Sistemele AI de risc ridicat trebuie să mențină un dosar tehnic complet înainte de plasarea pe piața UE. Art. 11 și Anexa IV definesc exact ce să includă — de la arhitectura sistemului la guvernanța datelor de antrenare și planurile de monitorizare post-comercializare.
Ce Este Dosarul Tehnic?
Documentația tehnică — numită în mod obișnuit „dosarul tehnic" — este pachetul principal de dovezi care demonstrează că un sistem AI de risc ridicat îndeplinește toate cerințele Regulamentului UE privind IA. Impusă de Art. 11 și structurată de Anexa IV, aceasta trebuie elaborată înainte ca sistemul să fie plasat pe piața UE și menținută actualizată pe tot parcursul ciclului de viață al sistemului.
Dosarul tehnic nu este depus central. Furnizorul îl deține și îl prezintă la cerere autorităților de supraveghere a pieței și organismelor notificate. Acesta este un model pull: autoritățile vin la dvs.; trebuie să fiți gata să predați un pachet complet și coerent, nu o stivă improvizată de fișiere asamblate sub presiune.
Art. 11 impune furnizorilor trei îndatoriri:
- Elaborarea înainte de plasarea pe piață sau punerea în funcțiune.
- Menținerea actualizată — orice modificare substanțială a sistemului necesită actualizarea dosarului și reevaluarea conformității.
- Punerea la dispoziție a autorităților competente și a organismelor notificate la cerere, într-un termen definit (de obicei 10 zile lucrătoare conform regulilor naționale de supraveghere a pieței).
Standardul pentru „actualizat" este funcțional: dosarul tehnic trebuie să reflecte sistemul astfel cum este efectiv implementat, nu sistemul astfel cum a fost proiectat inițial. Dacă o actualizare a modelului modifică caracteristicile de performanță, pragurile de acuratețe sau datele de antrenare, dosarul trebuie revizuit corespunzător.
Cine Are Nevoie de Documentație Tehnică?
Documentația tehnică conform Art. 11 și Anexei IV este obligatorie pentru furnizorii de:
- Sisteme AI de risc ridicat listate în Anexa III — sisteme autonome în domenii precum categorizarea biometrică, recrutarea, scorarea creditului, gestionarea infrastructurii critice, educație, aplicarea legii, migrație și controlul frontierelor și administrarea justiției (supuse filtrului de risc semnificativ Art. 6(3))
- Sisteme AI care funcționează ca componente de siguranță în produse reglementate Anexa I — AI încorporat în dispozitive medicale, utilaje, vehicule, echipamente aviatice și produse similare guvernate de legislația existentă UE privind siguranța produselor
Documentația tehnică nu este necesară pentru:
- Sisteme AI cu risc minim (chatboți, filtre de spam, motoare de recomandare în afara categoriilor de risc ridicat)
- Sisteme AI supuse numai obligațiilor de transparență conform Art. 50 (de ex., dezvăluiri deepfake, dezvăluiri ale recunoașterii emoțiilor unde nu sunt de risc ridicat)
- Furnizorii de modele AI de uz general (GPAI) — aceștia au obligații de documentare separate conform Art. 53, inclusiv documentație tehnică pentru modelul în sine, dar nu în formatul Anexei IV conceput pentru sistemele de risc ridicat implementate
Dacă sunteți operator (nu furnizor), nu sunteți obligat să pregătiți dosarul tehnic. Cu toate acestea, operatorii trebuie să mențină jurnalele de utilizare a sistemului (Art. 26(5)), iar furnizorii au dreptul să recurgă la aceste jurnale la actualizarea documentației tehnice sau la gestionarea rapoartelor de incidente.
Cele 14 Elemente ale Anexei IV
Anexa IV specifică conținutul minim al dosarului tehnic. Nu există un format rigid — furnizorii pot organiza documentația după cum consideră potrivit — dar toate cele 14 elemente trebuie să fie prezente și substanțiale. Intrările tip căsuțe de bifare fără dovezi de susținere nu satisfac Anexa IV.
| # | Elementul Anexei IV | Ce trebuie să conțină |
|---|---|---|
| 1 | Descrierea generală | Numele sistemului, identificatorul de versiune, scopul intenționat, utilizatorii intenționați, piețele geografice, numele și adresa furnizorului, orice reprezentant autorizat |
| 2 | Componentele sistemului | Cerințe hardware, componente software, modele sau biblioteci terțe utilizate, prezentarea generală a metodologiei de antrenare, abordarea algoritmică (de ex., învățare supravegheată, învățare prin întărire, arhitectură transformer) |
| 3 | Specificații de proiectare | Arhitectura sistemului, diagrame de flux de date, decizii cheie de proiectare și rațiunea lor, compromisuri efectuate (de ex., acuratețe față de explicabilitate), format de ieșire și modul în care ieșirile alimentează deciziile din aval |
| 4 | Date de antrenare, validare și testare | Seturi de date utilizate în fiecare etapă, surse de date, proceduri de guvernanță a datelor, proprietăți statistice ale seturilor de date (dimensiune, distribuție, acoperire), protocoale de procesare și pre-procesare a datelor, măsuri luate pentru a detecta și aborda prejudecățile seturilor de date |
| 5 | Documentația de gestionare a riscurilor | Sistemul complet de gestionare a riscurilor Art. 9: riscuri identificate pentru sănătate, siguranță și drepturi fundamentale; estimarea și evaluarea riscurilor; măsuri de atenuare a riscurilor adoptate; riscuri reziduale acceptate; baza pentru acceptarea riscurilor reziduale |
| 6 | Modificări pe parcursul ciclului de viață | Descrierea tuturor modificărilor substanțiale efectuate după implementarea inițială, natura și sfera lor, modul în care conformitatea a fost reevaluată după fiecare modificare, istoricul versiunilor cu date |
| 7 | Măsuri de supraveghere umană | Modul în care sunt implementate cerințele Art. 14: mecanisme de anulare și oprire, interfețe care permit operatorilor umani să monitorizeze ieșirile, cerințe de formare sau calificare pentru operatori, proceduri documentate pentru intervenția umană |
| 8 | Proceduri de validare și testare | Metrici de performanță utilizate (acuratețe, precizie, recall, F1, AUC, metrici de echitate), descrieri ale seturilor de date de testare, condiții și mediu de testare, metodologia și rezultatele testării prejudecăților, testare de robustețe și rezistență la stres, performanță în afara distribuției |
| 9 | Măsuri de securitate cibernetică | Măsuri tehnice împotriva furtului de model, otrăvirii datelor, atacurilor adversariale, injecției de prompturi (pentru sistemele bazate pe LLM), controale de acces, criptare în tranzit și în repaus, proceduri de gestionare a vulnerabilităților |
| 10 | Monitorizarea prejudecăților și acurateței | Proceduri de monitorizare continuă post-implementare, praguri de acuratețe sub care sistemul declanșează o revizuire, benchmark-uri de performanță dezagregate pe grupuri demografice acolo unde este relevant, proceduri pentru acționarea pe baza derivei sau prejudecăților detectate |
| 11 | Instrucțiuni de utilizare | Documentul orientat spre operator Art. 13: scopul intenționat și cazuri de utilizare, caracteristici de performanță și limitări, constrângeri cunoscute, cerințe de întreținere și actualizare, obligații de jurnalizare pentru operatori, punct de contact pentru raportarea incidentelor |
| 12 | Planul de monitorizare post-comercializare | Proiectarea sistemului de monitorizare Art. 72: date colectate de la operatori, frecvența ciclurilor de monitorizare, praguri care declanșează o revizuire sau actualizare, procedura de raportare a incidentelor grave (Art. 73), procedura de retroalimentare a datelor de monitorizare în gestionarea riscurilor |
| 13 | Descrierea interfețelor | API-uri și puncte de integrare, formate de date de intrare și constrângeri, formate de ieșire și semantica lor, integrare cu alte sisteme sau componente, compatibilitatea versiunilor |
| 14 | Standarde armonizate și specificații comune | Lista standardelor armonizate aplicate (de ex., ISO/IEC 42001:2023, standarde EN în cadrul programului de standardizare conform Regulamentului privind IA), specificații comune adoptate conform Art. 41, măsura în care a fost aplicat fiecare standard, orice abateri și justificarea lor |
Notă practică privind elementul 4 (date de antrenare): Anexa IV nu vă impune să dezvăluiți seturile de date public sau autorităților în mod implicit. Impune ca documentația să existe și să poată fi produsă. Pentru seturile de date proprietare, o descriere a procedurilor de guvernanță a datelor, rezumate statistice și rezultatele testării prejudecăților vor satisface de obicei cerința fără a dezvălui date sensibile din punct de vedere comercial.
Notă practică privind elementul 14 (standarde): Începând cu mijlocul anului 2026, programul de standardizare conform Regulamentului privind IA este încă în desfășurare. ISO/IEC 42001 (sisteme de management AI) este disponibil și larg referențiat. Furnizorii ar trebui să monitorizeze lucrările europene de standardizare sub CEN/CENELEC JTC 21 și să actualizeze această secțiune pe măsură ce standardele armonizate sunt publicate în Jurnalul Oficial.
Declarația UE de Conformitate (Art. 47)
Declarația UE de Conformitate (UE DoC) este un document obligatoriu separat — nu face parte din dosarul tehnic, dar îl referențiază. UE DoC este declarația formală a furnizorului că sistemul AI respectă toate cerințele aplicabile ale Regulamentului UE privind IA.
O UE DoC valabilă trebuie să includă:
- Numele și adresa furnizorului (și reprezentantul autorizat dacă este aplicabil)
- Numele sistemului AI, versiunea, numărul de serie sau de lot dacă este aplicabil
- O declarație că sistemul respectă Regulamentul UE privind IA
- Procedura de evaluare a conformității utilizată: Anexa VI (control intern / autoevaluare) pentru cele mai multe sisteme Anexa III, sau Anexa VII (evaluare de terță parte de un organism notificat) pentru AI de categorizare biometrică și AI utilizat în infrastructura critică necesitând implicarea terților
- O listă a standardelor armonizate sau specificațiilor comune la care se recurge
- Semnătura reprezentantului autorizat al furnizorului cu data și locul
UE DoC trebuie păstrată 10 ani după plasarea pe piață și produsă la cerere. Însoțește marcajul CE (a se vedea mai jos).
Pentru sistemele AI încorporate în produsele Anexei I, UE DoC poate fi fuzionată cu declarația de conformitate necesară conform legislației sectoriale relevante, cu condiția să conțină toate elementele necesare de ambele instrumente juridice.
Marcajul CE (Art. 48)
Sistemele AI de risc ridicat plasate pe piața UE trebuie să poarte marcajul CE, care semnalează conformitatea cu Regulamentul UE privind IA și orice altă legislație UE armonizată aplicabilă care acoperă același produs.
Excepții: Sistemele AI din categoriile Anexei III implementate de autoritățile publice pentru propriul uz intern sunt scutite de cerințele privind marcajul CE. Acestea rămân supuse tuturor celorlalte obligații — documentație tehnică, gestionarea riscurilor, supraveghere umană, înregistrare — dar nu trebuie să aplice marcajul CE.
Marcajul CE trebuie aplicat înainte ca sistemul să fie plasat pe piața UE. Trebuie să fie vizibil, lizibil și rezistent. Acolo unde natura fizică a sistemului nu permite aplicarea directă a marcajului, acesta poate apărea pe ambalaj sau în instrucțiunile de utilizare.
Când un sistem AI de risc ridicat este o componentă a unui produs Anexa I care necesită deja marcaj CE conform legislației sectoriale specifice (de ex., dispozitive medicale, utilaje), marcajul CE acoperă conformitatea atât cu legislația sectorială, cât și cu Regulamentul privind IA. Furnizorii ar trebui să documenteze clar ce proceduri de evaluare a conformității stau la baza marcajului CE.
Listă de Verificare Practică: Dosarul Tehnic Minim Viabil
Înainte ca orice sistem AI de risc ridicat să fie plasat pe piața UE, verificați că aceste 10 elemente sunt complete și dovedite:
- [ ] Descrierea sistemului și controlul versiunilor — nume, versiune, scopul intenționat documentat; există un jurnal de modificări
- [ ] Diagrama arhitecturii — diagrama fluxului de date și componentelor arătând toate elementele hardware, software și terțe
- [ ] Inventarul datelor de antrenare și evidența guvernanței — seturi de date catalogate cu sursă, dimensiune, partiții și proceduri de calitate a datelor documentate
- [ ] Evaluarea riscurilor (conform Art. 9) — riscuri identificate, măsuri de atenuare și riscuri reziduale acceptate documentate și semnate
- [ ] Rezultatele testării prejudecăților — metodologia de testare documentată; rezultatele dezagregate pe grupuri demografice relevante acolo unde este aplicabil
- [ ] Metrici de acuratețe pe un set de testare reprezentativ — metrici de performanță documentate cu condiții de testare; praguri definite
- [ ] Documentul de procedură de supraveghere umană — mecanismele de anulare descrise; cerințele operatorului (formare, calificare) documentate
- [ ] Evaluarea securității cibernetice — vectorii de atac cunoscuți evaluați; contramăsuri tehnice documentate
- [ ] Instrucțiunile de utilizare (orientate spre operator) — document Art. 13 complet, inclusiv limitări, obligații de jurnalizare și contact pentru raportarea incidentelor
- [ ] Planul de monitorizare post-comercializare — domeniul de colectare a datelor, frecvența monitorizării, factorii declanșatori ai revizuirii și procedura de raportare a incidentelor documentate
Această listă acoperă minimul. Un dosar tehnic bine pregătit va merge mai departe — în special privind metodologia de testare a prejudecăților, cardurile de model pentru modelele componente și dovezile că procesul de gestionare a riscurilor este iterativ mai degrabă decât un exercițiu unic.
Cum Se Leagă Aceasta de Academia UE privind IA
Nivelul Pro al Academiei UE privind IA include șabloane gata de utilizare de documentație tehnică acoperind toate cele 14 elemente ale Anexei IV, inclusiv:
- Un caiet de lucru XLSX structurat cu câte o filă pe element al Anexei IV, pre-completat cu prompturi și exemple de intrări
- Un schelet de dosar tehnic DOCX gata de editare
- O foaie de lucru pentru evaluarea riscurilor urmând procesul iterativ Art. 9
- Un șablon de evidență a guvernanței datelor acoperind seturile de date de antrenare, validare și testare
- Un șablon de plan de monitorizare post-comercializare aliniat cu Art. 72
Aceste șabloane sunt concepute pentru a fi adaptate la sistemul dvs. specific — sunt puncte de plecare cu conținut substanțial, nu formulare goale.
Pagini conexe:
- Anexa III — Categoriile și obligațiile AI de risc ridicat
- Proceduri de evaluare a conformității (Anexa VI și VII)
- Academia UE privind IA — șabloane și formare
- Instrumente — Selector de Evaluare a Conformității
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Furnizorul sistemului AI de risc ridicat este singurul responsabil de pregătirea și menținerea documentației tehnice. Operatorii nu sunt obligați să o pregătească, dar trebuie să păstreze jurnalele de acces și ar putea fi nevoiți să le furnizeze furnizorilor în scopuri de raportare.
Documentația tehnică trebuie păstrată timp de 10 ani după ce sistemul AI este plasat pe piața UE sau pus în funcțiune (Art. 18). Pentru sistemele AI încorporate în produse supuse legislației Anexei I, se aplică perioada de retenție a legislației produsului dacă aceasta este mai lungă.
Nu — documentația tehnică nu este depusă central. Aceasta trebuie păstrată de furnizor și pusă la dispoziția autorităților de supraveghere a pieței și a organismelor notificate la cerere. Înregistrarea în baza de date AI a UE (Art. 71) este obligatorie, dar dosarul tehnic complet rămâne la furnizor.
Un document formal semnat de furnizor care afirmă că sistemul AI respectă cerințele Regulamentului UE privind IA. Trebuie să includă numele sistemului, versiunea, identitatea furnizorului, o listă a cerințelor aplicabile îndeplinite, procedura de evaluare a conformității utilizată și o referință la standardele armonizate relevante. Însoțește marcajul CE.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.