Článok 9 — Systém riadenia rizík (Nariadenie EÚ o umelej inteligencii)

Článok 9 nariadenia (EÚ) 2024/1689 — Systém riadenia rizík. Oficiálny text, praktická interpretácia, kľúčové povinnosti a dôsledky pre súlad s predpismi.

Zhrnutie oficiálneho textu

Článok 9 nariadenia (EÚ) 2024/1689 ukladá poskytovateľom systémov umelej inteligencie s vysokým rizikom povinný, nepretržitý systém riadenia rizík počas celého životného cyklu systému. Ustanovenie vyžaduje, aby systém riadenia rizík pozostával z iteratívneho procesu integrovaného do vývoja a prevádzky systému umelej inteligencie s vysokým rizikom, pravidelne aktualizovaného s ohľadom na nové informácie zhromaždené počas monitorovania po uvedení na trh.

Konkrétne článok 9 vyžaduje od poskytovateľov, aby: (a) identifikovali a analyzovali všetky známe a primerane predvídateľné riziká spojené so systémom umelej inteligencie s vysokým rizikom; (b) odhadli a vyhodnotili riziká, ktoré sa môžu materializovať pri používaní systému v súlade s jeho zamýšľaným účelom a v podmienkach primerane predvídateľného zneužitia; (c) vyhodnotili riziká vyplývajúce z dostupných údajov a správania osôb, ktoré so systémom interagujú; a (d) prijali vhodné opatrenia na riadenie rizík na základe tejto analýzy.

Opatrenia na riadenie rizík musia byť také, aby každé zvyškové riziko spojené s každým nebezpečenstvom, ako aj celkové zvyškové riziko systému umelej inteligencie s vysokým rizikom, bolo považované za prijateľné. Článok 9 taktiež stanovuje, že je potrebné vykonávať testy na identifikáciu vhodných opatrení a že tieto testy sa musia vykonávať v súlade s definovanými metrikami a pravdepodobnostnými prahovými hodnotami. Osobitná pozornosť je potrebná v prípadoch, keď systém pravdepodobne bude interagovať s deťmi alebo inými zraniteľnými skupinami. Informácie vyplývajúce zo skúseností prevádzkovateľov sa musia spätne zaradiť do procesu riadenia rizík poskytovateľa.

Čo to znamená v praxi

Článok 9 je jednou z najnáročnejších operačných požiadaviek v hlave III nariadenia EÚ o umelej inteligencii. Vzťahuje sa na každú právnickú osobu, ktorá sa kvalifikuje ako poskytovateľ systému umelej inteligencie s vysokým rizikom — teda na subjekt, ktorý systém vyvíja alebo ho nechá vyvinúť a uvádza ho na trh alebo do prevádzky pod vlastným menom alebo ochrannou známkou.

V praktickej rovine si súlad vyžaduje vytvorenie zdokumentovaného rámca riadenia rizík pred uvedením systému na trh. Nejde o formálne cvičenie: nariadenie vyžaduje iteratívny proces, ktorý pretrváva počas celej životnosti produktu, čo znamená, že dokumentácia riadenia rizík sa musí vyvíjať so zmenami systému, jeho opätovným trénovaním alebo nasadením v nových kontextoch.

Vyhovujúci systém riadenia rizík bude zvyčajne zahŕňať: štruktúrovaný postup identifikácie rizík pokrývajúci zamýšľané použitie aj vierohodné scenáre zneužitia; maticu odhadu rizík hodnotiacu pravdepodobnosť a závažnosť poškodenia; katalóg zmierňujúcich opatrení s dokumentovaným zdôvodnením ich výberu; formálne pred-trhové testovanie v súlade s definovanými metrikami; a mechanizmus na zahrnutie spätnej väzby po uvedení na trh — vrátane údajov o incidentoch poskytnutých prevádzkovateľmi — do prebiehajúcej analýzy rizík.

Napríklad poskytovateľ nástroja na hodnotenie úverovej bonity na báze umelej inteligencie klasifikovaného ako vysokorizikový podľa prílohy III musí zdokumentovať, ako model môže produkovať diskriminačné výsledky, aké technické a organizačné opatrenia toto riziko znižujú a ako dáta o výkone v reálnom svete spustia opätovné hodnotenie. Systém umelej inteligencie používaný v medicínskom kontexte musí navyše riešiť zvýšenú povinnosť starostlivosti tam, kde sú zapojení zraniteľní používatelia. Výstupy riadenia rizík priamo napájajú technickú dokumentáciu požadovanú čl. 11 a posúdenie zhody podľa čl. 43-44.

Kľúčové povinnosti

Zriadenie a udržiavanie nepretržitého systému riadenia rizík pokrývajúceho celý životný cyklus systému umelej inteligencie s vysokým rizikom, od návrhu po vyradenie z prevádzky, aktualizovaného s ohľadom na údaje z monitorovania po uvedení na trh.
Identifikácia všetkých známych a primerane predvídateľných rizík vrátane rizík vyplývajúcich z primerane predvídateľného zneužitia, z interakcie s inými systémami a zo sociotechnického kontextu nasadenia.
Odhad a vyhodnotenie rizík z hľadiska ich pravdepodobnosti výskytu a závažnosti potenciálnej ujmy, pričom sa zohľadní zamýšľaný účel a kategórie osôb, ktorých sa to pravdepodobne dotkne, vrátane zraniteľných skupín a detí.
Prijatie opatrení na riadenie rizík znižujúcich identifikované riziká na prijateľnú zvyškovú úroveň; tam, kde technické opatrenia nestačia, musia ich dopĺňať organizačné alebo informačné opatrenia.
Vykonávanie pred-trhového testovania pomocou definovaných metrík a pravdepodobnostných prahových hodnôt vhodných pre zamýšľaný účel, s cieľom overiť, že vybrané opatrenia sú účinné a že zvyškové riziko je prijateľné.
Integrácia spätnej väzby z monitorovania po uvedení na trh od prevádzkovateľov a koncových používateľov do prebiehajúceho procesu riadenia rizík, čím sa zabezpečí, že systém zostáva citlivý na dôkazy o poškodení alebo takmer-nehodách z reálneho sveta.

Vzťah k iným článkom

Článok 9 stojí v centre rámca požiadaviek kapitoly 2 a je štrukturálne prepojený s niekoľkými inými ustanoveniami. Jeho rozsah závisí od čl. 6 a prílohy III: jeho povinnostiam podliehajú len systémy kvalifikované ako vysokorizikové. Výstupy procesu podľa článku 9 priamo napájajú čl. 11 (technická dokumentácia), ktorý vyžaduje, aby poskytovatelia preukázali existenciu a uplatnenie vyhovujúceho systému riadenia rizík.

Článok 9 taktiež úzko súvisí s čl. 10 (údaje a správa údajov), keďže kvalita tréningových, validačných a testovacích údajov podstatne ovplyvňuje profil rizika, ktorý je potrebné riadiť. Čl. 13 (transparentnosť a poskytovanie informácií) vyžaduje, aby sa prevádzkovateľom oznamovali určité informácie súvisiace s rizikami, a čl. 14 (ľudský dohľad) špecifikuje opatrenia, ktoré často slúžia ako nástroje zmierňovania rizík prvej línie podľa článku 9. Čl. 26 ukladá prevádzkovateľom povinnosti monitorovať reálne používanie a hlásenia relevantných informácií späť poskytovateľom, čím sa uzatvára spätnoväzbová slučka, ktorú vyžaduje článok 9. Napokon čl. 72 (monitorovanie po uvedení na trh) formalizuje mechanizmy zberu údajov, ktoré udržiavajú iteratívny proces riadenia rizík v priebehu času.

Harmonogram súladu

Nariadenie EÚ o umelej inteligencii nadobudlo účinnosť 1. augusta 2024. Článok 9 ako základná požiadavka kapitoly 2 uplatniteľná na systémy umelej inteligencie s vysokým rizikom sa riadi všeobecným harmonogramom súladu pre povinnosti hlavy III:

1. august 2024 — Nariadenie nadobúda účinnosť; 24-mesačný prechodný časový rámec začína plynúť pre väčšinu povinností vysokého rizika.
2. február 2025 — Zákazy praktík umelej inteligencie s neprijateľným rizikom (čl. 5) sa stávajú uplatniteľnými. Článok 9 sa ešte neuplatňuje.
2. august 2025 — Pravidlá pre modely umelej inteligencie na všeobecné účely (hlava VIII) sa stávajú uplatniteľnými. Článok 9 stále nie je povinný pre väčšinu systémov s vysokým rizikom.
2. december 2026 — Článok 9 sa stáva plne uplatniteľným na systémy umelej inteligencie s vysokým rizikom uvedené v prílohe III (systémy umelej inteligencie v oblastiach, ako sú vzdelávanie, zamestnanosť, základné služby, presadzovanie práva, migrácia a správa súdnictva). Poskytovatelia musia mať do tohto dátumu zavedený vyhovujúci systém riadenia rizík.
2. august 2027 — Predĺžený termín pre systémy umelej inteligencie s vysokým rizikom, ktoré sú bezpečnostnými komponentmi výrobkov, na ktoré sa už vzťahuje existujúca harmonizačná legislatíva Únie uvedená v prílohe I (napr. strojné zariadenia, zdravotnícke pomôcky, civilné letectvo).

Poskytovatelia, ktorí vyvíjajú alebo obstarávajú systémy umelej inteligencie s vysokým rizikom, by mali 2. december 2026 považovať za pevný termín pripravenosti na súlad s článkom 9 a mali by začleniť rámce riadenia rizík do svojich vývojových procesov s dostatočným predstihom, aby si ponechali čas na testovanie, dokumentáciu a posúdenie zhody.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto musí zaviesť systém riadenia rizík podľa článku 9?

Poskytovatelia systémov umelej inteligencie s vysokým rizikom podľa definície v čl. 6 a prílohe III nariadenia (EÚ) 2024/1689 sú povinní zriadiť a udržiavať systém riadenia rizík pred uvedením svojho systému na trh alebo jeho uvedením do prevádzky.

Čo musí systém riadenia rizík podľa článku 9 zahŕňať?

Systém musí identifikovať a analyzovať známe a primerane predvídateľné riziká, odhadovať a vyhodnocovať riziká, ktoré môžu vzniknúť počas používania, prijímať vhodné opatrenia na riadenie rizík a zabezpečiť, aby zvyškové riziká boli považované za prijateľné podľa nariadenia.

Je jednorazové posúdenie rizika dostatočné pre súlad s článkom 9?

Nie. Článok 9 vyžaduje nepretržitý iteratívny proces, ktorý prebieha počas celého životného cyklu systému umelej inteligencie s vysokým rizikom vrátane monitorovania po uvedení na trh. Systém sa musí aktualizovať, keď sa objavia nové informácie o rizikách.

Čo sú scenáre 'primerane predvídateľného zneužitia' a prečo sú dôležité?

Článok 9 výslovne vyžaduje, aby poskytovatelia zohľadňovali riziká vyplývajúce z primerane predvídateľného zneužitia — nielen zamýšľaného použitia. To znamená, že poskytovatelia musia analyzovať vierohodné spôsoby, ktorými by systém mohol byť použitý nesprávne alebo v zlej viere, a tieto riziká zodpovedajúcim spôsobom zmierniť.

Ako súvisí článok 9 s povinnosťami testovania podľa článku 9(7)?

Článok 9(7) vyžaduje, aby boli vymedzené a vykonávané testovacie postupy na identifikáciu najvhodnejších opatrení na riadenie rizík. Testovanie sa musí vykonávať v súlade s vopred definovanými metrikami a pravdepodobnostnými prahovými hodnotami vhodnými pre zamýšľaný účel a musí sa uskutočniť pred uvedením na trh.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.