Articolul 25 — Responsabilități de-a lungul lanțului de valoare al IA (Regulamentul UE privind IA)

Articolul 25 din Regulamentul (UE) 2024/1689 — Responsabilități de-a lungul lanțului de valoare al IA. Text oficial, interpretare practică, obligații cheie și implicații de conformitate.

Rezumatul Textului Oficial

Articolul 25 din Regulamentul (UE) 2024/1689 (Regulamentul UE privind IA) stabilește condițiile în care alte părți decât furnizorul original preiau responsabilități la nivel de furnizor pentru un sistem de IA cu risc ridicat. Articolul se încadrează în Titlul III, Capitolul 3, care reglementează obligațiile furnizorilor și utilizatorilor pe parcursul întregului ciclu de viață al sistemelor de IA cu risc ridicat.

Articolul specifică trei scenarii declanșatoare. În primul rând, un distribuitor, importator, utilizator sau altă parte terță devine furnizor — cu toate obligațiile asociate în temeiul Capitolului 2 din Titlul III — atunci când introduce pe piață sau pune în funcțiune un sistem de IA cu risc ridicat sub propriul nume sau marcă comercială. În al doilea rând, statutul de furnizor este preluat atunci când o parte terță efectuează o modificare substanțială a unui sistem de IA cu risc ridicat. În al treilea rând, o schimbare a scopului prevăzut al unui sistem de IA cu risc ridicat — chiar și fără modificare fizică — poate declanșa cerințe de reclasificare și reevaluare.

Atunci când are loc o astfel de tranziție a responsabilității, furnizorul original nu este eliberat automat de răspundere. Regulamentul impune ca acordurile contractuale dintre părțile din lanțul de aprovizionare să delimiteze clar cine deține ce obligații în fiecare etapă. Aceasta asigură că responsabilitatea reglementară urmează entitatea care exercită controlul efectiv asupra implementării sau modificării sistemului. Articolul consolidează principiul mai larg conform căruia Regulamentul UE privind IA atribuie obligații pe baza rolului real și a influenței fiecărui actor în lanțul de valoare, nu doar pe baza etichetelor contractuale formale.

Ce Înseamnă Acest Lucru în Practică

Articolul 25 are implicații directe de conformitate pentru orice organizație care integrează, rebrandizează, modifică substanțial sau redeplasează un sistem de IA cu risc ridicat al unei terțe părți. Previne practica comercială obișnuită de a presupune că responsabilitatea de conformitate revine exclusiv furnizorului din amonte.

Integratorii de sisteme și revânzătorii care introduc pe piața UE un sistem de IA cu risc ridicat sub propria marcă — de exemplu, o companie software care încorporează un motor de scoring al creditului bazat pe IA al unei terțe părți în propriul produs și îl comercializează sub propriul nume — devin furnizori în temeiul Regulamentului. Aceștia trebuie să îndeplinească toate obligațiile prevăzute la Articolul 16, inclusiv evaluările de conformitate, documentația tehnică, înregistrarea în baza de date a UE și aplicarea marcajului CE.

Companiile care modifică sisteme de IA trebuie să evalueze dacă modificările lor constituie o modificare substanțială. Reantrenarea unui model pe un nou set de date, modificarea pragurilor de decizie într-un mod care schimbă profilurile de risc sau extinderea funcționalității sistemului într-un nou domeniu sunt exemple care probabil declanșează reevaluarea. Chiar și o modificare pur la nivel de software care afectează rezultatele într-un context reglementat se poate califica.

Utilizatorii care reafectează sisteme dincolo de utilizarea prevăzută inițial — de exemplu, folosind un instrument general de analiză a locului de muncă pentru luarea deciziilor de angajare — trebuie să evalueze dacă noul caz de utilizare se încadrează într-o categorie cu risc ridicat și, dacă da, dacă au devenit efectiv furnizorul sistemului.

În practică, organizațiile ar trebui să auditeze toate sistemele de IA din stiva lor, să mapeze scopul prevăzut documentat de furnizorul original și să stabilească procese interne de guvernanță pentru a semnala când modificările propuse sau noile cazuri de utilizare se apropie de pragurile Articolului 25.

Obligații Cheie

Preluarea obligațiilor de furnizor la rebrandizare: Orice distribuitor, importator sau parte terță care comercializează sau implementează un sistem de IA cu risc ridicat sub propriul nume sau marcă comercială trebuie să îndeplinească toate obligațiile furnizorului în temeiul Articolului 16, inclusiv documentația tehnică, evaluarea conformității și înregistrarea în baza de date a UE.
Reevaluarea după modificare substanțială: Orice parte care efectuează o modificare substanțială a unui sistem de IA cu risc ridicat trebuie să trateze sistemul modificat ca pe un nou sistem de IA cu risc ridicat, să repete procedura relevantă de evaluare a conformității și să actualizeze corespunzător toată documentația.
Re-înregistrarea sistemului: Atunci când statutul de furnizor este preluat sau se efectuează o modificare substanțială, noul furnizor trebuie să înregistreze sistemul (sau versiunea sa modificată) în baza de date a UE pentru sistemele de IA cu risc ridicat, stabilită în temeiul Articolului 71.
Verificarea scopului prevăzut înainte de implementare: Utilizatorii trebuie să verifice că utilizarea unui sistem de IA cu risc ridicat rămâne în cadrul scopului prevăzut documentat de furnizorul original; orice abatere materială trebuie evaluată pentru implicații de conformitate în temeiul Articolului 25.
Menținerea unei repartizări contractuale clare a responsabilităților: Toate părțile din lanțul de valoare al IA — furnizori originali, importatori, distribuitori și utilizatori — trebuie să se asigure că acordurile lor repartizează clar responsabilitățile de conformitate, în special atunci când sunt anticipate modificări sau rebrandizări.
Păstrarea informațiilor de la furnizorul original: Atunci când o parte terță preia statutul de furnizor, aceasta trebuie să aibă acces la — și să păstreze — toată documentația tehnică și informațiile de conformitate produse inițial de furnizorul din amonte, deoarece acestea stau la baza propriilor obligații de conformitate.

Relația cu Alte Articole

Articolul 25 funcționează ca o punte între obligațiile furnizorului definite la Articolul 16 (obligațiile furnizorilor de sisteme de IA cu risc ridicat) și obligațiile utilizatorului de la Articolul 26. Acesta asigură că responsabilitățile enumerate la Articolul 16 — documentație tehnică, evaluare a conformității, management al calității, monitorizare post-comercializare — nu pot fi eludate prin acorduri contractuale sau structurare corporativă.

Trebuie citit împreună cu Articolul 6 (reguli de clasificare pentru sistemele de IA cu risc ridicat) și Anexa III, care definesc când un sistem prezintă risc ridicat și, prin urmare, este supus regimului complet de obligații ale furnizorului. Articolul 47 (declarația UE de conformitate) și Articolul 48 (marcajul CE) sunt direct implicate atunci când un nou furnizor trebuie să recertifice un sistem modificat.

Articolul 71 (baza de date UE a sistemelor de IA cu risc ridicat) este relevant deoarece re-înregistrarea este necesară atunci când statutul de furnizor se schimbă. Considerentul 79 oferă îndrumări interpretative cu privire la ceea ce constituie o modificare substanțială. Pentru lanțurile de aprovizionare care implică modele GPAI, Articolele 51–56 reglementează obligațiile furnizorului de model din amonte, dar Articolul 25 determină când un integrator de sisteme care construiește pe acel model devine furnizor de sisteme de IA cu risc ridicat în nume propriu.

Calendar de Conformitate

Regulamentul UE privind IA a intrat în vigoare la 1 august 2024 (douăzeci de zile după publicarea în Jurnalul Oficial al UE la 12 iulie 2024). Aplicarea este etapizată:

2 februarie 2025 — Interdicțiile privind practicile de IA cu risc inacceptabil (Titlul II) au început să se aplice. Articolul 25 nu se aplica încă.
2 august 2025 — Obligațiile pentru modelele de IA cu scop general (Titlul VIII, Articolele 51–56) și dispozițiile de guvernanță (Titlul III, Capitolul 4; Titlul V) au început să se aplice. Articolul 25 nu se aplica încă sistemelor de IA cu risc ridicat enumerate în Anexa III.
2 august 2026 — Articolul 25 și regimul complet de obligații ale furnizorilor și utilizatorilor din Capitolul 3 se aplică sistemelor de IA cu risc ridicat enumerate în Anexa III (inclusiv sisteme biometrice, infrastructuri critice, ocuparea forței de muncă, educație, acces la servicii esențiale și cazuri de utilizare privind aplicarea legii). Organizațiile care operează în aceste sectoare trebuie să aibă procese de guvernanță, cadre contractuale și proceduri de evaluare a modificărilor în vigoare până la această dată.
2 august 2027 — Obligațiile din Articolul 25 se extind la sistemele de IA cu risc ridicat acoperite de Anexa I (legislația privind siguranța produselor, cum ar fi dispozitivele medicale și mașinile), în cazul în care acele sisteme se aflau deja pe piață înainte de august 2026 și fac obiectul unei perioade tranzitorii.

Organizațiile ar trebui să înceapă cartografierea conformității cu Articolul 25 — în special auditurile lanțului de aprovizionare și protocoalele de guvernanță a modificărilor — cu mult înainte de termenul din august 2026.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Cui se aplică Articolul 25 din Regulamentul UE privind IA?

Articolul 25 se aplică distribuitorilor, importatorilor, utilizatorilor și oricăror alte părți terțe care introduc pe piață un sistem de IA cu risc ridicat sau îl pun în funcțiune sub propriul nume sau marcă comercială, ori care modifică un sistem de IA cu risc ridicat în mod ce îi alterează scopul prevăzut sau statutul de conformitate. În astfel de cazuri, acele părți preiau obligații la nivel de furnizor în temeiul Regulamentului.

Când devine un utilizator un furnizor în temeiul Articolului 25?

Un utilizator este considerat furnizor — și trebuie să îndeplinească toate obligațiile furnizorului — atunci când introduce pe piață sau pune în funcțiune un sistem de IA cu risc ridicat sub propriul nume sau marcă comercială, efectuează o modificare substanțială a unui sistem de IA cu risc ridicat care îi schimbă scopul prevăzut, sau modifică un sistem de IA cu risc ridicat în mod care poate afecta conformitatea acestuia cu cerințele din Titlul III, Capitolul 2.

Ce reprezintă o 'modificare substanțială' în temeiul Articolului 25?

O modificare substanțială este o schimbare adusă unui sistem de IA cu risc ridicat, fizică sau logică, care afectează conformitatea sistemului cu cerințele din Titlul III, Capitolul 2, sau care duce la schimbarea scopului prevăzut pentru care sistemul a fost evaluat. O modificare substanțială declanșează obligații de reevaluare și re-înregistrare.

Articolul 25 afectează obligațiile furnizorului original?

Atunci când o parte terță preia statutul de furnizor în temeiul Articolului 25, furnizorul original nu este eliberat automat de toată răspunderea. Acordurile contractuale și natura modificării determină obligațiile continue. Părțile sunt încurajate să documenteze clar responsabilitățile în acorduri tehnice și juridice de-a lungul întregului lanț de aprovizionare.

Cum interacționează Articolul 25 cu obligațiile privind modelele GPAI?

Articolul 25 se concentrează asupra responsabilităților din lanțul de valoare al sistemelor de IA cu risc ridicat. Pentru modelele de IA cu scop general (GPAI), se aplică obligații distincte în temeiul Titlului VIII (Articolele 51–56). Cu toate acestea, integratorii care construiesc sisteme de IA cu risc ridicat pe baza modelelor GPAI trebuie să evalueze dacă integrarea lor declanșează obligații de furnizor în temeiul Articolului 25.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.