Powrót do Bloga Bezpieczeństwo

AI Act w praktyce — co musi wiedzieć każde przedsiębiorstwo wdrażające AI

Zespół ESKOM.AI 2026-04-15 Czas czytania: 8 min

AI Act — nowa rzeczywistość regulacyjna

Unia Europejska jako pierwsza na świecie stworzyła kompleksowe regulacje dotyczące sztucznej inteligencji. Rozporządzenie AI Act weszło w życie w sierpniu 2024 roku i jest stosowane etapowo — pierwsze obowiązki są już wymagalne, kolejne będą wprowadzane w latach 2025-2027. Każde przedsiębiorstwo, które wdraża systemy AI w działalności operacyjnej w UE, musi się z nimi zapoznać.

AI Act nie zakazuje sztucznej inteligencji — reguluje ją na podstawie podejścia opartego na ryzyku. Im wyższe ryzyko, tym surowsze wymagania. Większość zastosowań biznesowych AI mieści się w kategoriach niskiego lub ograniczonego ryzyka, co oznacza stosunkowo lekkie obowiązki. Ale są obszary, gdzie wymagania są bardzo rygorystyczne.

Klasyfikacja ryzyka systemów AI

AI Act dzieli systemy AI na cztery kategorie ryzyka:

  • Ryzyko niedopuszczalne (zakazane) — systemy manipulujące ludzkim zachowaniem poniżej progu świadomości, social scoring przez władze, biometryczny nadzór w czasie rzeczywistym (z wyjątkami). Te systemy są po prostu zakazane.
  • Wysokie ryzyko — AI używana w rekrutacji, kredytowaniu, ochronie zdrowia, edukacji, sprawowaniu wymiaru sprawiedliwości, infrastrukturze krytycznej. Najsurowsze wymagania: dokumentacja, testing, przejrzystość, nadzór ludzki, rejestracja w bazie UE.
  • Ograniczone ryzyko — chatboty, deepfakes, systemy generujące treści. Obowiązek transparentności: użytkownik musi wiedzieć, że rozmawia z AI.
  • Minimalne ryzyko — większość zastosowań AI w biznesie: filtry spamu, rekomendacje produktów, automatyzacja procesów wewnętrznych. Minimalne lub brak obowiązków.

Kim jest dostawca, a kim użytkownik systemu AI?

AI Act rozróżnia dwie kluczowe role. Dostawca (provider) to podmiot, który tworzy i wprowadza do obrotu system AI. Deployer to podmiot, który używa systemu AI w działalności gospodarczej. Obowiązki są różne dla każdej roli — dostawcy mają bardziej rygorystyczne wymagania dotyczące dokumentacji technicznej i certyfikacji.

Firma, która kupuje gotowe rozwiązanie AI od dostawcy i używa go do własnych procesów, jest deployerem. Firma, która dostosowuje lub fine-tunuje model do własnych zastosowań, może stać się dostawcą z wszelkimi tego konsekwencjami.

Obowiązki deployerów systemów wysokiego ryzyka

Jeśli Twoja firma używa systemu AI wysokiego ryzyka (np. system scoringowy w procesie kredytowym, narzędzie do preselekcji CV, system wspomagania diagnostyki medycznej), musisz:

  • Zapewnić nadzór ludzki nad decyzjami systemu AI
  • Prowadzić logi operacyjne przez minimum 6 miesięcy
  • Przeprowadzić ocenę skutków dla praw podstawowych (FRIA)
  • Poinformować pracowników o systemach AI, które ich dotyczą
  • Zgłosić poważne incydenty i usterki do odpowiedniego organu nadzorczego

Sankcje i terminy

Kary za naruszenie AI Act są surowe: do 35 mln EUR lub 7% globalnych obrotów rocznych dla naruszeń dotyczących systemów zakazanych. Do 15 mln EUR lub 3% obrotów za inne naruszenia. Terminy są stopniowane — zakazy dotyczące systemów niedopuszczalnych obowiązują od 2025 roku, wymagania dla systemów wysokiego ryzyka — od 2026-2027 roku.

Jak ESKOM.AI wspiera zgodność z AI Act

ESKOM.AI pomaga organizacjom w przygotowaniu do wymogów AI Act. Oferujemy audyt istniejących systemów AI pod kątem klasyfikacji ryzyka, opracowanie dokumentacji technicznej, wdrożenie mechanizmów nadzoru ludzkiego i logowania, a także szkolenia dla zespołów odpowiedzialnych za compliance. Każde nowe wdrożenie AI w naszym wykonaniu jest projektowane z myślą o zgodności z AI Act od pierwszego dnia.

#AI Act #EU regulation #compliance #risk classification #governance

Powiązane usługi i produkty

Audyt systemów AI
Ciągły monitoring zgodności
Konsulting IT i biznesowy
HybridCrew
Anoxy
Powrót do Bloga