Ghiduri de conformitate specifice sectorului pentru EU AI Act: sănătate, resurse umane, sectorul public, transport, asigurări, retail, IMM-uri și educație.
Modul în care sectorul determină expunerea la EU AI Act
EU AI Act este o legislație orizontală — se aplică sistemelor de IA introduse pe piață sau puse în funcțiune în toate sectoarele economiei din Uniunea Europeană. Cu toate acestea, sarcina practică de conformitate nu este uniformă. Sectorul determină care categorii de risc ridicat din Annex III sunt relevante, care cadre de reglementare preexistente creează obligații suprapuse și care autorități de supraveghere naționale sau de la nivelul UE vor avea jurisdicție asupra implementărilor de IA.
Regulamentul stabilește o arhitectură de risc pe niveluri: practici interzise conform Art. 5, IA cu risc ridicat conform Art. 6 și Annex III, obligații pentru IA de uz general (GPAI) conform Art. 51 până la Art. 55, și obligații de transparență conform Art. 50. Toate sectoarele se supun interdicției privind practicile interzise și nivelului de transparență prevăzut la Art. 50. Obligațiile de risc ridicat din Annex III se aplică selectiv, în funcție de sistemele de IA pe care le implementează organizația și în ce scop.
Înțelegerea expunerii sectoriale începe cu maparea cazurilor de utilizare a IA în activitatea operațională față de categoriile din Annex III. Organizațiile trebuie, de asemenea, să evalueze dacă IA implementată constituie un model GPAI în sensul Art. 3(63) și dacă relațiile cu furnizorii creează obligații în calitate de operator sau furnizor de GPAI.
Înțelegerea Annex III pe sectoare
Annex III al EU AI Act definește 8 categorii de IA cu risc ridicat de sine stătătoare. Fiecare categorie corespunde unor industrii și cazuri de utilizare a IA specifice.
Categoria 1 — Biometrie (intersectorial)
Art. 6 coroborat cu Annex III punctul 1 acoperă sistemele de IA destinate identificării biometrice și clasificării biometrice a persoanelor fizice. Identificarea biometrică la distanță în timp real în spații accesibile publicului de către autoritățile de aplicare a legii este interzisă conform Art. 5(1)(h), nu doar considerată cu risc ridicat. Sistemele de identificare biometrică post-hoc și sistemele de clasificare biometrică utilizate în domeniul ocupării forței de muncă, controlului la frontieră, aplicării legii (în limitele permise) și controlului accesului rămân în categoria cu risc ridicat. Orice organizație care implementează recunoaștere facială, potrivire a amprentelor digitale, recunoaștere vocală sau sisteme similare pentru decizii cu consecințe semnificative se află în sfera de aplicare.
Categoria 2 — Infrastructură critică (transport, energie, apă)
Annex III punctul 2 acoperă IA utilizată ca componentă de siguranță în gestionarea și operarea infrastructurii digitale critice, a traficului rutier, a alimentării cu apă, gaze, căldură și electricitate. Operatorii de transport, administratorii rețelelor energetice, utilitățile de apă și furnizorii de infrastructură digitală trebuie să evalueze dacă sistemele lor de IA se califică. Annex I al EU AI Act se intersectează și el în acest context: componentele de siguranță a IA integrate în produse reglementate prin Annex I (mașini, vehicule, echipamente pentru aviația civilă, sisteme feroviare) sunt considerate cu risc ridicat conform Art. 6(1), nu prin Annex III.
Categoria 3 — Educație și formare profesională
Annex III punctul 3 acoperă IA care determină accesul la instituții de învățământ, alocă studenți pe trasee educaționale, evaluează performanța la examene sau teste, apreciază realizările de învățare care afectează substanțial oportunitățile viitoare și monitorizează comportamentul studenților în timpul evaluărilor. Platformele EdTech, universitățile, furnizorii de formare profesională și organismele de examinare trebuie să evalueze instrumentele lor bazate pe IA față de aceste criterii.
Categoria 4 — Ocuparea forței de muncă și resurse umane
Annex III punctul 4 acoperă IA utilizată în recrutare și selecție (filtrarea CV-urilor, clasificarea candidaților, analiza automatizată a interviurilor), decizii privind promovarea, încetarea raporturilor de muncă, alocarea sarcinilor pentru lucrătorii din economia platformelor, monitorizarea comportamentului angajaților și evaluarea performanței. Această categorie este printre cele mai ample ca sferă de aplicare — practic orice organizație care utilizează procese de resurse umane asistate de IA trebuie să evalueze conformitatea. Obligația se aplică IA utilizate de angajatori, agenții de personal și platforme din economia gig.
Categoria 5 — Servicii private și publice esențiale (finanțe, asigurări, adiacent sănătății, prestații sociale)
Annex III punctul 5 este cea mai amplă categorie, cuprinzând IA utilizată în evaluarea bonității creditare și scoringul de credit pentru persoane fizice, evaluarea riscului de asigurare și stabilirea prețurilor, aprecierea eligibilității pentru prestații publice și servicii sociale și deciziile de dispecerat în situații de urgență. Această categorie afectează direct băncile, asigurătorii, administrațiile publice și furnizorii de servicii sociale. IA din domeniul sănătății care evaluează persoanele pentru eligibilitatea la asigurare se încadrează, de asemenea, în această categorie, creând o suprapunere între obligațiile din serviciile financiare și cele din sănătate.
Categoriile 6, 7 și 8 — Aplicarea legii, migrație, justiție
Annex III punctele 6, 7 și 8 vizează autoritățile din sectorul public și furnizorii de tehnologie ai acestora. IA din aplicarea legii (scoring de risc, predicția recidivei, predicția infracțiunilor, evaluarea probelor), IA din migrație și controlul frontierelor (evaluarea riscului de azil, verificarea documentelor, procesarea cererilor) și IA din justiție și procesele democratice (instrumente de cercetare judiciară, IA legată de alegeri) sunt toate considerate cu risc ridicat. Aceste categorii afectează în principal autoritățile de poliție, agențiile de frontieră, tribunalele de imigrare, instanțele judecătorești și furnizorii de IA contractați de acestea.
Ghiduri pe sectoare
Fiecare dintre ghidurile dedicate de mai jos mapează obligațiile EU AI Act față de contextul de reglementare specific, cazurile tipice de utilizare a IA și arhitectura de aplicare a sectorului respectiv.
Sănătate și științe ale vieții
IA din domeniul sănătății operează la intersecția dintre EU AI Act și Regulamentul privind dispozitivele medicale (MDR) și Regulamentul privind dispozitivele medicale pentru diagnostic in vitro (IVDR). Sistemele de IA care se califică drept dispozitive medicale sunt reglementate în principal conform MDR/IVDR, dar rămân supuse obligațiilor EU AI Act privind drepturile fundamentale și transparența. Annex III punctul 5 acoperă IA utilizată pentru evaluarea riscului de sănătate în asigurări și eligibilitatea la prestații publice. Suportul decizional clinic, IA de diagnostic, instrumentele de triaj al pacienților și IA pentru descoperirea de medicamente implică obligații specifice în funcție de clasificarea lor de reglementare.
Resurse umane și recrutare
Annex III punctul 4 plasează practic toate procesele de resurse umane asistate de IA în categoria cu risc ridicat. Instrumentele de filtrare a CV-urilor, platformele de evaluare psihometrică, analiza automatizată a interviurilor video, sistemele de gestionare a performanței și IA pentru planificarea forței de muncă trebuie să respecte obligațiile furnizorilor și ale operatorilor. Acest ghid abordează obligațiile angajatorilor în calitate de operatori conform Art. 26, cerințele de guvernanță a datelor conform Art. 10 și interacțiunea cu restricțiile GDPR privind crearea de profiluri.
Sectorul public și justiție
Autoritățile publice sunt simultan operatori de IA cu risc ridicat și entitățile pe care autoritățile naționale competente le vor examina cel mai îndeaproape. Annex III punctele 5 până la 8 acoperă colectiv o mare parte din IA din sectorul public: determinarea eligibilității la prestații, IA pentru serviciile de urgență, instrumente pentru aplicarea legii, sisteme de gestionare a frontierelor și IA judiciară. Acest ghid abordează obligațiile specifice ale operatorilor publici, mandatele de transparență pentru deciziile automatizate care afectează cetățenii și intersecția cu GDPR și Directiva privind aplicarea legii.
Transport și infrastructură critică
Operatorii de transport trebuie să navigheze atât prin Annex III punctul 2 (componente de siguranță în infrastructura critică), cât și prin reglementarea privind siguranța produselor din Annex I. IA în sistemele de vehicule autonome, gestionarea traficului feroviar, gestionarea traficului aerian, operațiunile portuare și rutarea logistică poate declanșa clasificarea ca risc ridicat prin mai multe căi. Acest ghid abordează interacțiunea cu reglementările EASA, Directiva privind siguranța feroviară și rolul organismelor notificate în evaluarea conformității.
IMM-uri
Întreprinderile mici și mijlocii se confruntă cu aceleași obligații din EU AI Act ca și organizațiile mari atunci când sunt furnizori de IA cu risc ridicat sau operatori care utilizează IA cu risc ridicat. Cu toate acestea, Regulamentul prevede mecanisme de proporționalitate. Acest ghid explică opțiunile de documentație tehnică simplificată, accesul la sandbox-uri de reglementare conform Art. 57 până la Art. 63 și modul de structurare a unui program de conformitate minimal, dar suficient din punct de vedere juridic. Abordează, de asemenea, expunerea IMM-urilor în calitate de operatori ai instrumentelor de IA terțe.
Asigurări
IA din domeniul asigurărilor face obiectul Annex III punctul 5(b) (evaluarea riscului și stabilirea prețurilor pentru asigurările de viață și de sănătate ale persoanelor fizice) și se intersectează cu cerințele Solvency II privind guvernanța modelelor și utilizarea modelelor interne. IA pentru stabilirea prețurilor în asigurările auto, de sănătate, de proprietate și de viață, instrumentele de decizie în subscriere și sistemele automatizate de soluționare a daunelor necesită evaluare. Acest ghid abordează rolurile EIOPA și ale supraveghetorilor naționale de asigurări alături de cadrul ANC al EU AI Act.
Retail și centre de contact
Operațiunile de retail și servicii pentru clienți sunt afectate în principal de obligațiile de transparență prevăzute la Art. 50 — divulgarea conținutului generat de IA, identificarea chatbot-urilor și etichetarea conținutului deepfake — și de IA legată de ocuparea forței de muncă conform Annex III punctul 4. Sistemele de recunoaștere a emoțiilor utilizate în contextele cu clienți sunt reglementate explicit. Acest ghid abordează IA din retailul online, motoarele de recomandare, serviciile automatizate pentru clienți și gestionarea forței de muncă în centrele de contact.
Educație și EdTech
Annex III punctul 3 plasează IA educațională în categoria cu risc ridicat atunci când determină sau influențează substanțial accesul la trasee educaționale sau evaluează realizările. Acest ghid abordează obligațiile furnizorilor EdTech, ale universităților, ale organismelor de formare profesională și ale autorităților publice de examinare. Acoperă platformele de învățare adaptivă, software-ul de supraveghere a examenelor, corectarea automatizată a eseurilor și instrumentele de predicție a riscului pentru studenți.
Sectorul financiar (bancar)
Ghidul pentru sectorul bancar abordează Annex III punctul 5(b) privind scoringul de credit și evaluarea bonității creditare, IA pentru detectarea fraudelor, sistemele de tranzacționare algoritmică, instrumentele AML/KYC și platformele de consiliere automatizată (robo-advisory). Examinează stratificarea obligațiilor EU AI Act peste DORA, MiFID II, CRR/CRD și ghidurile EBA. Intersecția dintre cerințele EU AI Act privind guvernanța modelelor și cadrele existente de gestionare a riscului de model conform ghidurilor EBA reprezintă un punct central.
Obligații cu aplicabilitate transversală
Mai multe obligații din EU AI Act se aplică indiferent de sector. Orice organizație care operează în UE trebuie să înțeleagă aceste cerințe de bază.
Practici interzise — Art. 5
Art. 5 stabilește interdicții absolute, în vigoare de la 2 februarie 2025. Acestea se aplică fiecărui sector fără excepție: tehnici de manipulare subliminală care cauzează prejudicii, exploatarea vulnerabilităților persoanelor fizice, clasificarea socială de către autoritățile publice, identificarea biometrică la distanță în timp real de către autoritățile de aplicare a legii în spații publice (cu excepții restrânse), recunoașterea emoțiilor la locul de muncă și în instituțiile de învățământ (în afara utilizărilor specificate), clasificarea biometrică pe baza caracteristicilor sensibile și poliția predictivă bazată exclusiv pe creare de profiluri. Nicio scutire sectorială nu depășește aceste interdicții.
Obligații de transparență — Art. 50
Art. 50 impune furnizorilor și operatorilor de sisteme de IA care interacționează cu persoane fizice să dezvăluie natura artificială a interacțiunii. Aceasta se aplică chatbot-urilor, asistenților virtuali, sistemelor automatizate ale centrelor de apel și oricărui sistem de IA conceput să pară uman. Conținutul generat de IA — media sintetică, deepfake-uri, text — trebuie etichetat în format prelucrabil automat. Aceste obligații se aplică retailului, serviciilor financiare, instrumentelor de sănătate orientate spre pacienți, serviciilor publice destinate cetățenilor și oricărui alt sector care implementează IA conversațională sau generativă.
Obligații privind modelele GPAI — Art. 51 până la Art. 55
Organizațiile care implementează modele GPAI — modele lingvistice de mari dimensiuni, modele de bază, IA multimodală — trebuie să evalueze dacă sunt operatori ai unui model GPAI terț sau furnizori ai unui sistem integrat cu GPAI. Furnizorii de GPAI au obligații conform Art. 53 (transparență față de furnizorii din aval, politica privind drepturile de autor, rezumatul datelor de antrenament). Modelele GPAI cu risc sistemic au obligații suplimentare conform Art. 55. Fiecare sector care utilizează API-uri comerciale de modele de bază sau modele de bază găzduite intern trebuie să evalueze aceste obligații.
IMM-urile și obligațiile proporționale
IMM-urile reprezintă majoritatea întreprinderilor din UE și o proporție tot mai mare a furnizorilor și operatorilor de sisteme de IA. EU AI Act nu creează o scutire generală pentru IMM-uri, însă Art. 9(5), Art. 11 și Art. 16 impun ca obligațiile furnizorilor să fie proporționale cu dimensiunea și capacitatea organizațională.
Cadrul sandbox-urilor de reglementare (Art. 57 până la Art. 63) este conceput specific pentru a oferi IMM-urilor și startup-urilor medii de dezvoltare supravegheate, incertitudine de reglementare redusă și acces direct la îndrumarea autorității naționale competente. Participarea nu garantează aprobarea conformității, dar oferă o cale structurată de intrare pe piață pentru produsele inovatoare de IA.
Pentru IMM-urile care acționează în calitate de operatori ai IA cu risc ridicat furnizate de un terț, obligațiile prevăzute la Art. 26 — evaluarea cazului de utilizare, implementarea supravegherii umane, evaluarea impactului asupra drepturilor fundamentale — se aplică. Amploarea documentației și monitorizării necesare este proporțională, însă obligațiile juridice nu sunt anulate.
Ghidul dedicat IMM-urilor oferă o foaie de parcurs pentru conformitate adaptată organizațiilor mai mici, acoperind prioritizarea, documentația minimă viabilă, diligența față de furnizori și procedurile de acces la sandbox.
Aplicare
EU AI Act creează o arhitectură de aplicare pe mai multe niveluri, cu dimensiuni semnificative specifice sectorului.
Autoritățile naționale competente
Fiecare stat membru al UE desemnează una sau mai multe autorități naționale competente (ANC) conform Art. 70. ANC-urile sunt responsabile cu autorizarea sandbox-urilor de reglementare, efectuarea supravegherii pieței, primirea datelor de monitorizare post-comercializare de la furnizori, investigarea presupuselor încălcări și aplicarea de amenzi administrative conform Art. 99 până la Art. 101. Amenzile maxime ajung la 35 de milioane EUR sau 7% din cifra de afaceri anuală globală pentru încălcările practicilor interzise prevăzute la Art. 5.
Autoritățile de reglementare sectoriale în calitate de autorități de supraveghere a pieței
Art. 74(8) și Art. 74(9) prevăd că autoritățile de reglementare sectoriale pot acționa ca autorități de supraveghere a pieței pentru IA din domeniile lor. Autoritatea Bancară Europeană (EBA), Autoritatea Europeană de Asigurări și Pensii Ocupaționale (EIOPA), Autoritatea Europeană pentru Valori Mobiliare și Piețe (ESMA), Agenția Europeană pentru Medicamente (EMA) și Agenția Uniunii Europene pentru Siguranța Aviației (EASA) au fiecare roluri în supravegherea IA în cadrul perimetrelor lor de reglementare. Aceasta creează o expunere la aplicare pe două căi: IA de scoring de credit a unei bănci poate fi examinată atât de un reglementator financiar național care aplică obligațiile din Annex III, cât și de o ANC care efectuează supravegherea pieței conform EU AI Act.
Biroul European pentru IA
Biroul European pentru IA, înființat conform Art. 64 până la Art. 70, deține autoritate directă de aplicare asupra furnizorilor de modele GPAI. Pentru organizațiile care implementează modele GPAI cu risc sistemic, Biroul pentru IA este interlocutorul de reglementare principal — nu ANC-ul național. Autoritățile de reglementare sectoriale nu au jurisdicție directă asupra modelelor GPAI ca atare, deși sistemele de IA din aval care integrează GPAI rămân supuse supravegherii naționale și sectoriale.
Calendarul de aplicare
Interdicția privind practicile prevăzute la Art. 5 se aplică de la 2 februarie 2025. Obligațiile GPAI conform Art. 51 până la Art. 55 au intrat în vigoare la 2 august 2025. Obligațiile integrale pentru sistemele de IA cu risc ridicat din Annex III — acoperind toate cele opt categorii și toate obligațiile furnizorilor și operatorilor — se aplică de la 2 decembrie 2027 (prelungit față de termenul inițial de 2 august 2026 prin amendamentul Digital Omnibus din 2025). Organizațiile din toate sectoarele ar trebui să trateze perioada până în decembrie 2027 ca o fereastră activă de conformitate, nu ca o perioadă de grație.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da. EU AI Act se aplică uniform în întreaga UE, însă impactul său practic variază semnificativ în funcție de sector. Annex III al Regulamentului mapează categoriile de IA cu risc ridicat direct pe industrii — IA utilizată în domeniul ocupării forței de muncă vizează resursele umane și agențiile de recrutare, IA pentru evaluarea bonității creditare vizează sectorul financiar și asigurările, iar sistemele biometrice vizează autoritățile de aplicare a legii și controlul la frontieră. Operatorii din sectoare puternic reglementate (sănătate, finanțe, transport) se confruntă cu obligații ale EU AI Act suprapuse peste legislația sectorială existentă, ceea ce poate genera obligații suplimentare sau poate necesita coordonarea între autoritățile de supraveghere.
Sectorul sănătății, serviciile financiare și sectorul public cumulează cele mai mari obligații. IA din domeniul sănătății se intersectează cu Regulamentul privind dispozitivele medicale (MDR) și Regulamentul privind dispozitivele medicale pentru diagnostic in vitro (IVDR); IA din sectorul financiar se intersectează cu DORA, MiFID II și Solvency II; IA din sectorul public vizează categoriile 5 până la 8 din Annex III (servicii esențiale, aplicarea legii, migrație și justiție). Fiecare dintre aceste sectoare trebuie să respecte atât cadrul EU AI Act, cât și reglementările sectoriale preexistente, unele obligații aplicându-se simultan.
IMM-urile nu sunt scutite, însă Regulamentul prevede măsuri proporționale. Art. 9(5) impune ca sistemele de gestionare a riscurilor să fie proporționale cu dimensiunea și natura furnizorului. Art. 11 și Art. 16 permit documentație tehnică simplificată pentru IMM-uri. Art. 57 până la Art. 63 stabilesc sandbox-uri de reglementare la care IMM-urile pot accesa sub supravegherea autorității naționale competente. Obligațiile operatorilor prevăzute la Art. 26 se aplică și IMM-urilor care utilizează IA cu risc ridicat, deși cu cerințe procedurale mai reduse față de cele ale furnizorilor.
Art. 70 până la Art. 77 din EU AI Act stabilesc o arhitectură de aplicare pe mai multe niveluri. Fiecare stat membru desemnează o autoritate națională competentă (ANC) responsabilă cu aplicarea EU AI Act. Acolo unde sistemele de IA operează în sectoare reglementate — servicii financiare, sănătate, aviație, căi ferate — autoritățile de reglementare sectoriale (EBA, EIOPA, ESMA, EMA, EASA) se coordonează cu ANC-urile. Biroul European pentru IA asigură supravegherea centrală a modelelor GPAI. Această structură paralelă înseamnă că un sistem de IA al unei instituții financiare poate fi auditat atât de o ANC, cât și de un reglementator sectorial financiar, care aplică cadre diferite, dar suprapuse.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.