90 % organizacij, ki UI uporabljajo, so izvajalci, ki integrirajo modele tretjih oseb — OpenAI, Anthropic, Azure AI ali orodja UI SaaS. Razumejte svoje obveznosti: kaj vam mora ponudnik zagotoviti, kaj morate storiti vi in kdaj postanete ponudnik sami.
Realnost UI tretjih oseb: Večina organizacij je izvajalcev
Večina evropskih organizacij, ki UI използajo, niso OpenAI, Mistral ali raziskovalni laboratorij. Integrirajo obstoječe modele — prek API-ja, platforme SaaS, komponente Azure AI ali vtičnika za poslovna orodja. Salesforce Einstein, Copilot za Microsoft 365, klepetalnik HR, ki ga poganja veliki jezikovni model, rešitev kreditnega točkovanja, kupljena pri specializiranem dobavitelju: v vseh teh primerih ste izvajalec sistema UI, ki ga je zgradil nekdo drug.
To mesto zaseda velika večina organizacij, ki jih zajema Akt EU o UI. Nosi natančne obveznosti — drugačne od tistih ponudnika, toda ne zanemarljive. Razvijati se može tudi: če sistem modificirate ali ga preprodajate, se vaš pravni status spremeni.
Razumevanje vašega položaja v vrednostni verigi UI je prvi korak pri vsaki prizadevanju za skladnost.
Vaše obveznosti kot izvajalec
Obveznosti izvajalca se razlikujejo glede na raven tveganja sistema UI, ki ga используate.
Za visokotveganostne sisteme UI (Annex III)
Če uvajate sistem UI tretje stranke, ki se kvalificira kot visokotveganostni (ocenjevanje kreditne sposobnosti, biometrična identifikacija, presejanje za rekrutiranje, upravljanje kritične infrastrukture itd.), so vaše obveznosti po čl. 26:
1. Sledite navodilom za uporabo Sistem используajte samo za predvideni namen in v skladu z navodili, ki jih je dobaviti ponudnik. Използanje visokotveganostnega sistema UI zunaj validiranega obsega je napaka skladnosti, četudi ste samo izvajalec.
2. Dodelite človeški nadzor Imenujte naravno osebo s kompetentnostjo, pooblastili in viri za smiselni človeški nadzor nad izhodi sistema UI. Ta oseba mora biti sposobna razumeti, kaj sistem počne, zaznati anomalije in preglasiti ali zaustaviti sistem, ko je to potrebno.
3. Zagotovite kakovost vhodnih podatkov Zagotovite, da so podatki, ki jih vnesete v sistem, relevantni, zadostno reprezentativni in ustrezni za predvideni namen v vašem specifičnem kontekstu uvajanja. Sistem, validiran na eni populaciji, se morda na vaši obnaša drugače — to je vaše tveganje za upravljanje.
4. Nadzorujte delovanje in zaznajte anomalije Aktivno nadzorujte delovanje sistema za anomalije, nepričakovane izhode ali poslabšanje zmogljivosti. To ni odgovornost ponudnika pri uvajanju — je vaša.
5. Hranite dnevnike Aktivirajte in hranite samodejne dnevnike, ki jih sistem ustvari, za obdobje, ki ga zahteva Akt (in morebitna sektorska uredba, ki se morda nanaša). Ne izklopite beleženja za prihranek stroškov shranjevanja.
6. Poročajte o resnih incidentih Če se zavedete resnega incidenta ali okvare — ki je povzročila ali bi lahko povzročila smrt, resno škodo, kršitve temeljnih pravic ali znatno škodo lastnine — ponudniku takoj brez nepotrebnega odlašanja sporočite. V nekaterih primerih (zlasti kjer uvajanje vključuje javno dostopne storitve ali dejavnosti, primerljive s kazenskim pregonom) bo morda zahtevano tudi neposredno poročanje nacionalnemu organu za nadzor trga.
7. Ocena vpliva na temeljne pravice (javni organi) Če ste javni organ ali zasebni subjekt, ki uvajalci sisteme UI na področjih, ki bi verjetno vplivala na temeljne pravice (zdravje, socialne storitve, izobraževanje, kazenski pregon), morate pred uvajanjem opraviti Oceno vpliva na temeljne pravice (čl. 27).
Za sisteme UI samo s preglednostjo (čl. 50)
Če uvajalci klepetalnik, sistem vsebine, ustvarjene z UI, ali orodje za prepoznavanje čustev, ki ni visokotveganostni, toda spada pod obveznosti preglednosti čl. 50, morate:
- Obvestiti uporabnike, da komunicirajo s sistemom UI (čl. 50(1))
- Zagotoviti, da je vsebina, ustvarjena z UI, tehniško označena (čl. 50(4)), kjer je primerno
- Obvestiti izpostavljene osebe, ko se useaja prepoznavanje čustev ali biometrična kategorizacija (čl. 50(2)–(3))
Te obveznosti se nanašajo celo pri используanju API-ja ali orodja SaaS tretje stranke. Ponudnik je odgovoren za vgraditev tehniške zmogljivosti; vi ste odgovorni za njeno aktiviranje in zagotovitev, da razkritje dejansko doseže uporabnike.
Za sisteme UI z minimalnim tveganjem
Brez posebnih pravnih obveznosti po Aktu o UI. Nanašajo se prostovoljni kodeksi ravnanja. Dobra praksa upravljanja vseeno priporoča osnovno dokumentacijo sistemov UI v uporabi in periodični pregled njihove zmogljivosti.
Kaj zahtevati od ponudnika UI tretje stranke
Vaša sposobnost izpolnjevanja obveznosti izvajalca je neposredno odvisna od tega, kar vam dá ponudnik. Akt EU o UI od ponudnikov visokotveganostnih sistemov UI zahteva zagotavljanje specifičnih informacij — in ponudniki modelov GPAI imajo vzporedne obveznosti dokumentacije. Ko nabavljate UI tretjih oseb, используajte ta kontrolni seznam:
Za kateri koli sistem UI
- Opis sistema: Kaj sistem počne, kakšne vnose sprejema, kakšne izhode ustvarja in katere odločitve poate vplivati?
- Predvideni namen: Za katere primere uporabe je bil sistem točno zasnovan, validiran in odobren?
- Znane omejitve: Pod kakšnimi pogoji sistem slabo deluje? Katere populacije, jeziki ali vrste podatkov so zunaj validiranega obsega?
- Navodila za uporabo: Celoten nabor navodil, ki jih je ponudnik po čl. 13 dolžan zagotoviti za visokotveganostne sisteme
Posebej za visokotveganostne sisteme
- Izjava o skladnosti ali povzetek rezultatov ugotavljanja skladnosti
- Dokumentacija upravljanja tveganj — katere so bile identificirane nevarnosti in kako so bile ublažene?
- Rezultati preizkušanja pristranskosti in poštenosti — katere zaščitene karakteristike so bile preizkušene, katera merila so bila useana in kakšni so bili rezultati?
- Merila zmogljivosti — točnost, stopnje lažno pozitivnih/negativnih in razdeljena zmogljivost po relevantnih demografskih skupinah
- Zmogljivost beleženja — potrditev, da sistem ustvari dnevnike, ki jih zahteva čl. 12, in navodila za dostop do njih in njihovo hranjenje
- Postopek obvestila o incidentih — na koga se obrniti, v kakšnem roku in po kakšnem kanalu, ko nastopi resni incident
- Politika posodobitev — kako vas ponudnik obvesti o materialnih posodobitvah in kakšna ponovna validacija je zahtevana po posodobitvah?
Za modele GPAI (API-ji in dostop do temeljnih modelov)
- Kartica modela ali tehnični povzetek — zmogljivosti, omejitve, povzetek podatkov za usposabljanje, rezultati vrednotenja
- Izjava o skladnosti z avtorskimi pravicami — kako ponudnik obravnava zakonodajo o avtorskih pravicah za podatke za usposabljanje in izhode?
- Politika sprejemljive useaba — katere primere uporabe ponudnik prepoveduje in kaj se zgodi, če jo kršite?
- Pogoji obdelave podatkov — kako ponudnik obravnava vaše vhodne podatke? Ali se useajo za nadaljnje usposabljanje?
Ko postanete ponudnik
Čl. 25 Akta EU o UI je ključen za используevalce UI tretjih oseb: opredeljuje, kdaj izvajalec preide v ponudnika in prevzame vse obveznosti ponudnika.
Postanete ponudnik, ko:
1. Bistveno modificirate visokotveganostni sistem UI
Če vzamete visokotveganostni sistem UI in naredite bistvene spremembe, ki presegajo to, kar je ponudnik nameraval — spremeniti model, ga znova usposabljati na vaših podatkih, spremeniti temeljno logiko — ste zdaj ponudnik novega ali bistveno modificiranega sistema. Nanašajo se vse obveznosti ponudnika: ugotavljanje skladnosti, tehnična dokumentacija, oznaka CE, registracija v bazi podatkov EU.
Ključno vprašanje: Ali je vaša prilagoditev "useaba znotraj predvidenih parametrov" ali "razvoj nove zmogljivosti"? Fino nastavljanje modela na vaših domenskih podatkih je morda ali ne bistvena modifikacija, odvisno od stopnje spremembe in tega, ali vpliva na profil tveganja.
2. Spremenite predvideni namen na visokotveganostni
Če vzamete sistem, ki ni klasificiran kot visokotveganostni, in ga uvajate za primer visokotveganostne useabe — na primer useate splošni klasifikator besedila za sprejemanje odločitev o zaposlitvi — ste spremenili predvideni namen na način, ki sproži klasifikacijo visokotveganostnih. Postanete ponudnik visokotveganostnega sistema UI in morate izpolnjevati vse obveznosti ponudnika za to uvajanje.
3. Sistem date na trg pod lastnim imenom
Če kupite ali licencirate sistem UI in ga preprodajate ali ponujate drugim kot lasten produkt (bela oznaka), ga date na trg pod lastnim imenom in postanete ponudnik. To je pogosto v sektorju SaaS: integracija modela tretje stranke v lasten ponudba produktov vas naredi ponudnika za ta produkt.
4. Naredite večje spremembe modela GPAI
Če vzamete model GPAI in naredite večje spremembe njegovih zmogljivosti ali primera useabe — ki presegajo fino nastavljanje znotraj predvidenih parametrov ponudnika — postanete morda ponudnik novega modela GPAI z lastnimi obveznostmi Poglavja V.
Pogodbene zaščite za izvajalce
Ker vaša skladnost je odvisna od tega, kar vam dá ponudnik, so vaše pogodbe z dobavitelji UI tretjih oseb ključno orodje za skladnost. Ključne klavzule za vključitev:
Informacijske pravice
- Pravica do prejema in redno posodobljene različice navodil za useabo
- Pravica do dostopa do izjave o skladnosti in povzetka ugotavljanja skladnosti
- Pravica do prejema rezultatov preizkušanja pristranskosti in meril zmogljivosti
- Pravica do prejema dokumentacije o materialnih posodobitvah modela pred uvajanjem
Upravljanje incidentov
- Obveznost ponudnika, da vas obvesti o vseh resnih incidentih ali ranljivostih, ki se jih zave, v določenem roku
- Jasen kanal in postopek, da poročate incidente ponudniku
- Zaveza ponudnika za sodelovanje pri vaših preiskavah incidentov in regulativnih poizvedbah
Pravice revizije
- Pravica do revizije ali do prejema poročil o reviziji glede skladnosti ponudnika z obveznostmi Akta o UI
- Pravica do zahteve posodobljene dokumentacije, ko nastopijo bistvene spremembe
Obveznosti posodobitev
- Ponudnik vas mora obvestiti pred uvajanjem materialnih posodobitev sistema UI
- Ponudnik mora posvetovati, ali posodobitev sestavlja bistveno modifikacijo, ki zahteva ponovno validacijo
- Kontinuiteta dokumentacije — posodobljena tehnična dokumentacija mora biti zagotovljena z vsako materialno posodobitvijo
Dodelitev odgovornosti
- Jasnost o tem, katera stranka je odgovorna za katere obveznosti po čl. 25
- Odškodnina za izgube, ki izhajajo iz neskladnosti ponudnika z dobaviteljskimi obveznostmi
- Določbe o omejitvi odgovornosti, ki ne ogrožajo vaše sposobnosti izpolnjevanja regulativnih obveznosti
Trg UI dobaviteljev: Kaj opazovati
Trg za orodja in storitve UI se hitro razvija, in stanje skladnosti z Aktom EU o UI dobaviteljev se znatno razlikuje:
- Veliki ponudniki oblaka in UI (Microsoft, Google, AWS, OpenAI, Anthropic) so znatno vlagali v upravljanje UI in dokumentacijo za skladnost GPAI. Njihovi pogoji storitve in kartice modelov zagotavljajo več informacij kot večina других dobaviteljev.
- Specializirani vertikalni dobavitelji UI (HR tehnologija, pravna tehnologija, finančna tehnologija, zdravstvena tehnologija) so na različnih stopnjah pripravljenosti na Akt EU o UI. Mnogi so MSP, ki še niso v celoti kartirali svojih obveznosti.
- Vgrajena UI v orodja SaaS (funkcije UI v CRM, ERP, orodjih za produktivnost) morda niso tržena kot "produkti UI" — toda če sprejemajo ali vplivajo na posledične odločitve o posameznikih, se nanašajo obveznosti Akta EU o UI.
Nabavne ekipe bi morale presejanje za skladnost z Aktom EU o UI dodati k skrbnosti pri pregledovanju dobaviteljev — od dobaviteljev zahtevati, da potrdijo status skladnosti, zagotovijo dokumentacijo ugotavljanja skladnosti za visokotveganostne sisteme in se zavežejo tekočemu deljenju informacij, ko se regulativna pokrajina razvija.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da, kot izvajalci. Ponudnik API-ja (OpenAI, Anthropic) je ponudnik modela GPAI in nosi obveznosti GPAI. Če na njihovem API-ju zgradite aplikacijo in jo naredite dostopno uporabnikom, postanete ponudnik te aplikacije (sistema UI). Imate obveznosti izvajalca do temeljnega modela GPAI in obveznosti ponudnika za lasten sistem UI.
Za visokotveganostne sisteme UI: prodajalec (kot ponudnik) mora zagotoviti navodila za uporabo (čl. 13) in povzetek ugotavljanja skladnosti ali izjave o skladnosti. Za modele GPAI: ponudniki morajo zagotoviti tehnično dokumentacijo in informacije, potrebne za spodnjo skladnost. Pogodbeno zahtevajte: opis sistema, znane omejitve, rezultate preizkušanja pristranskosti, merila zmogljivosti in postopke poročanja o incidentih.
Pogodbeno je mogoče dodeliti odgovornost med strankami — toda regulativne odgovornosti ni mogoče pogodbeno prenesti. Če uvajate visokotveganostni sistem UI, imate obveznosti izvajalca ne glede na vaš dogovor. Pogodbe use za zagotovitev, da vam ponudnik da, kar potrebujete za izpolnitev vaših obveznosti, ne za izognitev.
Akt EU o UI se nanaša na sisteme UI, dane na evropski trg, ne glede na to, kje je ponudnik ustanovljen. Ponudniki zunaj EU morajo v EU imenovati pooblaščenega zastopnika (čl. 22), ki ima enake pravne obveznosti kot ponudnik, ustanovljen v EU. Preden uvajate njihov sistem UI, preverite, ali ima prodajalec pooblaščenega zastopnika.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.