MSP — Vodnik po skladnosti z EU AI Act

Skladnost z EU AI Act za mala in srednje velika podjetja. Določbe za MSP, dostop do peskovnikov, znižane takse in praktične smernice za razvijalce in uvajatelje sistemov AI.

EU AI Act in MSP — dobre novice

EU AI Act (Uredba (EU) 2024/1689) velja za vse organizacije, ki dajejo sisteme AI na trg EU ali jih uporabljajo znotraj njega, ne glede na velikost. Vendar je regulatorna realnost za večino malih in srednje velikih podjetij bistveno manj obremenilna, kot kažejo naslovi v medijih, in sicer iz enega temeljnega razloga: velika večina MSP sisteme AI uporablja, ne pa jih razvija.

MSP, ki se naroči na CRM z vgrajenimi funkcijami AI, uvede klepetalnik ponudnika SaaS ali uporablja programsko opremo za napovedno analizo povpraševanja v oblaku, je po terminologiji EU AI Act uvajatelj — ne ponudnik. Obveznosti uvajatelja so sistematično lažje od obveznosti ponudnika. Ponudniki nosijo pretežni del bremena glede ocene skladnosti, tehnične dokumentacije, oznake CE in registracije. Uvajatelji imajo bolj ciljno usmerjene obveznosti, osredotočene na pravilno uporabo, človeški nadzor in poročanje o incidentih.

Poleg razlikovanja med uvajateljem in ponudnikom EU AI Act vsebuje poseben sveženj določb za MSP, ki zagotavljajo strukturno podporo: prednostni dostop do regulatornih peskovnikov, znižane takse za oceno skladnosti in posebno enotno kontaktno točko na nacionalni ravni. Te določbe odražajo izrecen namen zakonodajalca, da AI Act ne postane nesorazmerna ovira za manjše udeležence na trgu.

Ta vodnik pojasnjuje, kaj EU AI Act v praksi pomeni za MSP — ne glede na to, ali uporabljate orodja AI tretjih oseb, uvajate AI v kontekstih, kjer ste v stiku s strankami, ali sami razvijate in tržite izdelke AI.

Določbe EU AI Act, namenjene MSP

EU AI Act vsebuje štiri določbe, ki se posebej nanašajo na MSP (podjetja, ki izpolnjujejo prag iz Priporočila Komisije 2003/361/ES: manj kot 250 zaposlenih in letni prihodek, ki ne presega 50 milijonov EUR, ali bilančna vsota, ki ne presega 43 milijonov EUR) in na zaganjska podjetja.

Čl. 55 — Prednostni dostop do regulatornih peskovnikov

Čl. 55 določa, da morajo biti regulatorni peskovniki za AI — nadzorovana okolja za razvoj in testiranje AI pred dajanjem na trg — prednostno dostopni za MSP in zaganjska podjetja. Dostop je brezplačen ali podvržen znižanim taksam, udeležene organizacije pa prejemajo neposredne smernice pristojnega organa. Dostop do peskovnika omogoča predhodno identifikacijo tveganj pred nastopom na trgu in regulatorni dialog v zaščitenem okolju, brez posledic neskladnega nastopa na trgu. MSP, ki razvijajo sisteme AI, bi morala udeležbo v peskovniku obravnavati tako kot orodje za zagotovitev skladnosti kot mehanizem za neposredno komuniciranje z nadzornim organom pred lansiranjem izdelka.

Čl. 96 — Znižane takse za oceno skladnosti

Kadar sistem AI z visokim tveganjem zahteva oceno skladnosti s strani tretje osebe prek priglašenega organa (veljavno za sisteme, navedene v Prilogu III, točkah 1, 6 in 7, ter za AI v medicinskih pripomočkih v skladu s čl. 6(1)), čl. 96 od držav članic zahteva, da za mala podjetja določijo znižane takse. Mikropodjetja — tista z manj kot 10 zaposlenimi in letnim prometom ali bilančno vsoto, ki ne presega 2 milijona EUR — so upravičena do še večjih znižanj. Natančni ceniki so določeni na ravni držav članic in se razlikujejo glede na jurisdikcijo; trenutne zneske lahko zagotovi pristojni nacionalni organ za AI ali mreža Enterprise Europe Network.

Čl. 85 — Enotna kontaktna točka

Čl. 85 zavezuje nacionalne nadzorne organe za AI, da vzpostavijo posebno enotno kontaktno točko za MSP. To pomeni, da MSP, ki išče smernice glede obveznosti po AI Act, ni treba krmariti med številnimi regulatornimi oddelki ali usklajevati med razdrobljenimi organi. Enotna kontaktna točka zagotavlja informacije, usmerja poizvedbe k pristojni enoti in olajšuje vloge za peskovnik. Ta določba bistveno zmanjša upravne stroške razumevanja regulatornih obveznosti.

Čl. 9(5) — Sorazmerno upravljanje tveganj

Čl. 9(5) določa, da se sistem upravljanja tveganj, ki se zahteva od ponudnikov sistemov AI z visokim tveganjem, lahko izvaja sorazmerno, upoštevajoč velikost in strukturo organizacije. Za MSP, ki nastopa kot ponudnik sistema z visokim tveganjem, to pomeni, da morajo biti izpolnjene vse vsebinske zahteve sistema upravljanja tveganj, medtem ko je mogoče obliko dokumentacije, kompleksnost postopkov in upravljavsko strukturo prilagoditi dejanski zmogljivosti organizacije — pod pogojem, da to ne ogroža zaščitnih ciljev okvira.

Ali ste ponudnik ali uvajatelj? — Okvir za odločanje za MSP

Najpomembnejša predhoda ugotovitev za vsako MSP, ki se ukvarja z EU AI Act, je, ali nastopa kot ponudnik ali uvajatelj glede vsakega sistema AI, ki ga uporablja ali ponuja.

Ponudnik (čl. 3(3)): Organizacija, ki razvije sistem AI ali naroči razvoj sistema AI in ga da na trg ali v obratovanje pod lastnim imenom ali znamko — za plačilo ali brezplačno. To vključuje MSP, ki:

razvije programski izdelek, ki vključuje AI (vključno z modeli AI, dostopnimi prek API-ja), ter ta izdelek prodaja ali licencira strankam;
interno razvije model ali aplikacijo AI in ga/jo zagotavlja kot storitev končnim uporabnikom zunaj organizacije;
bistveno modificira sistem AI tretje osebe na način, ki spremeni njegov namen uporabe.

Uvajatelj (čl. 3(4)): Organizacija, ki sistem AI uporablja pod lastno pristojnostjo v poklicne namene. To zajema MSP, ki:

se naročijo na izdelke SaaS z vgrajenimi funkcijami AI (CRM, ERP, računovodska programska oprema z AI);
na svoji spletni strani uporablja klepetalnik ali konverzacijski AI tretje osebe;
dostopa do API-jev AI v oblaku (obdelava naravnega jezika, razvrščanje slik, priporočilni sistemi) zgolj za avtomatizacijo notranjih delovnih tokov ali izboljšanje lastnih storitev, brez ponujanja zmogljivosti AI kot lastnosti izdelka tretjim osebam;
nabavlja kadrovsko programsko opremo, orodja za napovedno analizo zalog ali analitiko strank pri zunanjih ponudnikih.

Kritičen mejni primer: MSP, ki vključi zunanji API za AI v lastni izdelek namenjen strankam in to zmogljivost trži kot lastnost svojega izdelka, je ponudnik glede te funkcionalnosti AI — ne zgolj uvajatelj temeljnega API-ja. Pravna oseba, ki določi namen uporabe, nadzoruje uporabniško izkušnjo in da izdelek na trg, nosi obveznosti ponudnika v skladu s čl. 16, ne glede na to, od kod izvira model AI.

Ključne obveznosti uvajatelja za MSP, ki uporabljajo AI tretjih oseb

Za večino MSP — tiste, ki uvajajo orodja AI tretjih oseb in ne razvijajo lastnih — veljajo naslednje obveznosti v skladu z čl. 26 in sorodnimi določbami.

Uporaba sistemov AI v skladu z navodili ponudnika

Uvajatelji smejo sisteme AI z visokim tveganjem uporabljati le v skladu z navodili za uporabo ponudnika, ki jih zagotovi po čl. 13. Uporaba sistema AI za namene, ki presegajo dokumentiran namen uporabe, ali v konfiguracijah, ki jih ponudnik ni validiral, del odgovornosti za skladnost prenese na uvajatelja in lahko razveljavi oceno skladnosti sistema.

Določitev odgovorne osebe za človeški nadzor

Čl. 26(1) od uvajateljev zahteva, da dodelijo odgovornost za nadzor nad AI usposobljeni osebi v organizaciji. Za večino MSP bo to poimensko določena oseba (ni nujno, da je to namenska funkcionarka za skladnost AI), ki razume delovanje sistema, njegove znane omejitve in okoliščine, v katerih je potrebno človeško posredovanje. Ta dodelitev mora biti dokumentirana.

Hramba operativnih zapisov

Kadar sistemi AI z visokim tveganjem samodejno ustvarjajo zapise (čl. 12), jih morajo uvajatelji hraniti za zakonsko zahtevano obdobje — praviloma šest mesecev v skladu z AI Act, razen če sektorsko pravo zahteva daljše hranjenje. Uvajatelji morajo preveriti, da jim pogodba s ponudnikom zagotavlja dostop do zapisov ter potrjuje njihovo obliko in celovitost.

Poročanje o resnih incidentih ponudniku

Čl. 26(5) od uvajateljev zahteva, da ponudnika obvestijo o vsakem resnem incidentu ali okvari, odkritih med uporabo. Kadar je uvajalna organizacija javni organ, se obveznosti obveščanja razširijo na nacionalni nadzorni organ za AI. Za MSP uvajatelje v zasebnem sektorju je primarni kanal neposredno obveščanje ponudnika, ki nato nosi lastne obveznosti obveščanja organa v skladu s čl. 73.

Izvedba ocene učinka na temeljne pravice, kadar je to primerno

Čl. 27 od javnih organov, ki uvajajo AI z visokim tveganjem, zahteva izvedbo ocene učinka na temeljne pravice pred uvajanjem. Za MSP uvajatelje v zasebnem sektorju, ki uvajajo AI z visokim tveganjem — zlasti v kadrovske namene, pri kreditnem ocenjevanju ali v kontekstih odločanja pri stikih s strankami — je priporočena izvedba enakovredne ocene, saj dokazuje skrbnost in bistveno zmanjšuje tveganje uveljavljanja predpisov.

Pregled pogodb s ponudniki

MSP uvajatelji morajo zagotoviti, da pogodbe s ponudniki AI vključujejo: dokumentacijo o skladnosti in navodila za uporabo; potrditev o registraciji v zbirki podatkov EU, kadar je to zahtevano; specifikacijo zmogljivosti beleženja in pravic dostopa; zavezo ponudnika glede obveščanja o incidentih in odpravljanja pomanjkljivosti; ter informacije o obveznostih posodobitve ali spremembe, ki bi lahko vplivale na status skladnosti sistema.

Če razvijate AI — obveznosti MSP kot ponudnika in razpoložljiva podpora

MSP, ki razvijajo in tržijo sisteme AI, so ponudniki in nosijo popolne obveznosti ponudnika v skladu s Poglavjem III za vsak sistem, ki je visoko tvegan. Obseg teh obveznosti je precejšen: sistem upravljanja kakovosti (čl. 17), tehnična dokumentacija v skladu s Prilogo IV, upravljanje podatkov v skladu s čl. 10, beleženje v skladu s čl. 12, zahteve glede preglednosti v skladu s čl. 13, oblikovanje človekovega nadzora v skladu s čl. 14 ter standardi točnosti in zanesljivosti v skladu s čl. 15. Za sisteme iz Priloge III, ki zahtevajo oceno priglašenega organa, postopek ugotavljanja skladnosti sledi čl. 43.

Praktično izhodišče za MSP kot ponudnika je ugotavljanje razvrstitve tveganja:

Ali sistem AI zajema čl. 5 (prepovedane prakse)? Če da, je treba razvoj ustaviti ali temeljito prestrukturirati pred kakršno koli tržno dejavnostjo.
Ali sistem izpolnjuje pogoje za visoko tvegan sistem v skladu s čl. 6(1) (varnostna komponenta reguliranega izdelka) ali Prilogo III (navedena področja uporabe, vključno z biometričnim prepoznavanjem, kritično infrastrukturo, izobraževanjem, zaposlovanjem, bistvenimi storitvami, kazenskim preganjanjem, migracijami, pravosodje)?
Ali sistem izpolnjuje pogoje zgolj za model AI splošnega namena, ki ga urejajo čl. 51–56, brez razvrstitve med visoko tvegane?
Ali za sistem veljajo zgolj obveznosti preglednosti iz čl. 50 (prepoznavanje čustev, globoki ponaredki, klepetalniki)?

Za MSP, katerih sistemi ne spadajo med sisteme z visokim tveganjem ali prepovedane, je zagotavljanje skladnosti bistveno lažje: razkritja v skladu z obveznostjo preglednosti iz čl. 50, usklajenost z GDPR in sektorske obveznosti v skladu z veljavnim nacionalnim pravom ali pravom EU.

Za MSP, ki razvijajo AI z visokim tveganjem, je regulatorni peskovnik iz čl. 55 najpomembnejše razpoložljivo orodje. Udeležba v peskovniku omogoča preizkušanje pred nastopom na trgu pod regulatornim nadzorom, zagotavlja dokumentiran dokaz prizadevanj za dobroverno zagotovitev skladnosti in lahko opredeli korektivne ukrepe, preden postanejo predmet uveljavljanja predpisov. Vloge se oddajo pri nacionalni enotni kontaktni točki (čl. 85).

Praktični koraki za zagotovitev skladnosti MSP

Korak 1 — Popis vseh sistemov AI v uporabi ali razvoju. Navedite vsa orodja AI, izdelke SaaS, API-je v oblaku in interno razvite modele. Za vsakega zabeležite ponudnika, funkcijo in ali MSP nastopa kot ponudnik ali uvajatelj.

Korak 2 — Razvrstite vsak sistem po kategoriji tveganja. Na vsak sistem uporabite okvir čl. 5 / čl. 6 / Prilog III / čl. 50. Kadar je razvrstitev negotova, poiščite smernice pri enotni kontaktni točki iz čl. 85.

Korak 3 — Za vloge uvajatelja: preverite pogodbe s ponudniki. Preverite, ali je vsak ponudnik AI zagotovil dokumentacijo, zahtevano v skladu s čl. 13, in ali pogodba ureja beleženje, obveščanje o incidentih in obveznosti posodobitev. Pomanjkljivosti označite za pogajanja.

Korak 4 — Za vloge ponudnika: sprožite postopek ugotavljanja skladnosti. Ugotovite, ali vaš sistem AI z visokim tveganjem zahteva samooceno (čl. 43(2)) ali oceno priglašenega organa (čl. 43(1)). Vložite vlogo za dostop do peskovnika v skladu s čl. 55, če je sistem v razvoju. Zgodaj stopite v stik s priglašenim organom, da razjasnite časovne in finančne posledice, pri čemer upoštevajte svojo upravičenost do znižanih taks za MSP v skladu s čl. 96.

Korak 5 — Izvedite obveznosti uvajatelja iz čl. 26 za vse sisteme z visokim tveganjem. Določite nadzorne osebe, dokumentirajte njihove odgovornosti, preverite postopke hrambe zapisov in potrdite kanale za obveščanje o incidentih.

Korak 6 — Vzpostavite cikel pregledov v skladu z AI Act. EU AI Act je živ okvir. Določite odgovorno osebo za spremljanje smernic Urada EU za AI, posodobitev nacionalnih organov in sprememb razvrstitev v Prilogu III. Načrtujte letni notranji pregled popisa sistemov in statusa skladnosti.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Ali smo kot MSP, ki v svojem izdelku uporablja OpenAI API, ponudnik po AI Act?

Da. Če vaše MSP v izdelek ali storitev integrira model AI tretje osebe (tudi prek API-ja) in ga daje na trg ali v obratovanje pod lastnim imenom ali znamko, ste razvrščeni kot **ponudnik** v skladu z **čl. 3(3)** EU AI Act. To velja ne glede na to, ali je temeljni model razvilo drugo podjetje. Obveznosti ponudnika — vključno s tehnično dokumentacijo, oceno skladnosti, oznako CE (za sisteme z visokim tveganjem) in registracijo — so vaša odgovornost. Kadar ponudnik temeljnega modela zagotovi dokumentacijo o skladnosti in navodila za uporabo, ti dokumenti podpirajo vaša prizadevanja za zagotovitev skladnosti, vendar je ne nadomeščajo. Čl. 55 in čl. 96 vsebujeta podporne mehanizme za MSP za lažje izpolnjevanje obveznosti.

Ali mora klepetalnik na spletni strani našega MSP ustrezati zahtevam EU AI Act?

Odvisno od dveh dejavnikov: narave klepetalnika in njegovih funkcij. Prvič, če je klepetalnik **sistem, ki temelji na umetni inteligenci splošnega namena** in komunicira z uporabniki, mora izpolnjevati **obveznost preglednosti iz čl. 50**: uporabnike je treba obvestiti, da komunicirajo s sistemom AI, razen če je to iz konteksta razvidno. Drugič, če klepetalnik opravlja funkcije, ki se štejejo za visoko tvegane — na primer pregleduje kandidate za delovna mesta, ocenjuje kreditno sposobnost ali sprejema odločitve s pravnimi ali pomembnimi osebnimi učinki — veljajo dodatne obveznosti za sisteme z visokim tveganjem. Preprost klepetalnik za pogosto zastavljena vprašanja ali navigacijo po izdelkih, ki deluje prek ponudnika SaaS tretje osebe (kjer ste vi uvajatelj), v prvi vrsti sproži zahtevo po preglednosti iz čl. 50 in obveznosti uvajatelja iz čl. 26, zlasti pravilno uporabo v skladu z navodili in obveščanje o incidentih.

Kaj je regulatorni peskovnik za AI in kako mu lahko naš zagonski podjem dostopa?

**Regulatorni peskovnik za AI** je nadzorovano testno okolje, ki ga vzpostavijo nacionalni nadzorni organi za AI, v katerem ponudniki AI — vključno z zaganjskimi podjetji in MSP — smejo razvijati, testirati in potrjevati sisteme AI pred dajanjem na trg ob neposrednem regulatornem usmerjanju. Peskovniki so urejeni z **čl. 57–63** EU AI Act. **Čl. 55 daje MSP in zaganjskim podjetjem prednostni dostop**, udeležba pa je brezplačna ali podvržena znižanim taksam. Vloge se oddajo neposredno pri nacionalnem organu, pristojnem za AI Act v vaši državi članici. V okviru peskovnika lahko organ odobri omejene izjeme od posameznih zahtev za namen dejanskega testiranja; vsak izdelek, ki je po koncu obdobja peskovnika dan na trg, mora naknadno izpolnjevati vse veljavne obveznosti. Za pridobitev postopkov vlaganja vloge se obrnite na enotno kontaktno točko za MSP v vaši državi (**čl. 85**).

Ali moramo registrirati naš sistem AI v zbirki podatkov EU?

Registracija v **zbirki podatkov EU za sisteme AI z visokim tveganjem** v skladu s **čl. 49** je obvezna le, če je vaš sistem razvrščen kot **visoko tvegan** po čl. 6 ali Prilogu III. Ponudniki sistemov z visokim tveganjem morajo opraviti registracijo pred dajanjem na trg; javni organi, ki so uvajatelji, morajo registracijo opraviti pred začetkom uporabe. Večina MSP, ki uvajajo sisteme AI tretjih oseb (kot potrošniki SaaS ali API), ne potrebuje registracije — ta obveznost je na strani ponudnika. Če je vaše MSP ponudnik sistema AI z visokim tveganjem, je registracija obvezna ne glede na velikost podjetja, čeprav podporne določbe čl. 55 in 96 zmanjšujejo s tem povezane stroške in postopkovno kompleksnost. Zbirka podatkov je javno dostopna in jo upravlja Urad EU za AI.

Katere dokumente naj zahtevamo od ponudnika AI pred uvajanjem njihovega sistema?

Pred uvajanjem sistema AI tretje osebe, zlasti takega, ki je morda visoko tvegan, bi vaše MSP moralo pogodbeno zahtevati in pridobiti: (1) **Izjavo o skladnosti EU** ali enakovredno dokumentacijo o skladnosti; (2) **navodila za uporabo** v skladu s čl. 13, vključno z namenom uporabe, poznanimi omejitvami in zahtevami za človeški nadzor; (3) potrditev, da je bil sistem **registriran v zbirki podatkov EU**, kadar je to zahtevano; (4) informacije o **zmožnostih beleženja** sistema in možnosti dostopa do zapisov ali njihovega pridobivanja; (5) **postopke ponudnika za obveščanje o incidentih** in njihove obveznosti, da vas obvestijo o okvarah ali posodobitvah, ki vplivajo na skladnost; ter (6) informacije o **lastnostih obdelave podatkov** sistema, ki so relevantne za vaše obveznosti po GDPR. Odsotnost teh dokumentov pri ponudniku, ki ponuja sistem AI na občutljivem področju, pomeni materialno tveganje za skladnost.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.