Cílem nařízení je regulovat systémy AI na základě míry rizika, které představují, přičemž na systémy s vyšší mírou rizika se vztahují přísnější požadavky. Stanovuje pravidla pro uvádění AI systémů na trh, jejich nasazení a používání. Nařízení také stanovuje konkrétní požadavky na systémy s vysokým rizikem, vymezuje povinnosti jejich provozovatelů a zakazuje některé nežádoucí praktiky. Zavádí i pravidla pro dohled nad trhem a správu na úrovni jednotlivých členských států EU a zároveň obsahuje opatření na podporu inovací v oblasti AI.

Kategorizace AI systémů dle úrovně rizika je následující:

Nařízení se vztahuje na poskytovatele, uživatele, dovozce a distributory systémů AI, a to včetně těch se sídlem mimo EU, pokud jsou jejich systémy nebo výstupy používány na území EU. Daná pravidla platí také pro subjekty působící ve vysoce rizikových odvětvích s rozsáhlou zákaznickou základnou, jako jsou telekomunikace, bankovnictví, pojišťovnictví, IT, kritická infrastruktura nebo vzdělávání.

Ne všechna ustanovení se nicméně uplatňují plošně – rozsah požadavků se liší v závislosti na kategorizaci rizik jednotlivých systémů a na roli subjektů v hodnotovém řetězci AI. Některé specifické případy jsou z působnosti nařízení zcela vyňaty, například systémy určené pro výzkum či vojenské a bezpečnostní účely. Ostatní subjekty však musí splnit řadu požadavků

• zavedení procesu řízení rizik v průběhu celého životního cyklu systémů AI, který pokrývá pravidelné systematické přezkoumávání, aktualizaci a snižování rizik prostřednictvím vhodných opatření pro jejich zmírnění a kontrolu;
• zavedení rámce pro správu dat, který pokrývá metody sběru dat, postupy a mechanismy pro odhalování a zmírňování možných zkreslení a chyb v datových souborech;
• testování, které zajistí, že systémy AI budou konzistentně fungovat pro zamýšlený účel a že budou splňovat platná pravidla;
• zajištění využívání pouze relevantních, reprezentativních, předem zpracovaných a očištěných dat;
• vedení technické dokumentace popisující využívaná data;
• automatické zaznamenávání událostí (logů) během celého životního cyklu systémů AI;
• zajištění lidského dohledu během provozu systémů AI a zajištění souladu s ustanoveními GDPR;
• zajištění ochrany před manipulací se sadou tréninkových dat (data poisoning) nebo s komponentami používanými při tréninku (model poisoning).

I když hlavní ustanovení nařízení vstoupí v účinnost až v roce 2026, některá pravidla začnou být vymahatelná již dříve:

• Od února 2025 platí zákaz systémů AI s nepřijatelným rizikem.
• Od srpna 2025 platí povinnost transparentnosti u systémů obecného účelu (general-purpose AI).

Hlavní požadavky pro systémy AI s vysokým rizikem začnou být účinné v srpnu 2027.

Nedodržení povinností může vést k výrazným finančním sankcím – od 7,5 milionů eur nebo 1 % celosvětového ročního obratu až po 35 milionu eur nebo 7 % celosvětového ročního obratu. U malých a středních podniků mohou být sankce sníženy.

Náš tým odborníků z oblasti kybernetické bezpečnosti, compliance a řízení rizik nabízí komplexní služby v oblasti dodržování požadavků vyplývajících z EU AI Actu, včetně:

• posouzení dopadu a aplikovatelnosti;
• podpory při klasifikaci rizik AI systémů;
• mapování současného stavu;
• vypracování gap analýzy;
• analýzy předpojatosti/diskriminace, spravedlnosti a etických rizik v oblasti AI;
• analýzy bezpečnostních a kybernetických hrozeb;
• návrhu akčního plánu pro zajištění compliance;
• implementace regulatorních požadavků;
• tvorby interní dokumentace;
• návrhu rámce pro správu dat;
• hodnocení připravenosti na posouzení shody (conformity assessment);
• posouzení shody dodavatelů AI řešení (třetích stran);
• poradenství v oblasti AI, tvorby strategií, akčních plánů a roadmap;
• validace AI modelů a testování výkonnosti;
• přípravy technické dokumentace;
• školení a vzdělávacích programů zaměřených na AI compliance a etiku.