Articolul 17 — Sistemul de management al calității (Regulamentul UE privind IA)

Articolul 17 din Regulamentul (UE) 2024/1689 — Sistemul de management al calității. Text oficial, interpretare practică, obligații esențiale și implicații privind conformitatea.

Rezumatul textului oficial

Articolul 17 din Regulamentul (UE) 2024/1689 impune furnizorilor de sisteme de IA cu risc ridicat să instituie un sistem de management al calității (SMC) înainte de introducerea pe piață sau punerea în funcțiune a unor astfel de sisteme. SMC trebuie documentat în mod sistematic și ordonat și trebuie să acopere toate etapele ciclului de viață al sistemului de IA.

Regulamentul specifică faptul că SMC trebuie să abordeze cel puțin: strategia furnizorului privind conformitatea de reglementare, inclusiv procedurile de evaluare a conformității; tehnicile, procedurile și acțiunile sistematice utilizate pentru proiectarea, controlul proiectării și verificarea sistemului de IA; procedurile de gestionare a datelor care acoperă achiziția, colectarea, analiza, etichetarea, stocarea, filtrarea, extragerea, agregarea și păstrarea datelor; sistemul de gestionare a riscurilor prevăzut la Articolul 9; instituirea și implementarea sistemului de supraveghere post-comercializare în conformitate cu Articolul 72; proceduri de raportare a incidentelor în conformitate cu Articolul 73; gestionarea comunicării cu autoritățile competente, organismele notificate și alți operatori relevanți; sisteme și proceduri de păstrare a evidențelor; gestionarea resurselor, inclusiv măsuri legate de lanțul de aprovizionare; și un cadru de responsabilitate care documentează responsabilitățile în cadrul organizației.

Atunci când furnizorii sunt persoane fizice sau microîntreprinderi, astfel cum sunt definite în Recomandarea Comisiei 2003/361/CE, Comisia este împuternicită să adopte acte de punere în aplicare care să permită dispoziții simplificate privind SMC, recunoscând principiul proporționalității care traversează regulamentul.

Ce înseamnă aceasta în practică

Pentru orice organizație care dezvoltă sau introduce pe piața UE un sistem de IA cu risc ridicat, Articolul 17 înseamnă că respectarea normelor nu poate fi un exercițiu unic efectuat la momentul lansării. Aceasta trebuie încorporată într-un sistem organizațional viu care guvernează întregul ciclu de viață al produsului — de la deciziile inițiale de proiectare, prin implementare, monitorizare și, în final, dezafectare.

În termeni concreți, un furnizor trebuie să fie capabil să demonstreze că există proceduri documentate și că acestea sunt respectate în fiecare etapă. Un furnizor de IA pentru sănătate, de exemplu, nu poate pur și simplu să antreneze un model și să îl depună pentru evaluarea conformității. Organizația trebuie să demonstreze că achiziția de date a respectat reguli de guvernanță documentate, că alegerile de proiectare au fost revizuite în raport cu criteriile de risc, că responsabilitățile de supraveghere sunt atribuite și înregistrate și că există un mecanism de detectare și raportare a incidentelor post-implementare.

Cerința SMC înseamnă că respectarea normelor reprezintă la fel de mult o provocare organizațională și procedurală ca și una tehnică. Companiile care operează deja sub ISO 9001 sau cadre de management specifice sectorului — precum ISO 13485 în domeniul dispozitivelor medicale — vor găsi suprapuneri semnificative, dar vor trebui totuși să mapeze explicit sistemele lor existente în raport cu cerințele Regulamentului privind IA, în loc să presupună echivalența.

Furnizorii mai mici beneficiază de dispoziția privind proporționalitatea: microîntreprinderile pot îndeplini condițiile pentru dispoziții simplificate în temeiul actelor de punere în aplicare emise de Comisie. Cu toate acestea, aceasta nu îi scutește de obligațiile substanțiale subiacente; poate afecta doar forma în care aceste obligații sunt documentate și gestionate.

Practic, furnizorii ar trebui să trateze SMC ca pe coloana vertebrală centrală din care sunt generate și gestionate toate celelalte artefacte de conformitate — documentația tehnică, registrele de riscuri, planurile de supraveghere post-comercializare, jurnalele de incidente.

Obligații esențiale

Instituirea unui sistem de management al calității documentat înainte de introducerea pe piață sau punerea în funcțiune a unui sistem de IA cu risc ridicat, acoperind toate fazele ciclului de viață.
Integrarea procedurilor de gestionare a riscurilor cerute de Articolul 9 în SMC, asigurând că identificarea, evaluarea și atenuarea riscurilor sunt sistematice și trasabile.
Documentarea practicilor de gestionare a datelor care acoperă achiziția, etichetarea, procesarea, stocarea și păstrarea, în conformitate cu cerințele de guvernanță a datelor din Articolul 10.
Menținerea documentației tehnice specificate la Articolul 11 și Anexa IV ca rezultat al SMC, menținând-o actualizată și accesibilă în scopuri de evaluare a conformității și supraveghere a pieței.
Implementarea procedurilor de supraveghere post-comercializare și de raportare a incidentelor în cadrul SMC, în conformitate cu Articolele 72 și, respectiv, 73.
Definirea și documentarea structurilor de responsabilitate, a rolurilor și a responsabilităților în cadrul organizației, inclusiv supravegherea lanțului de aprovizionare în cazul în care componente terțe contribuie la sistemul de IA.

Relația cu alte articole

Articolul 17 funcționează ca coloana vertebrală organizațională a regimului de conformitate pentru sistemele de IA cu risc ridicat instituit în Titlul III, Capitolul 3. Își extrage conținutul substanțial din multiple obligații interdependente: sistemul de gestionare a riscurilor de la Articolul 9, cerințele privind datele și guvernanța datelor de la Articolul 10 și regimul de documentație tehnică de la Articolul 11 alimentează direct ceea ce trebuie să acopere și să producă SMC.

SMC trebuie să sprijine, de asemenea, procedurile de evaluare a conformității de la Articolele 43 și 44, deoarece documentația pe care o generează constituie dovada primară examinată de organismele notificate sau de procesele de autoevaluare. Obligațiile post-implementare în temeiul Articolului 72 (supravegherea post-comercializare) și al Articolului 73 (raportarea incidentelor grave) trebuie încorporate în procedurile SMC, mai degrabă decât gestionate ca activități ad hoc separate.

Articolul 26 impune operatorilor obligații distincte de, dar complementare cu obligațiile SMC ale furnizorilor. Atunci când furnizorii și operatorii se suprapun — de exemplu, atunci când o organizație atât dezvoltă, cât și implementează intern un sistem de IA cu risc ridicat — SMC de la Articolul 17 trebuie citit alături de obligațiile operatorului de la Articolul 26 pentru a asigura acoperirea completă.

Calendarul conformității

Regulamentul UE privind IA a intrat în vigoare la 1 august 2024, în urma publicării în Jurnalul Oficial al Uniunii Europene. Aplicarea dispozițiilor sale este etapizată:

Februarie 2025 — Interdicțiile privind practicile de IA cu risc inacceptabil (Articolul 5) au devenit aplicabile.
August 2025 — Obligațiile privind modelele de IA de uz general (Titlul VIII) au devenit aplicabile.
2 august 2026 — Articolul 17 devine aplicabil furnizorilor de sisteme de IA cu risc ridicat enumerate în Anexa III (sisteme în domenii precum biometrie, infrastructuri critice, educație, ocuparea forței de muncă, servicii esențiale, aplicarea legii, migrație și administrarea justiției).
2 august 2027 — Articolul 17 devine aplicabil furnizorilor de sisteme de IA cu risc ridicat reglementate de Anexa I (componente de IA din produse deja supuse legislației de armonizare a Uniunii, precum dispozitive medicale, mașini și echipamente de aviație).

Furnizorii ale căror sisteme se află deja pe piață înainte de aceste date beneficiază de dispoziții tranzitorii în temeiul Articolului 111, care pot amâna obligațiile complete de conformitate cu SMC, sub rezerva unor condiții legate de modificări semnificative și cicluri continue de evaluare a conformității. Organizațiile ar trebui să înceapă proiectarea SMC și evaluările lacunelor cu mult timp înaintea termenului aplicabil, pentru a permite validarea internă, implicarea organismelor notificate acolo unde este necesar și rafinarea iterativă înainte ca obligația să devină aplicabilă.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Cine este obligat să instituie un sistem de management al calității în temeiul Articolului 17?

Articolul 17 impune obligația sistemului de management al calității exclusiv furnizorilor de sisteme de IA cu risc ridicat, astfel cum sunt definiți la Articolul 6 și în Anexa III din Regulamentul (UE) 2024/1689. Operatorii nu sunt supuși acestei obligații specifice, deși au obligații separate în temeiul Articolului 26.

Ce trebuie să cuprindă un sistem de management al calității în temeiul Articolului 17?

SMC trebuie să acopere cel puțin: o strategie privind conformitatea de reglementare, metodologii de proiectare și dezvoltare, proceduri de gestionare a datelor, gestionarea riscurilor conform Articolului 9, documentația tehnică conform Articolului 11, înregistrarea și arhivarea, supravegherea post-comercializare conform Articolului 72, obligații de raportare a incidentelor și dispoziții privind supravegherea umană.

Articolul 17 impune un sistem de management al calității certificat, precum ISO 9001?

Articolul 17 nu impune niciun standard specific de certificare. Cu toate acestea, conformitatea cu standarde recunoscute precum ISO 9001 sau echivalente specifice sectorului poate sprijini demonstrarea conformității, în special atunci când standardele armonizate în temeiul Articolului 40 incorporează cerințe SMC.

Cum se raportează sistemul de management al calității la documentația tehnică?

SMC și documentația tehnică sunt strâns legate. SMC trebuie să genereze și să mențină documentația tehnică cerută de Articolul 11 și Anexa IV, iar documentația în sine servește drept dovadă primară că SMC funcționează corect în cursul evaluării conformității.

Când devine aplicabil Articolul 17?

Articolul 17 se aplică furnizorilor de sisteme de IA cu risc ridicat enumerate în Anexa III începând cu 2 august 2026 și furnizorilor de sisteme de IA cu risc ridicat reglementate de Anexa I (legislația sectorială de armonizare a Uniunii) începând cu 2 august 2027, sub rezerva dispozițiilor tranzitorii de la Articolul 111.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.