Artykuł 31 — Wymagania dotyczące jednostek notyfikowanych (rozporządzenie UE w sprawie AI)

Artykuł 31 rozporządzenia (UE) 2024/1689 — Wymagania dotyczące jednostek notyfikowanych. Tekst oficjalny, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.

Streszczenie tekstu oficjalnego

Artykuł 31 rozporządzenia (UE) 2024/1689 ustanawia warunki, które jednostka oceny zgodności musi spełnić, zanim państwo członkowskie będzie mogło notyfikować ją Komisji Europejskiej jako jednostkę właściwą do przeprowadzania ocen zgodności przez stronę trzecią w odniesieniu do systemów AI wysokiego ryzyka.

Artykuł nakłada wymagania w kilku wymiarach. Po pierwsze, jednostka musi być ustanowiona na mocy prawa krajowego i posiadać osobowość prawną. Po drugie, musi być niezależna od ocenianych przez siebie systemów AI, ich dostawców oraz wszelkich nacisków handlowych, finansowych lub innych, które mogłyby naruszyć jej osąd; ani jednostka, ani jej pracownicy nie mogą być projektantami, twórcami, producentami, dostawcami, instalatorami, nabywcami, właścicielami, użytkownikami ani osobami odpowiedzialnymi za konserwację systemów AI, które oceniają. Po trzecie, jednostka i jej pracownicy muszą posiadać niezbędne kompetencje techniczne — w tym odpowiednie doświadczenie w zakresie technologii AI i praktyk dotyczących danych — oraz muszą utrzymywać te kompetencje poprzez ciągłe szkolenia. Po czwarte, jednostka musi być stabilna finansowo i posiadać odpowiednie ubezpieczenie od odpowiedzialności cywilnej. Po piąte, jednostka musi dysponować udokumentowanymi procesami postępowania z konfliktami interesów, zapewniania poufności informacji uzyskanych podczas oceny oraz ochrony interesów dostawców i stron trzecich. Wreszcie jednostka musi uczestniczyć w działaniach koordynacyjnych na poziomie Unii i współpracować z organami nadzoru rynku i organami notyfikującymi.

W przypadku gdy jednostka notyfikowana zleca zadania na zewnątrz lub korzysta ze spółki zależnej, musi zapewnić, że podmioty te spełniają te same wymagania, i zachowuje pełną odpowiedzialność za ich pracę.

Co oznacza to w praktyce

Art. 31 jest skierowany przede wszystkim do jednostek oceny zgodności ubiegających się o status jednostki notyfikowanej oraz do krajowych organów notyfikujących odpowiedzialnych za ich ocenę i wyznaczenie. Nie nakłada bezpośrednich obowiązków na dostawców AI, ale jego wymagania kształtują ekosystem, w którym dostawcy muszą działać.

Dla jednostek oceny zgodności przestrzeganie art. 31 oznacza przeprowadzenie kompleksowego wewnętrznego ćwiczenia przygotowawczego przed złożeniem wniosku o notyfikację. Obejmuje to przeprowadzenie przeglądu strukturalnego w celu weryfikacji niezależności od dostawców i łańcuchów dostaw, rekrutację lub przeszkolenie pracowników posiadających praktyczną wiedzę specjalistyczną w zakresie uczenia maszynowego, zarządzania danymi i konkretnej dziedziny zastosowania ocenianych systemów AI (na przykład wyrobów medycznych, systemów biometrycznych lub infrastruktury krytycznej). Jednostki muszą wdrożyć udokumentowane systemy zarządzania obejmujące poufność, konflikty interesów i zapewnienie jakości oraz muszą uzyskać odpowiednie ubezpieczenie od odpowiedzialności zawodowej.

Dla dostawców AI systemów wysokiego ryzyka wymagających oceny zgodności przez stronę trzecią na mocy art. 43 — na przykład systemów wymienionych w załączniku III, dla których żadna zharmonizowana norma nie obejmuje pełnych wymagań — wybór jednostki notyfikowanej oznacza weryfikację, czy jednostka jest należycie wymieniona w bazie danych NANDO i czy jej zakres notyfikacji obejmuje odpowiedni sektor zastosowań AI. Dostawcy powinni również weryfikować ustalenia dotyczące podwykonawstwa jednostki i potwierdzać, że oceniający z ramienia spółki zależnej sami spełniają wymogi.

Krajowe organy notyfikujące muszą budować ramy oceny, które rygorystycznie testują wnioskodawców pod kątem każdego kryterium art. 31, i muszą wdrożyć procedury monitorowania w celu weryfikacji bieżącej zgodności po notyfikacji, ponieważ stałe spełnianie tych wymagań jest warunkiem utrzymania statusu notyfikowanego.

Kluczowe obowiązki

Niezależność i bezstronność: Jednostka notyfikowana, jej kierownictwo wyższego szczebla i pracownicy odpowiedzialni za przeprowadzanie zadań z zakresu oceny zgodności nie mogą być projektantami, twórcami, producentami, dostawcami ani użytkownikami ocenianych przez nich systemów AI oraz muszą być wolni od wszelkich wpływów — handlowych, finansowych lub innych — które mogłyby wpłynąć na ich obiektywność.
Kompetencje techniczne: Jednostka musi wykazać wystarczającą wiedzę i doświadczenie w zakresie technologii AI, danych i zarządzania danymi, cyberbezpieczeństwa oraz konkretnej dziedziny zastosowania systemów, do oceny których jest notyfikowana, i musi zapewnić, że pracownicy przechodzą ciągłe szkolenia, aby nadążać za rozwojem technologicznym.
Osobowość prawna i stabilność finansowa: Jednostka musi być podmiotem prawnie ustanowionym na mocy prawa krajowego i musi być w stanie wykazać kondycję finansową oraz posiadać odpowiednie ubezpieczenie od odpowiedzialności cywilnej na pokrycie swojej działalności w zakresie oceny.
Udokumentowane systemy zarządzania: Jednostka musi stosować udokumentowane procedury postępowania z konfliktami interesów, ochrony poufności informacji wrażliwych handlowo oraz zarządzania skargami i odwołaniami od dostawców.
Zasady dotyczące podwykonawstwa i spółek zależnych: W przypadku gdy zadania są zlecane na zewnątrz lub delegowane do spółki zależnej, jednostka notyfikowana musi zweryfikować, czy podwykonawca lub spółka zależna spełnia wszystkie wymagania art. 31, musi poinformować dostawcę przed zleceniem na zewnątrz i zachowuje pełną odpowiedzialność prawną za wyniki.
Współpraca i uczestnictwo: Jednostka notyfikowana musi współpracować z krajowymi organami nadzoru rynku i organami notyfikującymi oraz musi uczestniczyć w grupach koordynacyjnych na poziomie Unii ustanowionych dla jednostek notyfikowanych w ramach rozporządzenia w sprawie AI.

Relacja z innymi artykułami

Art. 31 mieści się w tytule III, rozdziale 4, który reguluje cały system organów notyfikujących i jednostek notyfikowanych. Należy go czytać łącznie z art. 28, który definiuje obowiązki organów notyfikujących, art. 29, który ustanawia wymagania dotyczące wniosków o notyfikację i procedury notyfikacji Komisji, oraz art. 30, który reguluje ustanowienie i zadania organów notyfikujących na poziomie krajowym.

W dalszej kolejności art. 31 łączy się bezpośrednio z art. 33, który określa operacyjne obowiązki jednostek notyfikowanych po wyznaczeniu — w tym ich obowiązek przeprowadzania ocen zgodnie z art. 43 i 44 — oraz z art. 44, który reguluje certyfikaty wydawane przez jednostki notyfikowane i warunki ich zawieszenia lub wycofania. Art. 43 precyzyjnie określa, kiedy ocena zgodności przez stronę trzecią przeprowadzona przez jednostkę notyfikowaną jest obowiązkowa, a kiedy dostawca może polegać na kontroli wewnętrznej. Art. 49 dotyczący deklaracji zgodności UE i art. 50 dotyczący oznakowania CE to wyniki dalszego procesu, które zależą od ważnego certyfikatu jednostki notyfikowanej tam, gdzie jest on wymagany.

Harmonogram zgodności

Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r. Unijne rozporządzenie w sprawie AI jest stosowane etapami:

2 lutego 2025 r.: Zaczęły obowiązywać zakazy dotyczące niedopuszczalnych praktyk AI (tytuł II).
2 sierpnia 2025 r.: Stały się stosowane przepisy dotyczące modeli AI ogólnego przeznaczenia (tytuł VIII) oraz obowiązki w zakresie zarządzania dla państw członkowskich.
2 sierpnia 2026 r.: Główne obowiązki dotyczące systemów AI wysokiego ryzyka wymienionych w załączniku III — w tym wymogi oceny zgodności na mocy art. 43, a tym samym operacyjne wymagania dla jednostek notyfikowanych na mocy art. 31 — stają się w pełni stosowane.
2 sierpnia 2027 r.: Przedłużony termin dla niektórych systemów AI wysokiego ryzyka, które są również elementami bezpieczeństwa produktów już podlegających unijnym przepisom harmonizacyjnym wymienionym w załączniku I (takich jak wyroby medyczne i maszyny).

W praktyce jednostki oceny zgodności chcące być operacyjne 2 sierpnia 2026 r. muszą rozpocząć proces składania wniosku na długo przed tą datą, biorąc pod uwagę czas potrzebny na krajową ocenę i formalną notyfikację Komisji. Państwa członkowskie były zatem zobowiązane do wdrożenia swoich ram organów notyfikujących i procedur oceny najpóźniej do połowy 2025 r.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Czym jest jednostka notyfikowana na mocy unijnego rozporządzenia w sprawie AI?

Jednostka notyfikowana to organizacja oceny zgodności wyznaczona przez państwo członkowskie do przeprowadzania ocen zgodności przez stronę trzecią w odniesieniu do systemów AI wysokiego ryzyka, gdy jest to wymagane przez art. 43. Aby zostać notyfikowaną, jednostka musi spełniać rygorystyczny zestaw wymogów prawnych, organizacyjnych i technicznych określonych w art. 31, w tym niezależność, bezstronność, kompetencje techniczne i stabilność finansową.

Kto decyduje o tym, czy organizacja kwalifikuje się jako jednostka notyfikowana?

Państwa członkowskie są odpowiedzialne za wyznaczanie jednostek notyfikowanych za pośrednictwem swoich krajowych organów notyfikujących. Organ notyfikujący ocenia organizacje wnioskujące w oparciu o wymagania art. 31 i po stwierdzeniu ich spełnienia formalnie notyfikuje je Komisji Europejskiej oraz pozostałym państwom członkowskim za pośrednictwem bazy danych NANDO. Komisja może zgłosić zastrzeżenia w ciągu dwóch tygodni od notyfikacji.

Czy jednostka notyfikowana może zlecać na zewnątrz zadania z zakresu oceny zgodności?

Tak, ale wyłącznie na ściśle określonych warunkach. Art. 31 zezwala jednostkom notyfikowanym na zlecanie na zewnątrz określonych działań z zakresu oceny zgodności lub korzystanie ze spółki zależnej, pod warunkiem że podwykonawca lub spółka zależna również spełnia wymagania art. 31, a jednostka notyfikowana z wyprzedzeniem informuje dostawcę i zachowuje pełną odpowiedzialność za wykonaną pracę.

Co się dzieje, gdy jednostka notyfikowana przestaje spełniać wymagania art. 31?

Jeżeli jednostka notyfikowana nie spełnia lub przestaje spełniać wymagania art. 31, organ notyfikujący musi ograniczyć, zawiesić lub wycofać notyfikację, w zależności od powagi naruszenia. Już wydane certyfikaty pozostają ważne przez okres przejściowy, chyba że organ notyfikujący stwierdzi, że należy je wycofać, a inna jednostka notyfikowana przejmuje odnośne akta.

Kiedy wymagania art. 31 zaczynają obowiązywać?

Art. 31 obowiązuje od 2 sierpnia 2026 r., czyli daty, w której przepisy dotyczące systemów AI wysokiego ryzyka na mocy załącznika III stają się w pełni stosowane. Państwa członkowskie były jednak zobowiązane do wyznaczenia i notyfikowania jednostek oceny zgodności na długo przed tą datą, aby zapewnić operacyjność ekosystemu w momencie, gdy dostawcy systemów AI wysokiego ryzyka będą wymagać oceny przez stronę trzecią.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.