Conformitatea IMM-urilor cu Regulamentul UE privind IA. Dispoziții specifice IMM-urilor, acces la medii de testare reglementate, tarife reduse și orientări practice pentru operatorii și dezvoltatorii de sisteme de IA.
Regulamentul UE privind IA și IMM-urile — Vestea bună
Regulamentul UE privind IA (Regulamentul (UE) 2024/1689) se aplică tuturor organizațiilor care introduc sau utilizează sisteme de IA pe piața UE, indiferent de dimensiunea lor. Cu toate acestea, realitatea de reglementare pentru majoritatea întreprinderilor mici și mijlocii este considerabil mai puțin împovărătoare decât sugerează titlurile din presă, dintr-un motiv fundamental: marea majoritate a IMM-urilor utilizează IA, nu o dezvoltă.
Un IMM care se abonează la un CRM cu funcționalități de IA, care implementează un chatbot de la un furnizor SaaS sau care utilizează software de prognoză a cererii bazat pe cloud este, în terminologia Regulamentului UE privind IA, un operator — nu un furnizor. Obligațiile operatorului sunt în mod sistematic mai ușoare decât cele ale furnizorului. Furnizorii suportă sarcina principală privind evaluarea conformității, documentația tehnică, marcajul CE și înregistrarea. Operatorii au un set de obligații mai bine delimitat, axat pe utilizarea corectă, supravegherea umană și raportarea incidentelor.
Dincolo de distincția operator/furnizor, Regulamentul UE privind IA conține un pachet distinct de dispoziții specifice IMM-urilor care oferă sprijin structural: acces prioritar la medii de testare reglementate, tarife reduse pentru evaluarea conformității și un punct unic de contact la nivel național. Aceste dispoziții reflectă intenția explicită a legiuitorului de a preveni ca Regulamentul privind IA să devină o barieră disproporționată pentru participanții mai mici la piață.
Prezentul ghid prezintă semnificația practică a Regulamentului UE privind IA pentru un IMM — indiferent dacă utilizați instrumente de IA ale unor terți, implementați IA în contexte orientate către clienți sau sunteți chiar dumneavoastră cel care construiește și comercializează un produs de IA.
Dispoziții specifice IMM-urilor în cadrul Regulamentului
Regulamentul UE privind IA include patru dispoziții care se aplică în mod specific IMM-urilor (întreprinderi care îndeplinesc pragul prevăzut de Recomandarea Comisiei 2003/361/CE: mai puțin de 250 de angajați și fie o cifră de afaceri anuală care nu depășește 50 de milioane de euro, fie un bilanț total care nu depășește 43 de milioane de euro) și startup-urilor.
Art. 55 — Acces prioritar la mediile de testare reglementate
Art. 55 stabilește că mediile de testare reglementate în domeniul IA — medii supervizate pentru dezvoltarea și testarea IA înainte de introducerea pe piață — sunt accesibile cu prioritate IMM-urilor și startup-urilor. Accesul este gratuit sau supus unor tarife reduse, iar organizațiile participante beneficiază de îndrumare directă din partea autorității competente. Accesul la mediul de testare permite identificarea riscurilor înainte de introducerea pe piață și dialogul cu autoritatea de reglementare într-un cadru protejat, fără consecințele unei introduceri pe piață neconforme. IMM-urile care construiesc sisteme de IA ar trebui să considere participarea la mediul de testare atât ca instrument de conformitate, cât și ca mecanism de interacțiune directă cu autoritatea de supraveghere înainte de lansarea produsului.
Art. 96 — Tarife reduse pentru evaluarea conformității
Atunci când un sistem de IA cu risc ridicat necesită evaluarea conformității de către un organism notificat terț (aplicabil sistemelor enumerate în Anexa III, punctele 1, 6 și 7, și IA pentru dispozitive medicale în temeiul Art. 6(1)), Art. 96 impune statelor membre să stabilească tarife reduse pentru întreprinderile mici. Microîntreprinderile — cele cu mai puțin de 10 angajați și o cifră de afaceri anuală sau un bilanț total care nu depășește 2 milioane de euro — au dreptul la reduceri și mai mari. Grilele de tarife exacte sunt stabilite la nivelul fiecărui stat membru și variază în funcție de jurisdicție; autoritatea națională de IA competentă sau rețeaua Enterprise Europe Network pot furniza cifrele actuale.
Art. 85 — Punct unic de contact
Art. 85 obligă autoritățile naționale de supraveghere a IA să instituie un punct unic de contact dedicat IMM-urilor. Aceasta înseamnă că un IMM care solicită orientări privind obligațiile din Regulamentul privind IA nu trebuie să navigheze prin mai multe departamente de reglementare sau să coordoneze activitățile între autorități fragmentate. Punctul unic de contact furnizează informații, direcționează solicitările către funcția corespunzătoare și facilitează cererile de acces la mediile de testare. Această dispoziție reduce semnificativ costul administrativ al înțelegerii obligațiilor de reglementare.
Art. 9(5) — Gestionarea proporțională a riscurilor
Art. 9(5) prevede că sistemul de gestionare a riscurilor impus furnizorilor de sisteme de IA cu risc ridicat poate fi implementat în mod proporțional, ținând seama de dimensiunea și structura organizației. Pentru un IMM care acționează în calitate de furnizor al unui sistem cu risc ridicat, aceasta înseamnă că, deși toate cerințele substanțiale ale sistemului de gestionare a riscurilor trebuie respectate, formatul documentației, complexitatea procesului și structura de guvernanță pot fi adaptate la capacitatea reală a organizației — cu condiția ca acest lucru să nu submineze obiectivele de protecție ale cadrului de reglementare.
Sunteți furnizor sau operator? — Cadru de decizie pentru IMM-uri
Cea mai importantă determinare preliminară pentru orice IMM care se confruntă cu Regulamentul UE privind IA este dacă acționează în calitate de furnizor sau de operator în raport cu fiecare sistem de IA pe care îl utilizează sau îl oferă.
Furnizor (Art. 3(3)): O organizație care dezvoltă un sistem de IA sau care face să fie dezvoltat un sistem de IA și îl introduce pe piață sau îl pune în funcțiune sub propriul nume sau marcă — fie contra cost, fie gratuit. Aceasta include IMM-urile care:
- Construiesc un produs software care încorporează IA (inclusiv modele de IA accesate prin intermediul unui API) și vând sau licențiază acel produs clienților;
- Dezvoltă intern un model sau o aplicație de IA și îl/o implementează ca serviciu pentru utilizatori finali din afara organizației;
- Modifică substanțial un sistem de IA terț într-un mod care îi schimbă scopul intenționat.
Operator (Art. 3(4)): O organizație care utilizează un sistem de IA sub propria autoritate, în scopuri profesionale. Aceasta acoperă IMM-urile care:
- Se abonează la produse SaaS cu funcționalități de IA integrate (CRM, ERP, software de contabilitate cu IA);
- Utilizează un chatbot terț sau un sistem de IA conversațional pe site-ul lor web;
- Accesează API-uri de IA în cloud (procesare de limbaj natural, clasificare de imagini, motoare de recomandare) exclusiv pentru automatizarea fluxurilor de lucru interne sau îmbunătățirea propriilor servicii, fără a oferi capacitatea de IA ca funcționalitate de produs terților;
- Achiziționează de la furnizori externi software de HR, prognoze de stocuri sau instrumente de analiză a clienților.
Cazul-limită critic: Un IMM care integrează un API de IA extern în propriul produs orientat către clienți și comercializează acea capacitate ca funcționalitate a produsului său este un furnizor în raport cu acea funcționalitate de IA — nu doar un operator al API-ului subiacent. Entitatea juridică care definește scopul intenționat, controlează experiența utilizatorului și introduce produsul pe piață suportă obligațiile furnizorului în temeiul Art. 16, indiferent de originea modelului de IA.
Principalele obligații ale operatorului pentru IMM-urile care utilizează IA terță
Pentru majoritatea IMM-urilor — cele care implementează instrumente de IA ale unor terți, nu cele care le construiesc ele însele — se aplică următoarele obligații în temeiul Art. 26 și al dispozițiilor conexe.
Utilizarea sistemelor de IA conform instrucțiunilor furnizorului
Operatorii trebuie să utilizeze sistemele de IA cu risc ridicat exclusiv în conformitate cu instrucțiunile de utilizare ale furnizorului, furnizate în temeiul Art. 13. Utilizarea unui sistem de IA în scopuri care depășesc scopul intenționat documentat sau în configurații pe care furnizorul nu le-a validat transferă o parte din răspunderea de conformitate operatorului și poate invalida evaluarea conformității sistemului.
Desemnarea responsabilului cu supravegherea umană
Art. 26(1) impune operatorilor să atribuie responsabilitatea pentru supravegherea IA unei persoane calificate din cadrul organizației. Pentru majoritatea IMM-urilor, aceasta va fi o persoană nominalizată (nu neapărat un responsabil dedicat cu conformitatea în domeniul IA) care înțelege funcția sistemului, limitările sale cunoscute și circumstanțele în care este necesară intervenția umană. Această desemnare trebuie documentată.
Păstrarea jurnalelor operaționale
Acolo unde sistemele de IA cu risc ridicat generează jurnale în mod automat (Art. 12), operatorii trebuie să le păstreze pentru perioada prevăzută de lege — în general șase luni în temeiul Regulamentului privind IA, cu excepția cazului în care legislația sectorială specifică impune o perioadă de păstrare mai lungă. Operatorii trebuie să verifice că contractul cu furnizorul acordă accesul la jurnale și confirmă formatul și integralitatea acestora.
Raportarea incidentelor grave furnizorului
Art. 26(5) impune operatorilor să notifice furnizorul cu privire la orice incidente grave sau defecțiuni constatate pe durata utilizării. Atunci când organizația care operează sistemul este un organism public, obligațiile de notificare se extind la autoritatea națională de supraveghere a IA. Pentru operatorii IMM din sectorul privat, canalul principal este notificarea directă a furnizorului, care suportă apoi propriile obligații de notificare a autorității în temeiul Art. 73.
Efectuarea unei evaluări a impactului asupra drepturilor fundamentale, acolo unde este aplicabilă
Art. 27 impune organismelor publice care operează IA cu risc ridicat să efectueze o evaluare a impactului asupra drepturilor fundamentale înainte de implementare. IMM-urilor din sectorul privat care operează IA cu risc ridicat — în special în domeniul resurselor umane, al evaluării creditului sau al deciziilor orientate către clienți — li se recomandă cu fermitate să efectueze o evaluare echivalentă, deoarece aceasta demonstrează diligența cuvenită și reduce substanțial riscul de executare silită.
Revizuirea contractelor cu furnizorii
Operatorii IMM trebuie să se asigure că contractele lor cu furnizorii de IA includ: documentația de conformitate și instrucțiunile de utilizare; confirmarea înregistrării în baza de date a UE, acolo unde este obligatoriu; specificarea capacității de jurnalizare și a drepturilor de acces; angajamentul furnizorului privind notificarea incidentelor și remedierea; și informații privind obligațiile de actualizare sau modificare care pot afecta statutul de conformitate al sistemului.
Dacă dezvoltați IA — Obligațiile furnizorului IMM și mecanismele de sprijin
IMM-urile care dezvoltă și comercializează sisteme de IA sunt furnizori și suportă toate obligațiile furnizorului prevăzute în Capitolul III pentru orice sistem care este cu risc ridicat. Sfera acestor obligații este substanțială: sistemul de management al calității (Art. 17), documentația tehnică conform Anexei IV, guvernanța datelor conform Art. 10, jurnalizarea conform Art. 12, cerințele de transparență conform Art. 13, proiectarea supravegherii umane conform Art. 14 și standardele de acuratețe și robustețe conform Art. 15. Pentru sistemele din Anexa III care necesită evaluarea de către un organism notificat, ruta de conformitate urmează Art. 43.
Punctul de pornire practic pentru un furnizor IMM este determinarea clasificării pe baza riscului:
- Este sistemul de IA acoperit de Art. 5 (practici interzise)? Dacă da, dezvoltarea trebuie să înceteze sau să fie restructurată fundamental înainte de orice activitate pe piață.
- Se califică sistemul drept sistem cu risc ridicat în temeiul Art. 6(1) (componentă de siguranță a unui produs reglementat) sau al Anexei III (domenii de aplicare enumerate, inclusiv identificarea biometrică, infrastructura critică, educația, ocuparea forței de muncă, serviciile esențiale, aplicarea legii, migrația, justiția)?
- Se califică sistemul numai ca model de IA de uz general reglementat de Art. 51–56, fără clasificare cu risc ridicat?
- Este sistemul supus numai obligațiilor de transparență prevăzute de Art. 50 (recunoașterea emoțiilor, deepfake, chatbot-uri)?
Pentru IMM-urile ale căror sisteme nu intră în categoriile cu risc ridicat și interzise, conformitatea este considerabil mai ușoară: declarații de transparență în temeiul Art. 50, aliniere cu GDPR și obligații sectoriale specifice prevăzute de dreptul național sau al UE aplicabil.
Pentru IMM-urile care dezvoltă IA cu risc ridicat, mediul de testare reglementat prevăzut de Art. 55 este cel mai important instrument disponibil. Participarea la mediul de testare permite testarea înainte de introducerea pe piață sub supraveghere reglementară, furnizează dovezi documentate ale efortului de conformitate de bună-credință și poate identifica măsuri corective înainte ca acestea să devină obiect al unor proceduri de executare. Cererile se depun la punctul național unic de contact (Art. 85).
Pași practici pentru conformitatea IMM-urilor
Pasul 1 — Inventariați toate sistemele de IA utilizate sau aflate în curs de dezvoltare. Listați fiecare instrument de IA, produs SaaS, API în cloud și model dezvoltat intern. Notați furnizorul, funcția și dacă IMM-ul acționează în calitate de furnizor sau operator pentru fiecare.
Pasul 2 — Clasificați fiecare sistem pe categorii de risc. Aplicați cadrul Art. 5 / Art. 6 / Anexa III / Art. 50 fiecărui sistem. Acolo unde clasificarea este incertă, utilizați punctul unic de contact prevăzut de Art. 85 pentru îndrumare.
Pasul 3 — Pentru rolurile de operator: auditați contractele cu furnizorii. Verificați că fiecare furnizor de IA a furnizat documentația prevăzută de Art. 13 și că contractul abordează jurnalizarea, notificarea incidentelor și obligațiile de actualizare. Marcați lacunele pentru renegociere.
Pasul 4 — Pentru rolurile de furnizor: inițiați calea de conformitate. Determinați dacă sistemul dumneavoastră de IA cu risc ridicat necesită autoevaluare (Art. 43(2)) sau evaluare de către un organism notificat terț (Art. 43(1)). Solicitați accesul la mediul de testare în temeiul Art. 55 dacă sistemul este în curs de dezvoltare. Contactați organismul notificat din timp pentru a înțelege implicațiile privind calendarul și tarifele, ținând seama de dreptul dumneavoastră la reduceri de tarife pentru IMM-uri în temeiul Art. 96.
Pasul 5 — Implementați obligațiile operatorului prevăzute de Art. 26 pentru toate sistemele cu risc ridicat. Desemnați persoanele responsabile cu supravegherea, documentați responsabilitățile acestora, verificați procedurile de păstrare a jurnalelor și confirmați canalele de notificare a incidentelor.
Pasul 6 — Stabiliți un ciclu de revizuire a Regulamentului privind IA. Regulamentul UE privind IA este un cadru în evoluție. Desemnați o persoană responsabilă pentru monitorizarea orientărilor Biroului UE pentru IA, a actualizărilor autorităților naționale și a modificărilor clasificărilor din Anexa III. Programați o revizuire internă anuală a inventarului de sisteme și a statusului de conformitate.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da. Dacă IMM-ul dumneavoastră integrează un model de IA terț (inclusiv prin intermediul unui API) într-un produs sau serviciu pe care îl introduceți pe piață sau îl puneți în funcțiune sub propriul nume sau marcă, sunteți clasificat drept **furnizor** în temeiul **Art. 3(3)** din Regulamentul UE privind IA. Această calificare se aplică indiferent dacă modelul subiacent a fost creat de o altă companie. Obligațiile furnizorului — inclusiv documentația tehnică, evaluarea conformității, marcajul CE (pentru sistemele cu risc ridicat) și înregistrarea — vă revin în totalitate. Atunci când furnizorul de model din amonte pune la dispoziție documentație de conformitate și instrucțiuni de utilizare, aceste documente susțin efortul dumneavoastră de conformitate, fără a-l înlocui. Art. 55 și Art. 96 prevăd mecanisme de sprijin specifice IMM-urilor pentru reducerea sarcinii de conformitate.
Răspunsul depinde de doi factori: natura chatbot-ului și funcțiile pe care le îndeplinește. În primul rând, dacă chatbot-ul este un **sistem de uz general bazat pe IA** care interacționează cu utilizatorii, acesta trebuie să respecte **obligația de transparență prevăzută la Art. 50**: utilizatorii trebuie informați că interacționează cu un sistem de IA, cu excepția cazului în care acest lucru este evident din context. În al doilea rând, dacă chatbot-ul îndeplinește funcții calificate drept cu risc ridicat — de exemplu, filtrarea candidaților pentru un post, evaluarea bonității sau adoptarea de decizii cu efecte juridice sau cu impact semnificativ asupra persoanelor — se aplică obligații suplimentare aferente sistemelor cu risc ridicat. Un chatbot simplu de tip FAQ sau de navigare în produs, furnizat de un prestator SaaS terț (în raport cu care vă aflați în postura de operator), determină în principal obligația de transparență prevăzută la Art. 50 și obligațiile operatorului în temeiul Art. 26, în special utilizarea corectă conform instrucțiunilor și notificarea incidentelor.
Un **mediu de testare reglementat în domeniul IA** (regulatory AI sandbox) este un mediu de testare supervizat, instituit de autoritățile naționale de supraveghere a IA, în care furnizorii de IA — inclusiv startup-urile și IMM-urile — pot dezvolta, testa și valida sisteme de IA înainte de introducerea pe piață, beneficiind de îndrumare directă din partea autorității de reglementare. Mediile de testare sunt reglementate de **Art. 57–63** din Regulamentul UE privind IA. **Art. 55 acordă IMM-urilor și startup-urilor acces prioritar**, iar participarea este gratuită sau supusă unor tarife reduse. Cererile se depun direct la autoritatea națională responsabilă cu Regulamentul privind IA din statul dumneavoastră membru. În cadrul mediului de testare, autoritatea poate acorda derogări limitate de la anumite cerințe pentru a permite testarea efectivă; orice produs introdus pe piață după perioada de testare trebuie să îndeplinească ulterior toate obligațiile aplicabile. Contactați punctul național unic de contact pentru IMM-uri (**Art. 85**) pentru a obține procedurile de depunere a cererilor.
Înregistrarea în **baza de date a UE pentru sistemele de IA cu risc ridicat** în temeiul **Art. 49** este obligatorie numai dacă sistemul dumneavoastră este clasificat ca **sistem cu risc ridicat** în conformitate cu Art. 6 sau cu Anexa III. Furnizorii de sisteme cu risc ridicat trebuie să se înregistreze înainte de introducerea pe piață; operatorii care sunt organisme publice trebuie, de asemenea, să se înregistreze înainte de utilizare. Majoritatea IMM-urilor care operează sisteme de IA ale unor terți (ca utilizatori de SaaS sau de API) nu au obligația de înregistrare — aceasta revine furnizorului. Dacă IMM-ul dumneavoastră este furnizorul unui sistem de IA cu risc ridicat, înregistrarea este obligatorie indiferent de dimensiunea companiei, deși dispozițiile de sprijin prevăzute la Art. 55 și 96 se aplică pentru reducerea costurilor aferente și a complexității procedurale. Baza de date este accesibilă publicului și gestionată de Biroul UE pentru IA.
Înainte de a implementa un sistem de IA terț, în special unul care ar putea fi cu risc ridicat, IMM-ul dumneavoastră ar trebui să solicite și să obțină contractual: (1) **Declarația UE de conformitate** sau documentația echivalentă de conformitate; (2) **instrucțiunile de utilizare** prevăzute de Art. 13, inclusiv scopul intenționat, limitările cunoscute și cerințele de supraveghere umană; (3) confirmarea că sistemul a fost **înregistrat în baza de date a UE**, acolo unde este obligatoriu; (4) informații privind **capacitățile de jurnalizare** ale sistemului și modalitățile de acces sau recuperare a jurnalelor; (5) **procedurile de notificare a incidentelor** ale furnizorului și obligațiile acestuia de a vă notifica cu privire la defecțiuni sau actualizări care afectează conformitatea; și (6) informații privind **caracteristicile de prelucrare a datelor** ale sistemului, relevante pentru obligațiile dumneavoastră în temeiul GDPR. Absența acestor documente din partea unui furnizor care oferă un sistem de IA într-un domeniu sensibil constituie un risc material de conformitate.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.