Vysokorizikové systémy AI musia pred umiestnením na trh EÚ udržiavať úplný technický spis. Čl. 11 a Príloha IV presne definujú, čo zahrnúť — od architektúry systému po správu trénovacích údajov a plány post-market monitoringu.
Čo je technický spis?
Technická dokumentácia — bežne nazývaná „technický spis" — je hlavný balík dôkazov, ktorý preukazuje, že vysokorizikový systém AI spĺňa všetky požiadavky nariadenia EÚ o AI. Nariadený čl. 11 a štruktúrovaný Prílohou IV, musí byť vypracovaný pred umiestnením systému na trh EÚ a udržiavaný aktuálny počas celého životného cyklu systému.
Technický spis sa centrálne nepredkladá. Poskytovateľ ho uchováva a predkladá na požiadanie orgánom trhového dohľadu a notifikovaným orgánom. Toto je pull model: orgány prichádzajú k vám; musíte byť pripravení odovzdať úplný, koherentný balík, nie improvizovanú hromadu súborov zostavenú pod tlakom.
Čl. 11 ukladá poskytovateľom tri povinnosti:
- Vypracovať pred umiestnením na trh alebo uvedením do prevádzky.
- Udržiavať aktuálny — akákoľvek podstatná zmena systému vyžaduje aktualizáciu spisu a opätovné posúdenie zhody.
- Sprístupniť príslušným orgánom a notifikovaným orgánom na požiadanie v definovanom časovom rámci (zvyčajne 10 pracovných dní podľa národných pravidiel trhového dohľadu).
Norma pre „aktuálny" je funkčná: technický spis musí odrážať systém tak, ako je skutočne nasadený, nie systém tak, ako bol pôvodne navrhnutý. Ak aktualizácia modelu zmení výkonnostné charakteristiky, hranice presnosti alebo trénovacie údaje, spis musí byť podľa toho revidovaný.
Kto potrebuje technickú dokumentáciu?
Technická dokumentácia podľa čl. 11 a Prílohy IV je povinná pre poskytovateľov:
- Vysokorizikových systémov AI uvedených v Prílohe III — samostatné systémy v oblastiach ako biometrická kategorizácia, nábor, kreditné skóre, správa kritickej infraštruktúry, vzdelávanie, presadzovanie práva, migrácia a kontrola hraníc a správa spravodlivosti (predmetom výrazného rizikového filtra čl. 6 ods. 3)
- Systémov AI fungujúcich ako bezpečnostné komponenty vo výrobkoch regulovaných Prílohou I — AI zabudovaná do zdravotníckych pomôcok, strojových zariadení, vozidiel, leteckých zariadení a podobných výrobkov riadených existujúcou legislatívou EÚ o bezpečnosti výrobkov
Technická dokumentácia sa nevyžaduje pre:
- Systémy AI s minimálnym rizikom (chatboty, filtre spamu, odporúčacie nástroje mimo vysokorizikových kategórií)
- Systémy AI predmetom iba povinností transparentnosti podľa čl. 50 (napr. zverejnenia deepfake, zverejnenia rozpoznávania emócií, kde nie sú vysokorizikové)
- Poskytovatelia modelov so všeobecným účelom AI (GPAI) — majú samostatné dokumentačné povinnosti podľa čl. 53 vrátane technickej dokumentácie pre samotný model, ale nie vo formáte Prílohy IV navrhnutom pre nasadené vysokorizikové systémy
Ak ste nasadzujúcim subjektom (nie poskytovateľom), nie ste povinní pripravovať technický spis. Nasadzujúce subjekty však musia uchovávať protokoly používania systému (čl. 26 ods. 5) a poskytovatelia majú právo čerpať z týchto protokolov pri aktualizácii technickej dokumentácie alebo spracovaní hlásení o incidentoch.
14 prvkov Prílohy IV
Príloha IV špecifikuje minimálny obsah technického spisu. Neexistuje žiadny pevný formát — poskytovatelia môžu organizovať dokumentáciu podľa vlastného uváženia — ale všetkých 14 prvkov musí byť prítomných a vecných. Záznamy zaškrtávaním bez podporujúcich dôkazov nespĺňajú Prílohu IV.
| # | Prvok Prílohy IV | Čo musí obsahovať |
|---|---|---|
| 1 | Všeobecný popis | Názov systému, identifikátor verzie, zamýšľaný účel, zamýšľaní používatelia, geografické trhy, meno a adresa poskytovateľa, akýkoľvek oprávnený zástupca |
| 2 | Komponenty systému | Hardvérové požiadavky, softvérové komponenty, použité modely alebo knižnice tretích strán, prehľad metodiky trénovania, algoritmický prístup (napr. riadené učenie, posilňovacie učenie, architektúra transforméra) |
| 3 | Špecifikácie dizajnu | Architektúra systému, diagramy toku údajov, kľúčové rozhodnutia dizajnu a ich odôvodnenie, vykonané kompromisy (napr. presnosť vs. vysvetliteľnosť), formát výstupu a spôsob, ako výstupy napájajú downstream rozhodnutia |
| 4 | Trénovacie, validačné a testovacie údaje | Datasety použité v každej fáze, zdroje údajov, postupy správy údajov, štatistické vlastnosti datasetov (veľkosť, rozdelenie, pokrytie), protokoly spracovania a predspracovania údajov, opatrenia prijaté na detekciu a riešenie predsudkov datasetu |
| 5 | Dokumentácia riadenia rizík | Úplný systém riadenia rizík čl. 9: identifikované riziká pre zdravie, bezpečnosť a základné práva; odhadovanie a hodnotenie rizík; prijaté opatrenia na zmierňovanie rizík; prijaté reziduálne riziká; základ pre prijatie reziduálnych rizík |
| 6 | Zmeny životného cyklu | Popis všetkých podstatných modifikácií vykonaných po počiatočnom nasadení, ich povaha a rozsah, spôsob opätovného hodnotenia zhody po každej zmene, história verzií s dátumami |
| 7 | Opatrenia ľudského dohľadu | Spôsob implementácie požiadaviek čl. 14: mechanizmy prepísania a zastavenia, rozhrania umožňujúce ľudským operátorom monitorovať výstupy, požiadavky na tréning alebo kvalifikáciu pre operátorov, zdokumentované postupy pre ľudský zásah |
| 8 | Postupy validácie a testovania | Použité metriky výkonu (presnosť, precision, recall, F1, AUC, metriky spravodlivosti), popisy testovacích datasetov, testovacie podmienky a prostredie, metodika testovania zaujatosti a výsledky, robustnosť a stresové testovanie, výkon mimo distribúcie |
| 9 | Opatrenia kybernetickej bezpečnosti | Technické opatrenia proti krádeži modelu, otravovaniu údajov, adversariálnym útokom, injekciu promptov (pre systémy na báze LLM), kontroly prístupu, šifrovanie pri prenose a v pokoji, postupy správy zraniteľností |
| 10 | Monitorovanie zaujatosti a presnosti | Priebežné monitorovacie postupy po nasadení, hranice presnosti, pod ktorými systém spúšťa preskúmanie, výkonnostné benchmarky rozčlenené podľa demografických skupín, kde je to relevantné, postupy na konanie pri detekovanom driften alebo zaujatosti |
| 11 | Pokyny na používanie | Dokument orientovaný na nasadzujúci subjekt čl. 13: zamýšľaný účel a prípady použitia, výkonnostné charakteristiky a obmedzenia, známe obmedzenia, požiadavky na údržbu a aktualizáciu, povinnosti protokolovania pre nasadzujúce subjekty, kontaktný bod na hlásenie incidentov |
| 12 | Plán post-market monitoringu | Dizajn monitorovacieho systému čl. 72: údaje zozbierané od nasadzujúcich subjektov, frekvencia monitorovacích cyklov, hranice spúšťajúce preskúmanie alebo aktualizáciu, postup hlásenia závažných incidentov (čl. 73), postup spätného zavedenia monitorovacích údajov do riadenia rizík |
| 13 | Popis rozhraní | API a integračné body, formáty vstupných údajov a obmedzenia, formáty výstupov a ich sémantika, integrácia s inými systémami alebo komponentmi, kompatibilita verzií |
| 14 | Harmonizované normy a spoločné špecifikácie | Zoznam aplikovaných harmonizovaných noriem (napr. ISO/IEC 42001:2023, normy EN podľa programu normalizácie nariadenia o AI), prijaté spoločné špecifikácie podľa čl. 41, miera uplatnenia každej normy, akékoľvek odchýlky a ich odôvodnenie |
Praktická poznámka k prvku 4 (trénovacie údaje): Príloha IV nevyžaduje, aby ste datasety verejne zverejňovali alebo predvolene predkladali orgánom. Vyžaduje, aby dokumentácia existovala a mohla byť predložená. Pre proprietárne datasety popis postupov správy údajov, štatistické súhrny a výsledky testovania zaujatosti zvyčajne spĺňajú požiadavku bez zverejnenia komerčne citlivých údajov.
Praktická poznámka k prvku 14 (normy): K polovici roku 2026 je program normalizácie nariadenia o AI stále v pokroku. ISO/IEC 42001 (systémy riadenia AI) je k dispozícii a široko odkazovaný. Poskytovatelia by mali monitorovať európsku normalizačnú prácu podľa CEN/CENELEC JTC 21 a aktualizovať túto sekciu, keď sú harmonizované normy zverejnené v Úradnom vestníku.
EÚ vyhlásenie o zhode (čl. 47)
EÚ vyhlásenie o zhode (EÚ DoC) je samostatný povinný dokument — nie je súčasťou technického spisu, ale odkazuje naň. EÚ DoC je formálne vyhlásenie poskytovateľa, že systém AI spĺňa všetky platné požiadavky nariadenia EÚ o AI.
Platné EÚ DoC musí obsahovať:
- Meno a adresu poskytovateľa (a oprávneného zástupcu, ak je to uplatniteľné)
- Názov systému AI, verziu, sériové číslo alebo číslo dávky, ak je to uplatniteľné
- Vyhlásenie, že systém spĺňa nariadenie EÚ o AI
- Použitý postup posúdenia zhody: Príloha VI (interná kontrola/sebahodnotenie) pre väčšinu systémov Prílohy III alebo Príloha VII (posúdenie treťou stranou notifikovaným orgánom) pre biometrickú kategorizáciu AI a AI používanú v kritickej infraštruktúre vyžadujúcej zapojenie tretej strany
- Zoznam harmonizovaných noriem alebo spoločných špecifikácií, na ktoré sa spoliehalo
- Podpis oprávneného zástupcu poskytovateľa s dátumom a miestom
EÚ DoC musí byť uchovávaný 10 rokov po umiestnení na trh a predložený na požiadanie. Sprevádza označenie CE (pozri nižšie).
Pre systémy AI zabudované do výrobkov Prílohy I môže byť EÚ DoC zlúčený s vyhlásením o zhode požadovaným podľa príslušných sektorových právnych predpisov za predpokladu, že obsahuje všetky prvky požadované oboma právnymi nástrojmi.
Označenie CE (čl. 48)
Vysokorizikové systémy AI umiestnené na trh EÚ musia niesť označenie CE, ktoré signalizuje zhodu s nariadením EÚ o AI a akýmikoľvek inými platnými úniovými harmonizovanými predpismi pokrývajúcimi rovnaký výrobok.
Výnimky: Systémy AI v kategóriách Prílohy III nasadené verejnými orgánmi pre vlastné interné použitie sú oslobodené od požiadaviek označenia CE. Zostávajú predmetom všetkých ostatných povinností — technická dokumentácia, riadenie rizík, ľudský dohľad, registrácia — ale nemusia umiestniť označenie CE.
Označenie CE musí byť umiestnené pred umiestnením systému na trh EÚ. Musí byť viditeľné, čitateľné a nezmazateľné. Kde fyzická povaha systému neumožňuje umiestniť označenie priamo, môže sa objaviť na obale alebo v pokynoch na použitie.
Keď je vysokorizikový systém AI komponentom výrobku Prílohy I, ktorý už vyžaduje označenie CE podľa sektorových právnych predpisov (napr. zdravotnícke pomôcky, strojové zariadenia), označenie CE pokrýva zhodu s oboma sektorovými právnymi predpismi aj nariadením o AI. Poskytovatelia by mali jasne zdokumentovať, ktoré postupy posúdenia zhody sú základom označenia CE.
Praktický kontrolný zoznam: Minimálny životaschopný technický spis
Pred umiestnením akéhokoľvek vysokorizikového systému AI na trh EÚ overte, že týchto 10 položiek je úplných a doložených:
- [ ] Popis systému a kontrola verzií — názov, verzia, zdokumentovaný zamýšľaný účel; existuje záznam o zmenách
- [ ] Diagram architektúry — diagram toku údajov a komponentov zobrazujúci všetky hardvérové, softvérové a prvky tretích strán
- [ ] Inventár trénovacích údajov a záznam správy — datasety katalogizované so zdrojom, veľkosťou, rozdeleniami a zdokumentovanými postupmi kvality údajov
- [ ] Hodnotenie rizík (podľa čl. 9) — identifikované riziká, opatrenia na zmierňovanie a prijaté reziduálne riziká zdokumentované a odsúhlasené
- [ ] Výsledky testovania zaujatosti — zdokumentovaná metodika testovania; výsledky rozčlenené podľa relevantných demografických skupín, kde je to uplatniteľné
- [ ] Metriky presnosti na reprezentatívnom testovacom súbore — metriky výkonu zdokumentované s testovacími podmienkami; definované hranice
- [ ] Dokument postupu ľudského dohľadu — opísané mechanizmy prepísania; zdokumentované požiadavky na operátorov (tréning, kvalifikácia)
- [ ] Hodnotenie kybernetickej bezpečnosti — posúdené známe vektory útokov; zdokumentované technické protiopatrenia
- [ ] Pokyny na používanie (orientované na nasadzujúci subjekt) — dokument čl. 13 úplný vrátane obmedzení, povinností protokolovania a kontaktu na hlásenie incidentov
- [ ] Plán post-market monitoringu — rozsah zberu údajov, frekvencia monitorovania, spúšťače preskúmania a zdokumentovaný postup hlásenia incidentov
Tento kontrolný zoznam pokrýva minimum. Dobre pripravený technický spis pôjde ďalej — najmä na metodiku testovania zaujatosti, karty modelov pre komponentné modely a dôkazy o tom, že proces riadenia rizík je iteratívny a nie jednorazové cvičenie.
Ako to súvisí s Akadémiou nariadenia EÚ o AI
Úroveň Pro Akadémie nariadenia EÚ o AI obsahuje šablóny technickej dokumentácie pripravené na použitie pokrývajúce všetkých 14 prvkov Prílohy IV vrátane:
- Štruktúrovaný zošit XLSX s jednou záložkou na každý prvok Prílohy IV, vopred vyplnený výzvami a príkladmi
- Kostra technického spisu DOCX pripravená na úpravu
- Pracovný hárok hodnotenia rizík podľa iteratívneho procesu čl. 9
- Šablóna záznamu správy údajov pokrývajúca trénovacie, validačné a testovacie datasety
- Šablóna plánu post-market monitoringu zosúladená s čl. 72
Tieto šablóny sú navrhnuté na prispôsobenie pre váš konkrétny systém — sú to počiatočné body s vecným obsahom, nie prázdne formuláre.
Súvisiace stránky:
- Príloha III — Kategórie a povinnosti vysokorizikových systémov AI
- Postupy posúdenia zhody (Príloha VI a VII)
- Akadémia nariadenia EÚ o AI — šablóny a tréning
- Nástroje — Výber posúdenia zhody
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Poskytovateľ vysokorizikového systému AI je výlučne zodpovedný za prípravu a udržiavanie technickej dokumentácie. Nasadzujúce subjekty nie sú povinné ju pripravovať, ale musia uchovávať prístupové protokoly a môžu ich musieť poskytnúť poskytovateľom na účely hlásenia.
Technická dokumentácia musí byť uchovávaná 10 rokov po umiestnení systému AI na trh EÚ alebo uvedení do prevádzky (čl. 18). Pre systémy AI zabudované do výrobkov podliehajúcich legislatíve Prílohy I platí doba uchovávania podľa produktovej legislatívy, ak je dlhšia.
Nie — technická dokumentácia sa centrálne nepodáva. Musí ju uchovávať poskytovateľ a sprístupniť orgánom trhového dohľadu a notifikovaným orgánom na požiadanie. Registrácia v databáze EÚ AI (čl. 71) je povinná, ale úplný technický spis zostáva u poskytovateľa.
Formálny dokument podpísaný poskytovateľom, ktorý uvádza, že systém AI spĺňa požiadavky nariadenia EÚ o AI. Musí obsahovať názov systému, verziu, identitu poskytovateľa, zoznam splnených platných požiadaviek, použitý postup posúdenia zhody a odkaz na príslušné harmonizované normy. Sprevádza označenie CE.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.