Regulacje i certyfikacje AI w Niemczech i Europie: Co firmy muszą wiedzieć w 2026 roku

EU AI Act to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Wszedł w życie 1 sierpnia 2024 roku, a jego obowiązki są wprowadzane etapami do 2027 roku. Jeśli Państwa firma opracowuje, wdraża lub korzysta z systemów AI w Europie, rozporządzenie to ma do niej zastosowanie.

To nie są już kwestie teoretyczne. Pierwsze zakazy obowiązują już od lutego 2025 roku. Wymogi dotyczące systemów AI wysokiego ryzyka wejdą w pełni w życie w sierpniu 2026 roku. Kary sięgają nawet 35 milionów euro lub 7% globalnego rocznego obrotu - w zależności od tego, która kwota jest wyższa.

Poniżej przedstawiamy, co faktycznie stanowi rozporządzenie, jakie certyfikacje warto uzyskać oraz jakie konkretne kroki należy podjąć już teraz.

EU AI Act: struktura i harmonogram

EU AI Act stosuje podejście oparte na ryzyku. Nie wszystkie systemy AI są traktowane jednakowo - im wyższe ryzyko, jakie system stwarza dla zdrowia, bezpieczeństwa lub praw podstawowych, tym surowsze są przepisy.

Kluczowe daty

Termin sierpnia 2026 roku jest kluczowy dla większości firm. Wtedy większość obowiązków w zakresie zgodności dla systemów AI wysokiego ryzyka wejdzie w życie.

Kategorie ryzyka - wyjaśnienie

EU AI Act klasyfikuje systemy AI w czterech poziomach ryzyka. Zakres obowiązków w zakresie zgodności zależy wyłącznie od tego, do której kategorii należy dany system AI.

Ryzyko niedopuszczalne (zakaz)

Następujące praktyki AI są bezwzględnie zakazane od lutego 2025 roku:

• Social scoring przez organy rządowe lub podmioty prywatne
• Zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami dla organów ścigania)
• Techniki manipulacji podprogowej powodujące szkodę
• Wykorzystywanie podatności określonych grup (wiek, niepełnosprawność)
• Predykcyjne działania policyjne oparte wyłącznie na profilowaniu
• Rozpoznawanie emocji w miejscach pracy i placówkach edukacyjnych
• Masowe pozyskiwanie obrazów twarzy z internetu lub systemów monitoringu w celu budowy baz danych

Wysokie ryzyko

Systemy AI w poniższych dziedzinach podlegają najsurowszym wymogom - ocenom zgodności, dokumentacji, nadzorowi człowieka i bieżącemu monitorowaniu:

• Infrastruktura krytyczna - zarządzanie energią, transportem, wodą i infrastrukturą cyfrową
• Edukacja - systemy decydujące o dostępie do edukacji lub oceniające uczniów
• Zatrudnienie - narzędzia rekrutacyjne, screening CV, ocena wydajności, decyzje o awansie
• Usługi podstawowe - scoring kredytowy, wycena ubezpieczeń, dostęp do świadczeń publicznych
• Organy ścigania - narzędzia oceny ryzyka, poligrafy, ocena dowodów
• Migracja i kontrola graniczna - przetwarzanie wniosków wizowych i azylowych
• Wymiar sprawiedliwości i demokracja - systemy wspomagające decyzje sądowe

Ograniczone ryzyko (obowiązki w zakresie przejrzystości)

Systemy AI, które wchodzą w bezpośrednią interakcję z ludźmi, muszą ujawniać, że są systemami AI. Dotyczy to chatbotów, treści generowanych przez AI oraz deepfake'ów. Użytkownicy muszą być poinformowani, że wchodzą w interakcję z systemem AI, a treści wygenerowane lub zmanipulowane przez AI muszą być odpowiednio oznaczone.

Minimalne ryzyko

Większość aplikacji AI należy do tej kategorii - filtry antyspamowe, narzędzia projektowe wspomagane przez AI, silniki rekomendacji, zarządzanie zapasami. EU AI Act nie nakłada na nie szczególnych obowiązków, choć zachęca do stosowania dobrowolnych kodeksów postępowania.

Czego faktycznie wymaga zgodność dla systemów wysokiego ryzyka

Jeśli dany system AI jest zaklasyfikowany jako wysokiego ryzyka, przed sierpniem 2026 roku należy zapewnić spełnienie następujących wymogów:

• System zarządzania ryzykiem - ciągła identyfikacja, analiza i ograniczanie ryzyk przez cały cykl życia systemu AI
• Zarządzanie danymi - zestawy danych treningowych, walidacyjnych i testowych muszą spełniać kryteria jakości. Wykrywanie i ograniczanie stronniczości jest obowiązkowe
• Dokumentacja techniczna - szczegółowe zapisy dotyczące przeznaczenia systemu, architektury, procesu trenowania, wskaźników wydajności i znanych ograniczeń
• Przechowywanie rejestrów i logowanie - automatyczne rejestrowanie operacji systemu w celu zapewnienia identyfikowalności i analizy po incydentach
• Przejrzystość - jasne instrukcje dla podmiotów wdrażających, obejmujące zamierzone zastosowanie, poziomy wydajności i znane ryzyka
• Nadzór człowieka - mechanizmy umożliwiające operatorom monitorowanie, interwencję i nadpisywanie decyzji AI
• Dokładność, odporność i cyberbezpieczeństwo - systemy muszą działać spójnie i być odporne na ataki i manipulację danymi

Dostawcy wprowadzający systemy AI wysokiego ryzyka na rynek UE są zobowiązani do przeprowadzenia oceny zgodności przed wdrożeniem. W zależności od dziedziny jest ona przeprowadzana samodzielnie lub przez jednostkę notyfikowaną (audytora zewnętrznego).

Modele AI ogólnego przeznaczenia (GPAI)

Od sierpnia 2025 roku dostawcy modeli AI ogólnego przeznaczenia - w tym dużych modeli językowych - muszą spełniać wymogi w zakresie przejrzystości:

• Dokumentacja techniczna opisująca możliwości i ograniczenia modelu
• Zgodność z prawem autorskim - wystarczająco szczegółowe podsumowanie treści danych treningowych, zgodnie z prawem autorskim UE
• Przejrzystość w łańcuchu wartości - dostarczanie informacji umożliwiających podmiotom wdrażającym spełnienie ich własnych obowiązków

Modele GPAI zaklasyfikowane jako stwarzające ryzyko systemowe (zazwyczaj te trenowane przy użyciu ponad 10^25 FLOP) podlegają dodatkowym obowiązkom: testom adversarialnym, zgłaszaniu incydentów, środkom cyberbezpieczeństwa oraz raportowaniu zużycia energii.

Rola Niemiec i wdrożenie krajowe

Jako rozporządzenie UE, AI Act obowiązuje bezpośrednio we wszystkich państwach członkowskich bez konieczności transpozycji do prawa krajowego. Każde państwo musi jednak wyznaczyć krajowe właściwe organy ds. nadzoru rynku i egzekwowania przepisów.

Niemcy nie dotrzymały pierwotnego terminu sierpniowego 2025 roku wyznaczonego na wyznaczenie tych organów. W lutym 2026 roku Gabinet Federalny zatwierdził KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) - krajową ustawę wdrożeniową ustanawiającą strukturę regulacyjną. Ustawa jest obecnie rozpatrywana przez Bundestag.

• BNetzA (Bundesnetzagentur) - wyznaczona jako główny organ nadzoru rynku AI w Niemczech, koordynujący egzekwowanie przepisów w różnych sektorach
• BSI (Bundesamt für Sicherheit in der Informationstechnik) - odpowiedzialny za aspekty cyberbezpieczeństwa systemów AI, dostarczający standardy techniczne i wytyczne
• BfDI (Bundesbeauftragter für den Datenschutz) - zaangażowany w przypadkach, gdy systemy AI przetwarzają dane osobowe, zapewniając zgodność z RODO
• Regulatorzy sektorowi - BaFin (usługi finansowe), BAuA (bezpieczeństwo w miejscu pracy) i inne organy sprawują nadzór nad AI w swoich obszarach właściwości

BNetzA uruchomiła również AI Service Desk (działający od lipca 2025 roku), który świadczy bezpłatne, niskoprogowe usługi doradcze dla firm - w szczególności MŚP - poruszających się w gąszczu wymogów EU AI Act.

Niemcy aktywnie angażują się w opracowywanie standardów AI poprzez DIN i DKE (niemieckie jednostki normalizacyjne), przyczyniając się do europejskich norm zharmonizowanych, które wyznaczą punkty odniesienia dla zgodności z AI Act.

Kluczowe certyfikacje i standardy

Choć EU AI Act nie nakłada obowiązku uzyskania konkretnych certyfikacji, kilka standardów wyłania się jako praktyczna ścieżka do wykazania zgodności.

ISO/IEC 42001 - System Zarządzania AI

Opublikowany w grudniu 2023 roku, jest to pierwszy międzynarodowy standard dotyczący systemów zarządzania AI. Dostarcza organizacjom ustrukturyzowanych ram do zarządzania ryzykiem AI, ładem korporacyjnym i odpowiedzialnym rozwojem. Można go porównać do ISO 27001 w obszarze AI - jest to certyfikowalny standard systemu zarządzania.

• Zakres: polityka AI, ocena ryzyka, role i odpowiedzialności, zarządzanie danymi, ocena wydajności, ciągłe doskonalenie
• Dla kogo: dla każdej organizacji opracowującej lub wdrażającej systemy AI, w szczególności tych należących do kategorii wysokiego ryzyka w myśl EU AI Act
• Certyfikacja: dostępna za pośrednictwem akredytowanych jednostek certyfikacyjnych. Audyty przebiegają według tej samej struktury co ISO 27001 (Etap 1 i Etap 2)

Inne istotne standardy

Zharmonizowane normy CEN/CENELEC mają szczególne znaczenie. Po opublikowaniu stworzą 'domniemanie zgodności' - co oznacza, że system AI spełniający te normy będzie uważany za zgodny z odpowiednimi wymogami EU AI Act. Ich publikacji można spodziewać się w latach 2025 i 2026.

Kary za brak zgodności

EU AI Act wprowadza wielopoziomowy system kar uzależnionych od wagi naruszenia:

Dla MŚP i startupów kary są ograniczone do niższego z tych progów proporcjonalnie. Jednak szkody reputacyjne wynikające z braku zgodności mogą stanowić poważniejsze ryzyko biznesowe - szczególnie w kontekście B2B, gdzie klienci będą coraz częściej wymagać od swoich dostawców dowodów na zgodność z regulacjami AI.

RODO i AI Act: obszary nakładania się przepisów

Jeśli dany system AI przetwarza dane osobowe - a większość systemów to robi - konieczne jest przestrzeganie zarówno RODO, jak i AI Act. Przepisy te są komplementarne, a nie konkurencyjne:

• RODO reguluje sposób gromadzenia, przetwarzania i przechowywania danych osobowych - w tym danych treningowych dla modeli AI
• AI Act reguluje sam system AI - jego projektowanie, testowanie, wdrożenie i bieżące monitorowanie
• Oceny skutków dla ochrony danych (DPIA) wymagane przez RODO ściśle odpowiadają ocenom ryzyka AI Act dla systemów wysokiego ryzyka
• Zautomatyzowane podejmowanie decyzji na mocy art. 22 RODO już teraz przyznaje osobom fizycznym prawo do kwestionowania decyzji podejmowanych przez AI - AI Act dodaje do tego wymogi techniczne

Organizacje, które dysponują dojrzałymi procesami zgodności z RODO, mają przewagę. Ramy dokumentacji, oceny skutków i ładu korporacyjnego w znacznym stopniu się pokrywają.

Praktyczne kroki: co zrobić już teraz

Niezależnie od tego, czy są Państwo startupem wdrażającym chatbota, czy przedsiębiorstwem przeprowadzającym oceny kredytowe oparte na AI, poniżej przedstawiamy konkretny plan działania:

1. Zinwentaryzuj systemy AI

Sporządź mapę wszystkich systemów AI, które Państwa organizacja opracowuje, wdraża lub wykorzystuje. Uwzględnij zewnętrzne narzędzia AI (scoring w CRM, platformy rekrutacyjne, narzędzia analityczne). Zaklasyfikuj każdy z nich zgodnie z kategoriami ryzyka EU AI Act.

2. Określ swoją rolę

AI Act rozróżnia dostawców (którzy opracowują systemy AI lub wprowadzają je na rynek) od podmiotów wdrażających (które z nich korzystają). Zakres obowiązków znacząco różni się w zależności od roli. Jeśli korzystają Państwo z zewnętrznego narzędzia AI, są Państwo podmiotem wdrażającym - jednak nadal ciążą na Państwu obowiązki w zakresie przejrzystości, nadzoru i monitorowania.

3. Analiza luk w odniesieniu do wymogów dla systemów wysokiego ryzyka

Dla każdego systemu AI wysokiego ryzyka należy ocenić aktualny stan w odniesieniu do siedmiu podstawowych wymogów: zarządzanie ryzykiem, zarządzanie danymi, dokumentacja, logowanie, przejrzystość, nadzór człowieka i odporność. Zidentyfikuj luki i ustal priorytety działań naprawczych.

4. Wdróż ład korporacyjny w zakresie AI

Opracuj ramy ładu korporacyjnego dla AI - polityki, role i procesy odpowiedzialnego zarządzania systemami AI. ISO/IEC 42001 dostarcza gotowej struktury. Nawet bez ubiegania się o certyfikację, ramy te stanowią wiarygodny punkt wyjścia.

5. Przygotuj się do ocen zgodności

Jeśli dostarczają Państwo systemy AI wysokiego ryzyka, zacznij już teraz przygotowywać dokumentację techniczną, protokoły testów i systemy zarządzania jakością. Proces oceny zgodności wymaga udokumentowania spełnienia wszystkich siedmiu obszarów wymagań.

6. Szkol swoje zespoły

AI Act wprost wymaga, aby osoby zaangażowane w pracę z systemami AI posiadały odpowiednią znajomość zagadnień AI. To nie jest jedynie zalecenie - art. 4 nakłada taki obowiązek. Zainwestuj w szkolenia dla programistów, product managerów, zespołów ds. zgodności i kadry kierowniczej.

Co to oznacza dla Państwa strony internetowej i produktów cyfrowych

Jeśli Państwa strona internetowa korzysta z funkcji opartych na AI - chatbotów, silników personalizacji, systemów rekomendacji, automatycznego generowania treści - co najmniej podlega Państwo wymogom w zakresie przejrzystości dla systemów o ograniczonym ryzyku.

• Chatboty AI muszą ujawniać, że są systemami AI, przed rozpoczęciem interakcji
• Treści generowane przez AI na stronie internetowej powinny być odpowiednio oznaczone tam, gdzie mogłyby zostać wzięte za treści stworzone przez człowieka
• Systemy personalizacji i profilowania mogą podlegać obowiązkom wynikającym z RODO i AI Act w zależności od ich wpływu na użytkowników
• Formularze i systemy scoringowe oparte na AI (scoring leadów, weryfikacja uprawnień) wymagają oceny klasyfikacji ryzyka

Prawidłowe podejście do tych kwestii to nie tylko kwestia zgodności z przepisami - buduje ono zaufanie. Użytkownicy coraz częściej oczekują przejrzystości w zakresie tego, kiedy i w jaki sposób jest wykorzystywana AI. Jasna polityka ujawniania informacji o AI może stanowić przewagę konkurencyjną.

Następne kroki

Regulacje AI w Europie nie zwalniają tempa. Ramy prawne są ustalone, terminy wyznaczone, a mechanizmy egzekwowania prawa wdrażane. Firmy, które traktują to jako problem roku 2027, mogą znaleźć się w trudnej sytuacji - termin sierpniowy 2026 roku dla systemów wysokiego ryzyka jest odległy zaledwie o kilka miesięcy.

W firmie webvise tworzymy produkty cyfrowe z myślą o zgodności z przepisami. Niezależnie od tego, czy potrzebują Państwo oceny funkcji AI na swojej stronie internetowej pod kątem zgodności z EU AI Act, wdrożenia odpowiednich mechanizmów ujawniania informacji czy pełnego audytu technicznego swojej obecności cyfrowej, skontaktuj się z nami, a pomożemy Państwu poruszać się w gąszczu regulacji.