryzyka pod własną nazwą lub znakiem towarowym, musi spełniać wszystkie obowiązki dostawcy wynikające z Artykułu 16, w tym dokumentację techniczną, ocenę zgodności i rejestrację w bazie danych UE.
Ponowna ocena po istotnej modyfikacji: Każda strona, która dokonuje istotnej modyfikacji systemu AI wysokiego ryzyka, musi traktować zmodyfikowany system jako nowy system AI wysokiego ryzyka, powtórzyć odpowiednią procedurę oceny zgodności i odpowiednio zaktualizować całą dokumentację.
Ponowna rejestracja systemu: W przypadku przejęcia statusu dostawcy lub dokonania istotnej modyfikacji nowy dostawca musi zarejestrować system (lub jego zmodyfikowaną wersję) w bazie danych UE dla systemów AI wysokiego ryzyka ustanowionej na mocy Artykułu 71.
Weryfikacja zamierzonego przeznaczenia przed wdrożeniem: Podmioty stosujące muszą weryfikować, że ich użytkowanie systemu AI wysokiego ryzyka pozostaje w granicach zamierzonego przeznaczenia udokumentowanego przez pierwotnego dostawcę; wszelkie istotne odchylenia muszą być oceniane pod kątem implikacji dla zgodności na mocy Artykułu 25.
Utrzymywanie jasnego umownego podziału obowiązków: Wszystkie strony w łańcuchu wartości AI — pierwotni dostawcy, importerzy, dystrybutorzy i podmioty stosujące — muszą zapewnić, że ich umowy wyraźnie przydzielają obowiązki w zakresie zgodności, szczególnie tam, gdzie przewidywane są modyfikacje lub rebranding.
Zachowanie informacji pierwotnego dostawcy: Gdy strona trzecia przejmuje status dostawcy, musi mieć dostęp do — i utrzymywać — całą dokumentację techniczną i informacje o zgodności pierwotnie wytworzone przez dostawcę nadrzędnego, ponieważ stanowi to podstawę jej własnych obowiązków w zakresie zgodności.

Relacja do innych artykułów

Artykuł 25 pełni funkcję pomostu między obowiązkami dostawcy zdefiniowanymi w Artykule 16 (obowiązki dostawców systemów AI wysokiego ryzyka) a obowiązkami podmiotów stosujących w Artykule 26. Zapewnia, że obowiązki wymienione w Artykule 16 — dokumentacja techniczna, ocena zgodności, zarządzanie jakością, monitorowanie porejestracyjne — nie mogą być obchodzone przez ustalenia umowne lub struktury korporacyjne.

Należy go czytać w powiązaniu z Artykułem 6 (zasady klasyfikacji systemów AI wysokiego ryzyka) i Załącznikiem III, które określają, kiedy system jest wysokiego ryzyka i podlega pełnemu reżimowi obowiązków dostawcy. Artykuł 47 (deklaracja zgodności UE) i Artykuł 48 (oznakowanie CE) są bezpośrednio istotne, gdy nowy dostawca musi ponownie certyfikować zmodyfikowany system.

Artykuł 71 (baza danych UE systemów AI wysokiego ryzyka) jest istotny, ponieważ ponowna rejestracja jest wymagana przy zmianie statusu dostawcy. Motyw 79 zawiera wskazówki interpretacyjne dotyczące tego, co stanowi istotną modyfikację. W łańcuchach dostaw obejmujących modele GPAI Artykuły 51–56 regulują obowiązki dostawcy modelu nadrzędnego, ale Artykuł 25 określa, kiedy integrator systemów budujący na tym modelu staje się dostawcą systemu AI wysokiego ryzyka we własnym prawie.

Harmonogram zgodności

Akt w sprawie AI UE wszedł w życie 1 sierpnia 2024 r. (dwadzieścia dni po publikacji w Dzienniku Urzędowym UE w dniu 12 lipca 2024 r.). Stosowanie jest etapowe:

2 lutego 2025 r. — Zakazy dotyczące praktyk AI niedopuszczalnego ryzyka (Tytuł II) zaczęły obowiązywać. Artykuł 25 nie miał jeszcze zastosowania.
2 sierpnia 2025 r. — Obowiązki dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII, Artykuły 51–56) i przepisy dotyczące zarządzania (Tytuł III, Rozdział 4; Tytuł V) zaczęły obowiązywać. Artykuł 25 nie miał jeszcze zastosowania do systemów AI wysokiego ryzyka wymienionych w Załączniku III.
2 sierpnia 2026 r. — Artykuł 25 i pełny reżim obowiązków dostawców i podmiotów stosujących z Rozdziału 3 mają zastosowanie do systemów AI wysokiego ryzyka wymienionych w Załączniku III (w tym systemów biometrycznych, infrastruktury krytycznej, zatrudnienia, edukacji, dostępu do podstawowych usług i zastosowań w zakresie egzekwowania prawa). Organizacje działające w tych sektorach muszą mieć do tej daty wdrożone procesy zarządzania, ramy umowne i procedury oceny modyfikacji.
2 sierpnia 2027 r. — Obowiązki wynikające z Artykułu 25 rozszerzają się na systemy AI wysokiego ryzyka objęte Załącznikiem I (przepisy dotyczące bezpieczeństwa produktów, takie jak wyroby medyczne i maszyny), w przypadku systemów, które były już na rynku przed sierpniem 2026 r. i podlegają okresowi przejściowemu.

Organizacje powinny rozpocząć mapowanie zgodności z Artykułem 25 — w szczególności audyty łańcucha dostaw i protokoły zarządzania modyfikacjami — z odpowiednim wyprzedzeniem przed terminem sierpnia 2026 r.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kogo dotyczy Artykuł 25 Aktu w sprawie AI UE?

Artykuł 25 dotyczy dystrybutorów, importerów, podmiotów stosujących i wszelkich innych stron trzecich, które wprowadzają system AI wysokiego ryzyka do obrotu lub oddają go do użytku pod własną nazwą lub znakiem towarowym, lub które modyfikują system AI wysokiego ryzyka w sposób zmieniający jego zamierzone przeznaczenie lub status zgodności. W takich przypadkach te strony przejmują obowiązki na poziomie dostawcy wynikające z rozporządzenia.

Kiedy podmiot stosujący staje się dostawcą na mocy Artykułu 25?

Podmiot stosujący jest uznawany za dostawcę — i musi spełniać wszystkie obowiązki dostawcy — gdy wprowadza system AI wysokiego ryzyka do obrotu lub oddaje go do użytku pod własną nazwą lub znakiem towarowym, dokonuje istotnej modyfikacji systemu AI wysokiego ryzyka zmieniającej jego zamierzone przeznaczenie lub modyfikuje system AI wysokiego ryzyka w sposób, który może wpłynąć na jego zgodność z wymogami Tytułu III, Rozdziału 2.

Co stanowi 'istotną modyfikację' w rozumieniu Artykułu 25?

Istotna modyfikacja to zmiana systemu AI wysokiego ryzyka, fizyczna lub logiczna, która wpływa na zgodność systemu z wymogami Tytułu III, Rozdziału 2 lub skutkuje zmianą zamierzonego przeznaczenia, do którego system był oceniany. Istotna modyfikacja uruchamia obowiązki ponownej oceny i ponownej rejestracji.

Czy Artykuł 25 wpływa na obowiązki pierwotnego dostawcy?

Gdy strona trzecia przejmuje status dostawcy na mocy Artykułu 25, pierwotny dostawca nie jest automatycznie zwolniony z wszelkiej odpowiedzialności. Ustalenia umowne i charakter modyfikacji określają bieżące obowiązki. Strony są zachęcane do wyraźnego dokumentowania obowiązków w umowach technicznych i prawnych w całym łańcuchu dostaw.

Jak Artykuł 25 odnosi się do obowiązków dotyczących modeli GPAI?

Artykuł 25 koncentruje się na obowiązkach w łańcuchu wartości systemów AI wysokiego ryzyka. W przypadku modeli AI ogólnego przeznaczenia (GPAI) odrębne obowiązki wynikają z Tytułu VIII (Artykuły 51–56). Jednak integratorzy budujący systemy AI wysokiego ryzyka na bazie modeli GPAI muszą ocenić, czy ich integracja uruchamia obowiązki dostawcy na mocy Artykułu 25.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.