Главная страница категории

Тендерное сопровождение по 44-ФЗ и 223-ФЗ: подготовка документов, аккредитация на ЭТП и участие в закупках.

Перейти на страницу

EU AI Act: требования к производителям ИИ-систем и высокорисковым приложениям

Регламент ЕС 2024/1689 об искусственном интеллекте (EU Artificial Intelligence Act, EU AI Act) — первый в мире всесторонний горизонтальный регуляторный акт об ИИ — был опубликован в Официальном журнале ЕС 12 июля 2024 года и вступает в силу поэтапно: с 2 августа 2025 года применяются запреты на ИИ-системы неприемлемого риска; с 2 августа 2026 года — требования к ИИ-системам общего назначения (GPAI) и к поставщикам высокорисковых систем Приложения I; с 2 августа 2027 года — полное применение ко всем высокорисковым системам Приложений II и III. AI Act применяется ко всем поставщикам ИИ-систем, размещающим системы на рынке ЕС или вводящим их в эксплуатацию в ЕС, независимо от их местонахождения — то есть российские, американские, китайские и любые другие производители ИИ, чьи системы используются в ЕС, подпадают под его действие. Регламент строится на риск-ориентированном подходе с четырьмя уровнями: запрещённые практики (Prohibited AI Practices, Ст. 5); высокорисковые ИИ-системы (High-Risk AI Systems, Ст. 6–51); ИИ-системы с ограниченным риском (Limited Risk, Ст. 50); ИИ-системы с минимальным риском (Minimal Risk, без специальных обязательств). Для высокорисковых систем установлены обязательные требования: управление рисками, качество данных, техническая документация, протоколирование событий, прозрачность, надзор человека, точность и надёжность. GPAI-модели (General Purpose AI Models — модели общего назначения, включая крупные языковые модели типа GPT) подпадают под отдельный режим Ст. 51–56 с особыми требованиями для системных рисков. Нарушение запретов: штраф до €35 млн или 7% мирового годового оборота; нарушение требований к высокорисковым системам: до €15 млн или 3%; дезинформация регулятора: до €7,5 млн или 1%.

🚫
Запрещено с авг.2025
Ст. 5 EU AI Act: запрещённые практики — неприемлемый риск; социальный скоринг государственными органами; биометрическая идентификация в реальном времени в публичных местах (с исключениями); манипулятивные подсознательные системы
⚠️
Высокий риск
Ст. 6 + Приложения I и III: биометрия, критическая инфраструктура, образование, трудоустройство, доступ к услугам, правоохранение, миграция, правосудие; обязательная CE-маркировка и оценка соответствия; полный пакет требований
💬
Ограниченный риск
Ст. 50: обязательство информировать пользователей о взаимодействии с ИИ; чат-боты, синтетические голоса, deepfake-контент; уведомление об искусственном происхождении контента; добровольные кодексы поведения
GPAI — с авг.2025
Ст. 51–56: ИИ-модели общего назначения (GPT, Gemini, Claude и аналоги); базовые обязательства для всех; дополнительные — для систем с «системным риском» (>10²⁵ FLOP); регуляторные «песочницы» и EU AI Office

Четыре уровня риска EU AI Act: что входит в каждый

ЗАПРЕЩЕНО
Неприемлемый риск
Ст. 5 — Применяется с 2 августа 2025
Системы манипулирования подсознанием: методы, воздействующие на поведение без осознания пользователем, причиняя вред
Эксплуатация уязвимостей: возраст, инвалидность, социальное положение для манипулирования поведением
Социальный скоринг государственными органами: оценка физических лиц на основе поведения для дифференцированного обращения
Биометрическая идентификация «в реальном времени» в публичных местах для целей правоохранения (с исключениями для экстренных ситуаций)
Системы инференции эмоций на рабочем месте и в учебных заведениях (без медицинских/безопасностных целей)
Предиктивная полицейская деятельность на основе профилирования личности
Биометрическая категоризация по расе, политическим взглядам, религии из публично доступных источников
ВЫСОКИЙ РИСК
High-Risk AI Systems
Ст. 6 + Приложение III — Полное применение с авг.2026–2027
Приложение III (8 областей): биометрическая идентификация и категоризация (кроме верификации); компоненты безопасности критической инфраструктуры
Образование: системы принятия решений о доступе, оценке, управлении учащимися
Занятость: рекрутинговые системы, управление производительностью, оценка для повышения/увольнения
Доступ к услугам: кредитный скоринг, страховые расчёты, приоритизация экстренных служб
Правоохранение: оценка риска рецидива, детекция лжи, предиктивная аналитика
Миграция: рискованность, визы, решения об убежище, аутентификация документов
Отправление правосудия: поддержка судебных решений, принятие правовых решений
Приложение I: ИИ-системы, уже регулируемые отраслевым законодательством ЕС (медизделия, авиация, авто)
ОГРАНИЧЕННЫЙ РИСК
Limited Risk
Ст. 50 — Обязательства прозрачности
Чат-боты (Ст. 50(1)): если пользователь взаимодействует с ИИ-системой, которая выглядит как человек — обязательно уведомить, что это ИИ; исключение: очевидный контекст (художественные произведения, сатира)
Deepfake-контент (Ст. 50(4)): синтетические аудио, видео, изображения людей — обязательная маркировка машиночитаемыми метаданными + явное раскрытие для пользователей
Системы распознавания эмоций (Ст. 50(3)): уведомить человека об использовании системы распознавания эмоций при взаимодействии с ним
ИИ-генерируемый текст о публичных делах (Ст. 50(5)): маркировка AI-генерированного контента при публикации
Добровольные кодексы поведения и добровольная CE-маркировка приветствуются для продуктов с минимальным риском
МИНИМАЛЬНЫЙ РИСК
Minimal / No Risk
Нет специальных обязательств — добровольные меры
Абсолютное большинство ИИ-приложений: спам-фильтры, рекомендательные алгоритмы, AI-инструменты для игр, промышленная автоматизация без компонентов безопасности
ИИ-системы для научных исследований и разработки — вне сферы применения AI Act пока не выводятся на рынок или в эксплуатацию
Чисто военные и оборонные ИИ-системы: вне сферы применения AI Act (регулируются отдельно)
ИИ для исключительно личного некоммерческого использования: вне сферы применения
Комиссия ЕС разрабатывает добровольные кодексы поведения для минимального риска с рекомендациями по лучшим практикам

Схема обязательств поставщиков ИИ по уровням риска

EU AI Act: путь соответствия для поставщика ИИ-системы 🔍 Шаг 1: Классификация Является ли система «ИИ-системой» по Ст. 3? Запрещённая? (Ст. 5) Высокорисковая? (Ст. 6) Прозрачность? (Ст. 50) GPAI-модель? (Ст. 51) Определить роль: поставщик / оператор 📋 Шаг 2: Требования Управление рисками (Ст. 9) Данные/управление (Ст. 10) Тех. документация (Ст. 11) Протоколирование (Ст. 12) Прозрачность (Ст. 13) Надзор человека (Ст. 14) Точность (Ст. 15) Для высокорисковых систем 🏛️ Шаг 3: Conformity Самооценка (Annex IX) ИЛИ Нотифицированный орган (NB) для биометрии (Пр. I) Декларация соответствия (DoC) CE-маркировка Реестр ЕС (EUAI DB) 🌍 Шаг 4: Рынок ЕС Регистрация в EU DB Пострыночный надзор Инциденты → NCA Обновление тех. докум. Мониторинг систем Уведомление о серьёзных инцидентах Надзор NCA / EU AI Office ⚡ Штрафы Ст. 5 запреты: €35M / 7% Ст. 6–51: €15M / 3% оборота компании EU AI Office — надзорный орган для GPAI-моделей; NCA (National Competent Authorities) — надзор за высокорисковыми системами

Матрица требований к высокорисковым ИИ-системам (Ст. 9–15)

Требование / статья AI Act Содержание требования Применяется к Ключевые элементы / практика
🔐 Требования к высокорисковым ИИ-системам (Ст. 9–15)
Система управления рисками (Ст. 9) Обязательна; непрерывный итерационный процесс на протяжении всего жизненного цикла ИИ-системы; выявление, анализ, оценка и управление рисками Все высокорисковые ИИ-системы (Приложения I и III) Анализ известных и разумно предсказуемых рисков; оценка рисков при нормальном использовании и разумно предсказуемом ненадлежащем использовании; меры снижения рисков; протоколирование процесса управления рисками; тестирование системы для выявления остаточных рисков; особое внимание уязвимым группам
Управление данными (Ст. 10) Обязательно; требования к обучающим, валидационным и тестовым данным; надлежащие практики управления данными Все высокорисковые ИИ-системы, задействующие обучение на данных Данные: релевантные, репрезентативные, достаточные, свободные от ошибок (насколько возможно); проверка: возможные смещения (bias) в данных, способные влиять на здоровье, безопасность, основные права; процессы сбора, обработки, маркировки данных; для чувствительных категорий данных (биометрия, здоровье) — особые гарантии; меры по предотвращению дискриминации
Техническая документация (Ст. 11 + Приложение IV) Обязательна; до размещения на рынке или введения в эксплуатацию; содержание по Приложению IV; хранить 10 лет Все высокорисковые ИИ-системы; GPAI-модели Общее описание системы и её назначения; описание компонентов и процессов разработки; информация об обучающих данных; результаты тестирования и валидации; метрики точности и надёжности; кибербезопасностные меры; описание системы управления рисками; декларация соответствия; инструкции по использованию; для GPAI: информация об архитектуре, параметрах, обучении
Протоколирование событий / Logs (Ст. 12) Обязательно; автоматическое протоколирование событий на протяжении жизненного цикла; обеспечение трассируемости Все высокорисковые ИИ-системы; повышенные требования для систем правоохранения и миграции Логи: идентификация системы; период работы; справочные базы данных, использованные при проверке; входные данные (если применимо); идентификация физических лиц, участвовавших в верификации результатов; для систем правоохранения: логи должны храниться в соответствии с применимым национальным правом о хранении данных
Прозрачность и информирование (Ст. 13) Обязательна; инструкции по использованию; понятность для операторов и лиц, на которых воздействует система Все высокорисковые ИИ-системы; дополнительные обязательства по Ст. 50 для limited risk Инструкции по использованию: идентификация и версия системы; назначение и области применения; уровень точности, надёжности, кибербезопасности; известные ограничения; меры надзора человека; требования к аппаратному и программному обеспечению; ожидаемый срок службы; контактные данные поставщика
Надзор человека (Ст. 14) Обязателен; меры, встроенные в систему или установленные оператором, обеспечивающие эффективный надзор в процессе эксплуатации Все высокорисковые ИИ-системы; ключевой принцип AI Act Человек-оператор должен: понимать возможности и ограничения системы; осознавать склонность к избыточному доверию (automation bias); интерпретировать выводы системы; отклонять, игнорировать, переопределять или отменять результаты; вмешиваться или прерывать работу системы через кнопку «стоп»; для систем автономного принятия решений: обязательный механизм вмешательства человека
Точность, надёжность, кибербезопасность (Ст. 15) Обязательны; достижение соответствующего уровня точности, надёжности и устойчивости к кибератакам на протяжении жизненного цикла Все высокорисковые ИИ-системы Метрики точности: указаны в технической документации; последовательные результаты при воспроизводимых тестах; устойчивость к ошибкам, сбоям, противоречиям; устойчивость к кибератакам (adversarial attacks, data poisoning, model evasion); мониторинг после размещения для выявления деградации; резервные планы при отказе системы
🤖 GPAI-модели — особый режим (Ст. 51–56)
Базовые обязательства GPAI (Ст. 53) Для всех GPAI; техническая документация; обязательства соответствия авторских прав; краткое содержание данных обучения Все GPAI-модели, размещённые на рынке ЕС (включая через API) Техническая документация: архитектура, параметры, обучающие данные (краткое описание), тесты, метрики; политика выявления и управления систематическими рисками; соблюдение Директивы ЕС об авторском праве (2019/790); краткое содержание данных обучения (AI Act Annex XI); инструкции для поставщиков-интеграторов
Обязательства GPAI с системным риском (Ст. 55) Дополнительные; для GPAI с >10²⁵ FLOP при обучении; повышенные требования к оценке и управлению рисками GPAI-модели с системным риском: GPT-4 и выше, Gemini Ultra, Claude 3 Opus и аналоги Оценка и снижение системных рисков (adversarial testing); уведомление EU AI Office об инцидентах; кибербезопасностные меры; отчётность; «красные команды» (red-teaming); соблюдение кодексов поведения EU AI Office; взаимодействие с EU AI Office
Регистрация в EU базе данных ИИ (Ст. 71) Обязательна; до размещения на рынке; публичная регистрация для большинства высокорисковых систем и GPAI Высокорисковые системы Приложения III (кроме правоохранения); GPAI-модели с системным риском Регистр EU: наименование поставщика; описание системы; классификация риска; статус соответствия; зарегистрированный представитель в ЕС (для организаций вне ЕС); EU DB управляется Комиссией ЕС; публичный доступ (кроме закрытых категорий)

Техническая документация и GPAI: детальные требования

📁 Техническая документация: Приложение IV AI Act
Раздел 1 — Общее описание ИИ-системы: наименование и версия системы; назначение (intended purpose) с описанием конкретных задач; категория риска с обоснованием; перечень лиц, которые будут использовать систему (операторы); категории лиц, на которых воздействует система; форма взаимодействия человека с системой; степень автономности системы; перечень компонентов (аппаратных и программных) системы и её интерфейсов
Раздел 2 — Описание элементов и процесса разработки: методы разработки системы; обоснование решений по дизайну, относящихся к безопасности; архитектура системы: диаграммы компонентов, взаимодействий; описание вычислительных ресурсов; методы обучения (если применимо): алгоритм, метрики обучения; описание цикла разработки системы (SDLC); ключевые проектные решения с обоснованием безопасности; для нейросетей: архитектура (трансформер, CNN, RNN и др.), количество параметров, слоёв
Раздел 3 — Информация об обучающих данных (Ст. 10): описание обучающих, валидационных и тестовых наборов данных: источники, объём, характеристики; методы сбора и обработки данных; методы маркировки (labelling); меры по обеспечению репрезентативности; анализ возможных смещений (bias analysis) и меры их устранения; меры по защите персональных данных при обучении; для GPAI: краткое описание данных обучения по Приложению XI
Раздел 4 — Результаты тестирования и валидации: метрики производительности: точность (accuracy, precision, recall, F1); метрики по различным группам населения (защищённые характеристики); результаты тестирования на известные ограничения; результаты испытаний на кибербезопасность; сравнение с baseline; протоколы валидации; техники explainability и interpretability, применённые при разработке
Раздел 5 — Система управления рисками (Ст. 9): описание идентифицированных рисков и их оценки; меры снижения рисков и их обоснование; оценка остаточных рисков; результаты тестирования в реальных условиях; особые риски для уязвимых групп; кибербезопасностные уязвимости и меры защиты; план пострыночного мониторинга
🤖 GPAI-модели: обязательства и Кодекс поведения
Что такое GPAI-модель по AI Act (Ст. 3(63)): ИИ-модель обученная на большом объёме данных, обладающая значительной общностью и способная выполнять широкий спектр различных задач; AI Act распространяется на GPAI как независимый слой регулирования, отдельный от высокорисковых систем; примеры: GPT-4o (OpenAI), Gemini 1.5 Pro (Google), Claude 3.5 Sonnet (Anthropic), LLaMA 3 (Meta), Mistral Large; AI Act охватывает GPAI независимо от местонахождения разработчика, если модель предоставляется на рынке ЕС через API, продукты или иначе
Определение «системного риска» (Ст. 51): порог: вычислительные возможности при обучении >10²⁵ FLOPs (floating point operations) — определяет Комиссия ЕС; или при наличии иных индикаторов системного риска по решению EU AI Office; системный риск = потенциальное негативное воздействие на безопасность, здоровье, фундаментальные права, критическую инфраструктуру ЕС в масштабе; Комиссия вправе снижать порог по мере развития технологий
Кодекс поведения для GPAI (Ст. 56): EU AI Office разрабатывает Кодекс поведения для GPAI; разработчики GPAI приглашаются к участию в разработке Кодекса; Кодекс охватывает: методы оценки и снижения системных рисков; стандарты прозрачности; испытания (red-teaming); уведомление об инцидентах; кибербезопасность; соблюдение Кодекса может использоваться как элемент доказательства соответствия AI Act
Обязательства по авторскому праву (Ст. 53(1)(c)): поставщики GPAI обязаны ввести политику соблюдения авторского права ЕС; в частности: соблюдение Директивы 2019/790 (авторское право на цифровом едином рынке); механизм оптимизации (opt-out) для правообладателей: при наличии явного машиночитаемого запрета правообладателя — данные не должны использоваться для обучения; краткое резюме данных обучения (достаточно подробное для оценки соответствия); публикация краткого резюме обязательна
EU AI Office — новый надзорный орган: создан в рамках Комиссии ЕС; основные функции: надзор за GPAI-моделями с системным риском; разработка и управление Кодексами поведения для GPAI; оценка соответствия GPAI-моделей; расследование нарушений AI Act на уровне GPAI; координация с национальными органами (NCA); EU AI Office вправе запрашивать документы, проводить инспекции, налагать штрафы на поставщиков GPAI-моделей
Роли по AI Act: поставщик, оператор, импортёр, дистрибьютор AI Act чётко разграничивает роли участников цепочки создания ценности ИИ. Поставщик (Provider, Ст. 3(3)): физическое или юридическое лицо, размещающее ИИ-систему или GPAI-модель на рынке ЕС под своим именем или торговой маркой, или вводящее её в эксплуатацию; несёт наибольшую регуляторную нагрузку. Оператор (Deployer, Ст. 3(4)): использует ИИ-систему в профессиональных целях; несёт обязательства по надзору человека, мониторингу, информированию сотрудников, регуляторной отчётности. Импортёр (Importer, Ст. 3(6)): физическое или юридическое лицо в ЕС, размещающее на рынке ЕС ИИ-систему с указанием имени/торговой марки из третьей страны. Дистрибьютор (Distributor): лицо в цепочке поставок, не являющееся поставщиком или импортёром; меньше обязательств, но обязан проверить соответствие CE-маркировки. Переключение ролей: оператор становится поставщиком, если: модифицирует систему существенным образом; использует систему не по назначению, указанному поставщиком; ставит своё имя/марку на систему. Для разработчиков в третьих странах (Россия, США, Китай): уполномоченный представитель (Authorised Representative) в ЕС обязателен — если система размещается на рынке ЕС.
Оценка соответствия: самооценка vs нотифицированный орган Для большинства высокорисковых ИИ-систем Приложения III AI Act предусматривает самооценку соответствия поставщиком (Internal Assessment, Annex IX): поставщик самостоятельно проверяет выполнение требований Ст. 9–15; составляет декларацию соответствия (DoC) по Приложению V; наносит CE-маркировку; регистрирует систему в EU базе данных. Участие Нотифицированного органа (Notified Body, NB) обязательно только для: ИИ-систем Приложения I — уже регулируемых отраслевым законодательством ЕС (медизделия по MDR/IVDR, авиация, автомобили по type-approval), где соответствующее отраслевое законодательство требует NB; биометрических систем дистанционной идентификации в режиме реального времени — в исключительных случаях, разрешённых Ст. 5(2). Таким образом, принципиальное отличие от MDR/IVDR: большинство высокорисковых ИИ-систем НЕ требуют NB — только самооценка. Сертификаты NB для ИИ-систем: EU AI Act не создаёт новую систему NB-сертификации для ИИ; существующие NB в рамках MDR, LVD и других директив применяются к ИИ в рамках этих же секторальных законов.
Регуляторные «песочницы» AI (Ст. 57–63): возможности для разработчиков EU AI Act создаёт механизм регуляторных «песочниц» (AI regulatory sandboxes) — контролируемых условий для разработки, обучения, тестирования и валидации инновационных ИИ-систем до их выхода на рынок. Ключевые характеристики: возможность тестировать высокорисковые ИИ-системы в реальных условиях при снижении ряда регуляторных барьеров; участие осуществляется по заявке; компетентные органы государств-членов создают национальные «песочницы» в срок до 2 августа 2026 года; предпочтение — МСП и стартапам; срок функционирования «песочницы» для конкретной системы: 12 месяцев, с возможным продлением на 12 месяцев; участники «песочницы» не несут гражданской ответственности в тех же объёмах, что при коммерческой эксплуатации; после выхода из «песочницы» — полные требования AI Act; EU AI Office координирует создание cross-border «песочниц» для трансграничных проектов.
AI Act и существующее законодательство ЕС: взаимодействие AI Act проектируется как «горизонтальный» регламент, дополняющий «вертикальное» секторальное законодательство. Принцип lex specialis: специальные законодательные акты ЕС применяются в дополнение к AI Act или вместо отдельных его положений. Медицинские изделия (MDR/IVDR): ИИ-системы в медицинских изделиях — высокорисковые по Приложению I AI Act; оценка соответствия проводится в рамках MDR/IVDR с участием NB; дополнительно выполняются требования Ст. 9–15 AI Act; MDR/IVDR охватывает Software as Medical Device (SaMD). GDPR: обработка персональных данных при разработке и эксплуатации ИИ — регулируется GDPR параллельно с AI Act; «право на объяснение» при автоматизированных решениях (GDPR Ст. 22) дополняется требованиями AI Act к прозрачности. NIS2 Directive (кибербезопасность): обязательства по кибербезопасности ИИ-систем критической инфраструктуры регулируются NIS2 параллельно с AI Act Ст. 15. Product Liability Directive (PLD 2024/2853): новая Директива об ответственности за продукцию распространяется на ИИ-системы; AI Act не создаёт отдельного режима ответственности.

Пошаговый план соответствия EU AI Act для производителя ИИ

1
Инвентаризация ИИ-систем и классификация по уровню риска
Составить полный реестр всех ИИ-систем и GPAI-моделей, разрабатываемых или используемых организацией; для каждой системы: применить определение «ИИ-системы» по Ст. 3(1) AI Act; проверить, не является ли система «запрещённой практикой» по Ст. 5; определить, входит ли в Приложение I (отраслевое) или Приложение III (8 областей); определить роль организации: поставщик, оператор, импортёр; для GPAI: проверить превышение порога 10²⁵ FLOP; задокументировать классификацию с обоснованием
Нед. 1–4
2
GAP-анализ требований AI Act для высокорисковых систем
Провести детальный GAP-анализ для каждой высокорисковой системы по требованиям Ст. 9–15: система управления рисками — документирована и функционирует? управление данными — практики соответствуют Ст. 10? техническая документация — полная по Приложению IV? логирование событий — настроено и достаточно? инструкции для операторов — разработаны? надзор человека — механизмы встроены? метрики точности — задокументированы? составить список пробелов (gap list) с приоритизацией
Нед. 4–10
3
Разработка технической документации и системы управления рисками
Разработать техническую документацию по Приложению IV AI Act для каждой высокорисковой системы; внедрить или адаптировать систему управления рисками ИИ (можно адаптировать ISO 31000, NIST AI RMF); провести оценку и анализ смещений (bias assessment) для обучающих данных; документировать метрики точности и производительности по различным демографическим группам; встроить механизмы надзора человека в архитектуру системы; настроить автоматическое протоколирование событий
Мес. 2–6
4
Оценка соответствия и регистрация в EU базе данных ИИ
Провести внутреннюю оценку соответствия по Приложению IX AI Act (для большинства систем — самооценка); при необходимости (Приложение I + отраслевое законодательство): привлечь NB; составить Декларацию соответствия (DoC) по Приложению V; нанести CE-маркировку на систему; назначить уполномоченного представителя в ЕС (если организация находится вне ЕС); зарегистрировать систему в EU базе данных ИИ (EU AI DB); для GPAI с системным риском: уведомить EU AI Office
Мес. 4–8
5
Пострыночный надзор, мониторинг и обновление документации
Внедрить систему пострыночного надзора (Ст. 72): сбор и анализ данных о реальной производительности системы; мониторинг отклонений от задокументированных метрик; процедура уведомления NCA о серьёзных инцидентах (Ст. 73): срок 15 дней; для правоохранения: незамедлительно; при существенном изменении системы: новая оценка соответствия; обновление технической документации при изменениях в системе, данных, архитектуре; ежегодный обзор HACCP-подобный HACCP для ИИ-систем — Annual Review
Непрерывно

Сроки применения AI Act и размер штрафов

Штраф за нарушение запретов (Ст. 5)
до €35 млн или 7% мирового оборота (бо́льшее)
Штраф за нарушение требований к выс. риску
до €15 млн или 3% мирового оборота
Штраф за предоставление неверных сведений
до €7,5 млн или 1% мирового оборота
Доля ИИ-систем, классифицируемых как высокорисковые
~5–15% всех ИИ-систем на рынке ЕС
Пониженные штрафы для МСП и стартапов
Нижние пределы Ст. 99 применяются к МСП
Срок хранения технической документации
10 лет после размещения на рынке (Ст. 18)

Временная шкала вступления в силу EU AI Act

12 июл. 2024
Публикация в Official Journal ЕС; вступление в силу через 20 дней (1 авг. 2024)
2 авг. 2025
Запрещённые практики (Ст. 5) применяются; GPAI-обязательства (Ст. 51–56); кодексы поведения
2 авг. 2026
Все требования к высокорисковым системам Приложения I; обязательства операторов; EU база данных ИИ
2 авг. 2027
Полное применение: высокорисковые системы Приложений II (отраслевые) и III (8 областей); все штрафные нормы
2029–2031
Обзор Комиссией ЕС эффективности AI Act; пересмотр порогов GPAI; обновление Приложений I–III

* Существующие ИИ-системы, введённые в эксплуатацию до 2 августа 2026 года, освобождены от требований AI Act до 2 августа 2027 года при отсутствии существенных изменений. Государства-члены ЕС обязаны создать регуляторные «песочницы» до 2 августа 2026 года. EU AI Office и национальные компетентные органы (NCA) должны быть созданы к августу 2025 года.

⚠ Пять типичных ошибок при подготовке к EU AI Act

Первая — ошибочная классификация системы как «не высокорисковой»: компания разрабатывает ИИ-систему для скоринга кредитоспособности физических лиц и классифицирует её как «ограниченный риск», полагая, что простой чат-интерфейс делает систему менее опасной. По Приложению III п. 5(b) AI Act: системы, оценивающие кредитоспособность или устанавливающие кредитный скоринг физических лиц, — это высокорисковые системы. Компания не выполняет требования Ст. 9–15, не регистрирует систему в EU DB. При проверке NCA — штраф до €15 млн / 3%. Правило: классификацию НУЖНО проводить по буквальному тексту Приложений I и III, а не по субъективному ощущению риска; при сомнениях — консультация с регуляторным специалистом или NCA. Вторая — технической документации нет или она «для галочки»: поставщик медицинской ИИ-системы формально создаёт «техническую документацию» в виде 10-страничного описания системы без данных о качестве обучающих данных, результатов тестирования по демографическим группам, системы управления рисками. NCA при проверке запрашивает Приложение IV-документацию — документация не содержит обязательных элементов; выдаётся предписание с 30-дневным сроком устранения; при неустранении — изъятие системы с рынка ЕС. Правило: техническая документация по Приложению IV — это детальный технический пакет из разделов 1–9; её разработка требует нескольких месяцев работы технической команды. Третья — отсутствие уполномоченного представителя в ЕС: разработчик ИИ-системы из России предоставляет высокорисковую систему европейским клиентам через API. AI Act Ст. 22: поставщики из третьих стран обязаны назначить Authorised Representative в ЕС до размещения системы на рынке; представитель является контактным лицом для NCA и EU AI Office; отсутствие представителя — нарушение AI Act; представитель несёт ответственность за регистрацию в EU DB и взаимодействие с регуляторами. Четвёртая — игнорирование GPAI-обязательств: компания предоставляет LLM-модель через API европейским бизнесам, считая, что поскольку сами бизнесы — операторы, GPAI-разработчик вне регуляторного поля. AI Act Ст. 51–56: поставщик GPAI-модели несёт прямые обязательства независимо от того, как операторы используют модель; обязательства: техническая документация, краткое описание данных обучения, политика соблюдения авторского права, механизм opt-out для правообладателей. Пятая — игнорирование запрещённых практик с 2 августа 2025 года: компания разрабатывает систему анализа эмоций сотрудников для HR-аналитики, интегрируя видеоаналитику с анализом микровыражений для оценки производительности. Ст. 5(1)(f) AI Act: системы, вводящие биометрическую категоризацию с инференцией эмоций в контексте занятости и образования, — запрещены с 2 августа 2025 года (с исключениями для медицинских/безопасностных целей). Нарушение запрета — штраф до €35 млн / 7% оборота; уголовная ответственность возможна по национальному праву. Правило: до 2 августа 2025 года необходимо проверить все разрабатываемые и развёртываемые ИИ-системы на предмет соответствия запретам Ст. 5; любая система из «серой зоны» — проконсультироваться с юристом до продолжения разработки.

Реестр Гарант — сопровождение соответствия EU AI Act

📞 Телефон / WhatsApp / Telegram: +7 920-898-17-18

📧 Email: reestrgarant@mail.ru

Сопровождаем разработчиков и поставщиков ИИ-систем при подготовке к соответствию EU AI Act: инвентаризация ИИ-систем и классификация по уровням риска EU AI Act (Запрещённые / Высокий / Ограниченный / Минимальный), GAP-анализ текущего состояния разработки и эксплуатации ИИ-систем относительно требований Ст. 9–15 для высокорисковых систем и Ст. 51–56 для GPAI, разработка технической документации по Приложению IV AI Act, включая описание системы управления рисками, обучающих данных, метрик точности и результатов тестирования, консультации по определению роли организации (поставщик/оператор/импортёр) и соответствующим обязательствам, назначение уполномоченного представителя (Authorised Representative) в ЕС для организаций из третьих стран, подготовка Декларации соответствия (DoC) и сопровождение регистрации в EU базе данных ИИ, консультации по GPAI-обязательствам: документация, политика авторского права, краткое описание данных обучения, взаимодействие с EU AI Office, анализ совместимости с параллельным законодательством ЕС (GDPR, MDR/IVDR, NIS2, PLD).