Powrót do bloga
AI Regulation2026-03-3110 min read

60 dni do terminu określonego w AU AI Act na sierpień 2026 — oto co przedsiębiorstwa muszą zrobić teraz

Od 2 sierpnia 2026 roku systemy AI wysokiego ryzyka podlegają pełnej egzekucji przepisów z karami sięgającymi 7% globalnego obrotu. Jeśli Twoje rozwiązania AI mają kontakt z użytkownikami, kontrahentami lub rynkami UE, podlegasz tym przepisom — niezależnie od tego, czy Twoja siedziba znajduje się w Berlinie, Bostonie czy Bangalore. Poniżej przedstawiam mapę drogową compliance na najbliższe 60 dni.

Dlaczego ten termin różni się od każdego innego terminu compliance

Zespoły compliance w przedsiębiorstwach wykształciły zdrowy sceptycyzm wobec ogłoszeń o terminach. RODO miała okres przejściowy. CCPA doświadczyła opóźnień w egzekwowaniu. Terminy SOC 2 mają tendencję do przesuwania się. Termin 2 sierpnia 2026 roku w AI Act UE zasługuje na odmienne traktowanie — i powód tkwi w strukturze kar.

Kary za naruszenia związane z systemami AI wysokiego ryzyka wynoszą do 35 milionów euro lub 7% rocznego globalnego obrotu, w zależności od tego, która kwota jest wyższa. To największa struktura grzywien regulacyjnych kiedykolwiek zapisana w prawie. Nie jest to błąd zaokrąglenia w kwartalnym raporcie finansowym. Dla korporacji międzynarodowej z 10 miliardami euro globalnego przychodu, 7% to 700 milionów euro. Organom regulacyjnym nie trzeba udowadniać zamiaru. Nie muszą wykazywać szkody. Muszą jedynie wykazać, że system AI wysokiego ryzyka działał bez wymaganej oceny zgodności, dokumentacji technicznej i śladów audytu.

2 sierpnia 2026 roku to nie początek rozmowy o compliance. To data, od której niepowodzenie staje się prawnie konsekwentne. Zobowiązania dotyczące AI wysokiego ryzyka w AI Act UE obowiązują w zmodyfikowanej formie od lutego 2025 roku. Osiemnaście miesięcy od tego momentu to okres wdrożeniowy. Ten okres kończy się za 60 dni.

Zakres pozaterytorialny to element, który najbardziej zaskakuje amerykańskie i pozaprzedsiębiorcze firmy spoza UE. AI Act UE ma zastosowanie do każdej organizacji, która wprowadza systemy AI na rynek UE lub wdraża systemy AI wpływające na użytkowników UE — niezależnie od tego, gdzie organizacja jest zarejestrowana. Amerykański bank wykorzystujący system AI do oceny wniosków kredytowych od kontrahentów mieszkających w UE podlega tym przepisom. Amerykański system szpitalny wdrażający narzędzie do segregacji pacjentów przy użyciu AI przetwarzające dane pacjentów UE podlega tym przepisom. Brytyjska firma fintech wykorzystująca ocenę ryzyka opartą na AI do transakcji z udziałem klientów UE podlega tym przepisom.

Struktura zobowiązań trójstronnych dodaje złożoności. Gdy amerykańska firma wykorzystuje system AI dostarczony przez model OpenAI lub Anthropic w przepływie pracy wysokiego ryzyka wpływającym na użytkowników UE, dostawca modelu, integrator systemu i organizacja wdrażająca mają osobne zobowiązania wynikające z Aktu. AI Act to nie pojedynczy checkbox compliance. To łańcuch zobowiązań przechodzący przez każdą warstwę stosu AI.

Czy wiesz, do której kategorii ryzyka należą Twoje systemy AI?

AI Act UE dzieli systemy AI na cztery kategorie ryzyka. Większość przedsiębiorstw ma systemy AI w co najmniej dwóch z nich. Kategoria ryzyka określa Twoje zobowiązania — i kary.

Nieakceptowalne ryzyko — całkowity zakaz. Niektóre praktyki AI są zakazane w UE niezależnie od tego, gdzie znajduje się organizacja wdrażająca. Obejmuje to systemy AI wykorzystujące techniki manipulacji podprogowych w celu zniekształcania zachowań, systemy scoringu społecznego prowadzone przez organy publiczne oraz zdalną biometryczną identyfikację w czasie rzeczywistym w przestrzeniach publicznych do celów egzekwowania prawa. Jeśli którykolwiek z Twoich systemów AI należy do tych kategorii, sierpniowy termin jest nieistotny — nie powinny one działać w kontekstach UE w ogóle.

Wysokie ryzyko — wymagana pełna zgodność. Aneks III AI Act UE określa kategorie systemów AI wysokiego ryzyka, które uruchamiają pełne ramy zgodności. Kategorie te są najbardziej istotne dla wdrożeń korporacyjnych: systemy AI wykorzystywane w decyzjach kadrowych — rekrutacja, awans, ocena wyników i zwalnianie. Systemy AI wykorzystywane w decyzjach kredytowych i ocenach instytucji finansowych. Systemy AI wdrożone w infrastrukturze krytycznej — energetyka, transport, opieka zdrowotna i systemy wodne. Systemy AI wykorzystywane przez organy ścigania lub władze sądowe. Systemy AI administrujące podstawowymi usługami publicznymi, w tym ubezpieczeniami społecznymi i imigracją.

Jeśli Twoja organizacja wdraża AI w którejkolwiek z tych kategorii i ten AI wpływa na użytkowników lub kontrahentów UE, podlegasz pełnym ramom zgodności dla wysokiego ryzyka. To nie jest ocena ryzyka, którą możesz odroczyć. To klasyfikacja prawna, pod którą już działasz.

Ograniczone ryzyko — tylko obowiązki przejrzystości. Systemy AI takie jak chatboty i systemy generujące media syntetyczne muszą ujawniać, że są AI, osobom, które z nich korzystają. Obowiązki są lżejsze, ale nieujawnienie nadal stanowi naruszenie.

Minimalne ryzyko — brak szczególnych obowiązków. Zdecydowana większość systemów AI należy tutaj. Ale „minimalne ryzyko" to nie kategoria, którą wybierasz samodzielnie — jeśli Twój system AI ma użytkowników UE lub wpływa na rynki UE i należy do kategorii nie wymienionej jako zakazana lub wysokiego ryzyka, jest to minimalne ryzyko. Większość silników rekomendacji, filtrów antyspamowych i wewnętrznych narzędzi analitycznych należy tutaj.

Praktyczny problem compliance: większość przedsiębiorstw nie zakończyła systematycznej klasyfikacji swojego portfolio AI według kategorii Aneksu III. Nie wiedzą, ile ich systemów AI jest wysokiego ryzyka. To jest pierwsza rzecz, która zmienia się za 60 dni.

Lista kontrolna compliance dla wysokiego ryzyka — czego prawo faktycznie wymaga

Dla systemów AI sklasyfikowanych jako wysokiego ryzyka zgodnie z Artykułem 6, AI Act UE nakłada specyficzne ramy compliance. To nie są sugestie. To są warunki, pod którymi system AI wysokiego ryzyka może prawnie działać w UE po 2 sierpnia 2026 roku.

Sklasyfikuj swoje systemy AI. Zmapuj każdy system AI w swoim portfolio — w tym agentów AI, modele ML i zautomatyzowane systemy podejmowania decyzji — według kategorii wysokiego ryzyka Aneksu III. To jest warunek wstępny dla każdego innego kroku compliance. Nie możesz zgodzić się z wymaganiami, których nie zidentyfikowałeś.

Ocena zgodności. Systemy AI wysokiego ryzyka muszą przejść ocenę zgodności przed wdrożeniem. W zależności od typu systemu jest to przeprowadzane przez akredytowaną zewnętrzną jednostkę oceniającą zgodność lub, w przypadku niektórych typów systemów, samoocena przez organizację wdrażającą. Ocena ewaluuje, czy dokumentacja techniczna systemu, system zarządzania ryzykiem i mechanizmy nadzoru spełniają wymagania Aktu. Oceny muszą zostać zakończone i udokumentowane przed 2 sierpnia.

Dokumentacja techniczna. Artykuł 11 wymaga obszernej dokumentacji dla każdego systemu AI wysokiego ryzyka. Dokumentacja ta musi opisywać cel systemu, architekturę, zarządzanie danymi treningowymi, wdrożony system zarządzania ryzykiem, procedury monitorowania działania po wdrożeniu oraz środki podjęte w celu zapewnienia dokładności, odporności i cyberbezpieczeństwa zgodnie z Artykułem 15. Ta dokumentacja musi być stale utrzymywana i aktualizowana — nie napisana raz i zarchiwizowana.

System zarządzania jakością. Organizacje wdrażające systemy AI wysokiego ryzyka muszą posiadać udokumentowany system zarządzania jakością obejmujący cykl życia systemów AI. Obejmuje to zdefiniowane role i odpowiedzialności w zakresie zarządzania AI, udokumentowane procedury obsługi i monitorowania systemów AI oraz proces obsługi incydentów i skarg.

Nadzór człowieka. Artykuł 14 wymaga, aby systemy AI wysokiego ryzyka były zaprojektowane tak, aby umożliwiały nadzór człowieka — wbudowane mechanizmy umożliwiające ludziom monitorowanie, korygowanie i wyłączanie systemu w razie potrzeby. Standard nie polega na tym, że ludzie muszą przeglądać każdą decyzję. Chodzi o to, że ludzie muszą mieć możliwość skutecznego interweniowania, gdy system generuje wyniki wymagające ludzkiego osądu lub gdy system działa poza zamierzonymi parametrami.

Rejestrowanie i ślady audytu. Artykuł 12 wymaga automatycznego rejestrowania działania systemów AI wysokiego ryzyka, w tym danych wejściowych, wyjściowych i kontekstu, w którym podejmowano decyzje. To przepis, który bezpośrednio łączy compliance AI Act UE z zarządzaniem Shadow AI i bezpieczeństwem MCP. Agent AI działający bez ustrukturyzowanego logowania — lub serwer MCP bez telemetrii — działa z naruszeniem Artykułu 12, chyba że kwalifikuje się do zwolnienia z ryzyka ograniczonego.

Dokładność, odporność i cyberbezpieczeństwo. Artykuł 15 wymaga, aby systemy AI wysokiego ryzyka były zaprojektowane tak, aby osiągały odpowiednie poziomy dokładności, odporności i cyberbezpieczeństwa, oraz aby działały konsekwentnie w tych aspektach przez cały cykl życia. To nie jest jednorazowa certyfikacja. To ciągłe wymaganie dotyczące wydajności.

Rejestracja w bazie danych UE. Zgodnie z Artykułem 51, systemy AI wysokiego ryzyka muszą być zarejestrowane w publicznie dostępnej bazie danych UE przed ich wdrożeniem. Rejestracja musi zawierać dostawcę systemu, jego zamierzony cel, informacje o ocenie zgodności oraz podstawową dokumentację techniczną. Rejestracja jest warunkiem wstępnym prawnego działania, nie formalnością po wdrożeniu.

Upoważniony przedstawiciel w UE. W przypadku organizacji znajdujących się poza UE, które wprowadzają systemy AI wysokiego ryzyka na rynek UE lub wdrażają je dla użytkowników UE, AI Act wymaga wyznaczenia osoby fizycznej lub prawnej mającej siedzibę w UE jako upoważnionego przedstawiciela. Ten przedstawiciel służy jako punkt kontaktowy dla unijnych organów regulacyjnych i jest podmiotem, na którym formalnie egzekwowane są zobowiązania compliance.

Mapa drogowa compliance na 60 dni

Sześćdziesiąt dni to nie wystarczająco dużo czasu, aby zbudować program compliance od podstaw. To wystarczająco dużo czasu, aby wiedzieć, gdzie stoisz, zidentyfikować swoje luki i być w aktywnym procesie remediacji, który demonstruje dobrą wiarę przed datą egzekucji. Oto jak je wykorzystać.

Dni 1–15: Audyt portfolio AI. Zmapuj każdy system AI aktualnie działający w Twojej organizacji według kategorii wysokiego ryzyka Aneksu III. Zidentyfikuj każdy system AI mający kontakt z użytkownikami UE, kontrahentami UE lub rynkami UE — w tym agentów AI działających na urządzeniach osobistych w ramach polityk BYOAI. Ten audyt tworzy inwentarz, od którego zależy każdy inny krok.

„Szybka wygrana" w tym oknie: większość organizacji znajdzie co najmniej jeden system AI, o którym nie wiedzieli, że jest używany w wysokim ryzyku. Znalezienie go podczas audytu w dniach 1–15 wraz z planem remediacji jest znacznie lepsze niż znalezienie go w działaniu egzekucyjnym 3 sierpnia.

Dni 16–30: Klasyfikuj według kategorii ryzyka i przypisz właściciela. Dla każdego systemu AI w Twoim inwentarzu udokumentuj jego klasyfikację kategorii ryzyka zgodnie z Artykułem 6 i Aneksem III. Dla systemów wysokiego ryzyka przypisz wewnętrznego właściciela — osobę odpowiedzialną za compliance tego systemu. To przypisanie właściciela jest tym, co odróżnia program compliance od ćwiczenia dokumentacyjnego.

Dni 31–45: Ocena luk i planowanie oceny zgodności. Dla każdego systemu wysokiego ryzyka porównaj swoją obecną dokumentację techniczną, procedury zarządzania jakością, mechanizmy nadzoru człowieka i infrastrukturę logowania z wymaganiami Artykułów. Zidentyfikuj, które systemy potrzebują zewnętrznych ocen zgodności w przeciwieństwie do samoocen. Zacznij angażować jednostki oceniające zgodność, jeśli masz systemy wysokiego ryzyka wymagające zewnętrznego przeglądu — te jednostki prawdopodobnie rezerwują terminy przed sierpniowym terminem.

To jest również okno na adresowanie luki w śladach audytu. Wymagania logowania Artykułu 12 to miejsce, gdzie compliance AI Act UE bezpośrednio przecina się z zarządzaniem Shadow AI: agenci AI działający bez ustrukturyzowanego logowania nie są zgodni z Artykułem 12. Praca wymagana do zamknięcia tej luki — inwentarz, telemetria, monitorowanie zachowań — nakłada się z ramami remediacji Shadow AI.

Dni 46–60: Zaangażowanie prawników i przygotowanie do rejestracji. Zaangażuj doradcę prawnego ze znajomością AI Act UE do przeglądu compliance Twoich systemów wysokiego ryzyka. To nie jest opcjonalne dla organizacji z materialnym narażeniem na przychody z UE — kary sprawiają, że koszt przeglądu prawnego to błąd zaokrąglenia w porównaniu z potencjalnymi grzywnami. Wyznacz swojego upoważnionego przedstawiciela w UE, jeśli jesteś organizacją spoza UE. Przygotuj zgłoszenia rejestracyjne do bazy danych UE. Dla systemów, gdzie oceny zgodności nie są jeszcze zakończone, udokumentuj harmonogram remediacji jako dowód aktywnego postępu w compliance.

AI Act UE, NIS2, RODO — to jeden system teraz

AI Act UE nie działa w izolacji. Dla przedsiębiorstw już zarządzających zobowiązaniami NIS2 dla infrastruktury krytycznej, wymaganiami zarządzania danymi RODO i ramami bezpieczeństwa informacji ISO 27001, AI Act UE jest dodatkową warstwą — ale znacząco nakłada się na ramy, które możesz już mieć na miejscu.

Punktem zbieżności są ślady audytu. Wymagania logowania Artykułu 12 dla systemów AI wysokiego ryzyka są strukturalnie podobne do zobowiązań logowania incydentów NIS2. Wymagania RODO dotyczące rejestrów przetwarzania danych nakładają się z wymaganiami dokumentacji technicznej w Artykule 11. Ramy zarządzania ryzykiem ISO 27001 bezpośrednio odpowiadają wymaganiom systemu zarządzania ryzykiem Artykułu 9.

Dla organizacji wdrażających agentów AI — szczególnie tych połączonych przez serwery MCP — wymagania śladów audytu AI Act UE tworzą dodatkowy regulator napędzający pracę nad remediacją Shadow AI. Agent AI, któremu brakuje ustrukturyzowanego logowania, narusza Artykuł 12. Serwer MCP bez telemetrii narusza wymagania dokładności i odporności Artykułu 15. To nie są oddzielne kwestie zarządzania — to komponenty compliance AI Act UE dla każdej organizacji z materialnym narażeniem AI na rynkach UE.

Konsekwencje braku compliance kumulują się między ramami. Naruszenie AI Act UE generuje główną karę. Generuje również dowody niewystarczającego zarządzania, które zauważą regulatorzy NIS2. Tworzy luki w dokumentacji, do których odniosą się organy nadzorcze RODO. Grzywna to główny liczbowy news. Regulacyjny nadzór, który następuje, to trwała konsekwencja.

2 sierpnia 2026 roku to za 60 dni. Organizacje, które są przygotowane, znają swoje portfolio AI, sklasyfikowały swoje systemy wysokiego ryzyka i są w aktywnej remediacji. Organizacje, które nie są przygotowane, walczą z czasem nie przeciwko terminowi — przeciwko największej strukturze kar regulacyjnych kiedykolwiek zapisanej w prawie.

Lista kontrolna compliance AI Act UE (dla systemów AI z ekspozycją na rynek UE)

Klasyfikacja

  • [ ] Każdy system AI zmapowany do kategorii ryzyka Artykułu 6/Aneksu III
  • [ ] Zidentyfikowane punkty kontaktu z rynkiem/kontrahentami/użytkownikami UE dla każdego systemu
  • [ ] Systemom wysokiego ryzyka przypisani wewnętrzni właściciele

Dokumentacja

  • [ ] Dokumentacja techniczna dla każdego systemu wysokiego ryzyka (Artykuł 11)
  • [ ] System zarządzania jakością udokumentowany i zabezpieczony zasobami
  • [ ] Ocena zgodności zakończona lub w toku
  • [ ] Mechanizmy nadzoru człowieka udokumentowane dla każdego systemu wysokiego ryzyka

Rejestrowanie i ślady audytu

  • [ ] Automatyczne logowanie działa dla systemów wysokiego ryzyka (Artykuł 12)
  • [ ] Logi zawierają dane wejściowe, wyjściowe i kontekst decyzji
  • [ ] Infrastruktura logowania obejmuje agentów AI i serwery MCP

Rejestracja i reprezentacja

  • [ ] Systemy wysokiego ryzyka zarejestrowane w bazie danych UE (Artykuł 51)
  • [ ] Upoważniony przedstawiciel w UE wyznaczony (organizacje spoza UE)

Weryfikacja

  • [ ] Doradca prawny zaangażowany do przeglądu compliance
  • [ ] Harmonogram remediacji udokumentowany dla pozostałych luk

Synteza badawcza autorstwa Agencie. Źródła: Komisja Europejska — AI Act UE (artificialintelligenceact.eu), Artykuł 6 (Klasyfikacja), Artykuł 9 (Zarządzanie ryzykiem), Artykuł 11 (Dokumentacja techniczna), Artykuł 12 (Logowanie i ślady audytu), Artykuł 14 (Nadzór człowieka), Artykuł 15 (Dokładność, odporność i cyberbezpieczeństwo), Artykuł 51 (Rejestracja w bazie danych UE), Aneks III (Kategorie systemów AI wysokiego ryzyka). Wszystkie cytowane źródła to oficjalne teksty ustawodawcze UE.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.