Artykuł 53 Rozporządzenia (UE) 2024/1689 — Obowiązki dostawców modeli AI ogólnego przeznaczenia o ryzyku systemowym. Oficjalny tekst, praktyczna interpretacja, kluczowe obowiązki i implikacje dla zgodności.
Streszczenie oficjalnego tekstu
Artykuł 53 Rozporządzenia (UE) 2024/1689 ustanawia obowiązki mające zastosowanie wyłącznie do dostawców modeli AI ogólnego przeznaczenia (GPAI) sklasyfikowanych jako stwarzające ryzyko systemowe zgodnie z Artykułem 51. Są to modele wytrenowane przy użyciu mocy obliczeniowej przekraczającej 10^25 operacji zmiennoprzecinkowych (FLOP), lub modele wyznaczone przez Biuro ds. AI na podstawie oceny zdolności lub wpływu.
Oprócz podstawowych obowiązków mających zastosowanie do wszystkich dostawców modeli GPAI na podstawie Artykułu 52, dostawcy objęci Artykułem 53 muszą: przeprowadzać oceny modeli, w tym testowanie adversarialne prowadzone zgodnie ze standaryzowanymi protokołami lub zatwierdzonymi metodologiami; oceniać i łagodzić ryzyko systemowe na poziomie Unii; zgłaszać poważne incydenty i awarie Biuru ds. AI bez zbędnej zwłoki; zapewniać odpowiedni poziom ochrony cyberbezpieczeństwa dla modelu, jego infrastruktury i otoczenia fizycznego; oraz dokumentować wyniki ocen modeli i udostępniać te wyniki Biuru ds. AI na żądanie.
Artykuł 53(2) stanowi, że dostawcy mogą opierać się na kodeksach postępowania przyjętych na podstawie Artykułu 56 w celu wykazania zgodności. Komisja Europejska jest uprawniona do wydawania aktów delegowanych określających treść i procedury ocen oraz do dostosowywania progów w miarę rozwoju wiedzy naukowej. Biuro ds. AI monitoruje zgodność i może wymagać dalszych informacji lub działań naprawczych.
Co to oznacza w praktyce
Artykuł 53 tworzy odrębny poziom zgodności dla najbardziej zaawansowanych i potencjalnie najbardziej wpływowych modeli GPAI na rynku UE. Każda organizacja — niezależnie od miejsca siedziby — która udostępnia taki model podmiotom wdrażającym lub użytkownikom końcowym w UE, musi ocenić, czy przekracza próg ryzyka systemowego.
Dla dostawców powyżej progu obliczeniowego 10^25 FLOP obowiązki są automatyczne. Dla dostawców poniżej tego progu Biuro ds. AI może nadal uruchomić obowiązki wynikające z Artykułu 53 po przeprowadzeniu indywidualnej oceny opartej na wskaźnikach takich jak liczba użytkowników, szerokość zdolności lub integracja z sektorami krytycznymi.
W praktyce zgodność wymaga ustanowienia solidnych procesów wewnętrznych: programu oceny modelu zdolnego do przeprowadzania red-teamingu i testów adversarialnych przed i po wdrożeniu; rejestru ryzyka systemowego i powiązanego planu łagodzenia; ram cyberbezpieczeństwa obejmujących wagi modelu, interfejsy API i infrastrukturę treningową; oraz procedury reagowania na incydenty powiązanej z obowiązkiem sprawozdawczości wobec Biura ds. AI.
Konkretnie, dostawca granicznego dużego modelu językowego udostępnionego za pośrednictwem API podmiotom wdrażającym z siedzibą w UE musi przeprowadzać testy adversarialne — takie jak próby jailbreak i ujawnianie zdolności do niebezpiecznych treści — dokumentować wyniki, przechowywać je i być w stanie udostępniać je Biuru ds. AI. Jeżeli model wytwarza dane wyjściowe, które powodują lub niemal powodują poważną szkodę dla osoby lub infrastruktury krytycznej, ten incydent musi być niezwłocznie zgłoszony. Uczestnictwo w kodeksie postępowania zatwierdzonym przez Biuro ds. AI na podstawie Artykułu 56 zapewnia ustrukturyzowaną ścieżkę wykazania zgodności bez oczekiwania na zharmonizowane normy.
Kluczowe obowiązki
- Oceny modeli i testowanie adversarialne: Przeprowadzanie dokładnych ocen, w tym red-teamingu i testów adversarialnych, przy użyciu standaryzowanych protokołów lub zatwierdzonych przez Biuro ds. AI, przed i po znaczących aktualizacjach modelu.
- Ocena i łagodzenie ryzyka systemowego: Identyfikacja, analiza i łagodzenie potencjalnych ryzyk systemowych na poziomie Unii, które mogą wynikać z opracowania, wprowadzania na rynek lub używania modelu.
- Zgłaszanie poważnych incydentów: Zgłaszanie Biuru ds. AI bez zbędnej zwłoki każdego poważnego incydentu lub awarii związanej z modelem GPAI o ryzyku systemowym, w tym informacji o incydencie i podjętych środkach naprawczych.
- Ochrona cyberbezpieczeństwa: Wdrożenie i utrzymanie odpowiednich środków cyberbezpieczeństwa chroniących model, jego infrastrukturę fizyczną i łańcuch dostaw — w tym wagi modelu, interfejsy API i potoki treningowe — współmiernych do zidentyfikowanych ryzyk.
- Dokumentacja i przejrzystość wobec Biura ds. AI: Prowadzenie dokumentacji wyników ocen, metodologii testowania i środków łagodzenia ryzyka; udostępnianie ich Biuru ds. AI na żądanie.
- Ścieżka zgodności poprzez kodeksy postępowania: Wykazanie zgodności z obowiązkami Artykułu 53 poprzez przestrzeganie kodeksów postępowania opracowanych na podstawie Artykułu 56, do czasu dostępności zharmonizowanych norm.
Relacja z innymi artykułami
Artykułu 53 nie można czytać w oderwaniu od kontekstu. Opiera się bezpośrednio na Artykule 51, który definiuje kryteria i procedury klasyfikacji modelu GPAI jako stwarzającego ryzyko systemowe — w tym próg obliczeniowy 10^25 FLOP i dyskrecjonalne uprawnienie Biura ds. AI do wyznaczania. Podstawowe obowiązki Artykułu 52 pozostają w pełni stosowane obok Artykułu 53; ten ostatni dodaje dalszą warstwę, a nie zastępuje poprzedniego.
Artykuł 55 reguluje kwalifikowane domniemania zgodności, podczas gdy Artykuł 56 ustanawia mechanizm kodeksów postępowania, do którego Artykuł 53(2) wyraźnie odwołuje się jako ścieżkę zgodności. Rola nadzorcza Biura ds. AI w zakresie obowiązków wynikających z Artykułu 53 jest zakorzeniona w Artykułach 88–90, które określają uprawnienia i procedury egzekwowania. W przypadku dostawców, którzy są również podmiotami wdrażającymi wysokiego ryzyka systemy AI, wymogi Rozdziału III (Artykuły 9–16) dotyczące zarządzania ryzykiem i dokumentacji technicznej mogą pokrywać się z pracami w zakresie łagodzenia ryzyka systemowego wymaganymi przez Artykuł 53, i zalecana jest koordynacja między zespołami ds. zgodności w celu uniknięcia powielania.
Harmonogram zgodności
Akt o AI UE wszedł w życie 1 sierpnia 2024 r. (dwadzieścia dni po publikacji w Dzienniku Urzędowym 12 lipca 2024 r.). Artykuł 53, jako część Tytułu V regulującego modele AI ogólnego przeznaczenia, stał się stosowany 2 sierpnia 2025 r. — dwanaście miesięcy po wejściu w życie, zgodnie z Artykułem 113(3).
Oznacza to, że dostawcy modeli GPAI o ryzyku systemowym byli zobowiązani do uruchomienia swoich programów oceny, procedur zgłaszania incydentów i ram cyberbezpieczeństwa do tej daty. Harmonogram fazowego stosowania dla odniesienia: zakazane praktyki AI na podstawie Artykułu 5 były stosowane od 2 lutego 2025 r. (sześć miesięcy); obowiązki dotyczące modeli GPAI, w tym Artykuł 53, od 2 sierpnia 2025 r. (dwanaście miesięcy); obowiązki dotyczące systemów AI wysokiego ryzyka na podstawie Załącznika I od 2 sierpnia 2026 r. (dwadzieścia cztery miesiące); oraz pozostałe obowiązki dotyczące systemów AI wysokiego ryzyka od 2 sierpnia 2027 r. (trzydzieści sześć miesięcy). Dostawcy powinni również monitorować akty delegowane Komisji Europejskiej, które mogą doprecyzować wymagania oceny Artykułu 53 lub dostosować próg obliczeniowy w miarę rozwoju wiedzy naukowej o możliwościach modeli granicznych.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artykuł 53 ma zastosowanie do dostawców modeli AI ogólnego przeznaczenia sklasyfikowanych jako stwarzające ryzyko systemowe — albo dlatego, że zostały wytrenowane przy użyciu skumulowanej ilości obliczeń przekraczającej 10^25 FLOP, albo dlatego, że Biuro ds. AI wyznaczyło je jako takie po przeprowadzeniu oceny na podstawie Artykułu 51.
Artykuł 52 ustanawia podstawowe obowiązki dla wszystkich dostawców modeli AI ogólnego przeznaczenia, w tym wymogi dotyczące dokumentacji i przejrzystości. Artykuł 53 nakłada dodatkowe, bardziej rygorystyczne obowiązki wyłącznie na dostawców modeli GPAI o ryzyku systemowym, w tym testowanie adversarialne, zgłaszanie incydentów i środki cyberbezpieczeństwa.
Artykuł 53 nie nakazuje ograniczania dostępu, ale wymaga od dostawców wdrożenia polityk i środków technicznych współmiernych do ryzyka systemowego. Może to obejmować kontrolę dostępu, gdy jest to uzasadnione wynikami testów adversarialnych lub oceną ryzyka cyberbezpieczeństwa.
Poważny incydent na podstawie Artykułu 53 odnosi się do każdego incydentu lub awarii modelu GPAI o ryzyku systemowym, który skutkuje lub z rozsądnym prawdopodobieństwem może skutkować śmiercią, poważnym uszczerbkiem na zdrowiu, poważnym zakłóceniem infrastruktury krytycznej, szkodą majątkową lub znaczącymi negatywnymi skutkami dla praw podstawowych. Dostawcy muszą zgłaszać takie incydenty Biuru ds. AI bez zbędnej zwłoki.
Artykuł 53 zaczął obowiązywać 2 sierpnia 2025 r., dwanaście miesięcy po wejściu w życie Rozporządzenia w dniu 1 sierpnia 2024 r. Odzwierciedla to szczegółowy harmonogram Aktu o AI UE dla przepisów Tytułu V regulujących modele AI ogólnego przeznaczenia.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.