Az Európai Unió egy jelentős módosító csomaggal, az úgynevezett AI Act Omnibus-szal változtatott a mesterséges intelligenciára vonatkozó szabályozás ütemezésén. A május 7-i politikai megállapodás legfontosabb eleme, hogy a magas kockázatú MI-rendszerek (HRAIS) üzemeltetői haladékot kaptak: az önálló rendszerekre vonatkozó megfelelési határidő 2027. december 2-ra, míg a szabályozott termékek (pl. orvostechnikai eszközök, járművek, játékok) biztonsági komponenseire vonatkozó határidő 2028. augusztus 2-ra tolódott. Ez a lépés, bár látszólag fellélegzést hoz, komoly stratégiai átgondolást igényel a vállalatok részéről.
A haladék oka és értelmezése
A határidők kiterjesztésének elsődleges oka, hogy a Bizottság nem publikálta időben a szükséges harmonizált szabványokat, amelyek a megfelelés technikai részleteit tisztázták volna. Ez a csúszás most egy teljes extra évet biztosít az önálló HRAIS rendszerek fejlesztőinek és üzemeltetőinek, hogy véglegesítsék a kockázati besorolásukat, kiépítsék a belső irányítási keretrendszereket és előkészítsék a szükséges technikai dokumentációt.
AI Biztonság kérdésed van? Itt elérsz minket:
Fontos részlet a „grandfathering” szabály bevezetése: azok az MI-rendszerek, amelyeket a fenti új határidők előtt már piacra vittek az EU-ban, mentesülnek a HRAIS követelmények alól, kivéve, ha lényeges módosításon esnek át. Az Omnibus csomag emellett pontosította a törvény hatályát, kivett bizonyos ipari alkalmazásokat a szabályozás alól, és egyszerűsítette a torzításészlelési (bias-detection) folyamatokat.
Az AIQ szerint ez a haladék nem egyenlő a felkészülés leállításával. Épp ellenkezőleg: ez egy stratégiai lehetőség a mélyebb, alaposabb felkészülésre. A vállalatoknak ezt az időt arra kell fordítaniuk, hogy ne csak egy „pipát” tegyenek a megfelelőség mellé, hanem valóban robusztus, biztonságos és etikus MI-irányítási rendszereket építsenek ki. Az auditok során szerzett tapasztalataink azt mutatják, hogy a technikai dokumentáció és a kockázatkezelési folyamatok megfelelő kialakítása időigényes feladat, amire most értékes plusz idő áll rendelkezésre.
Ami nem vár: a 2026-os transzparenciai kötelezettségek
Míg a HRAIS megfelelés távolabbinak tűnik, az AI Act 50. cikkelyében foglalt transzparenciai kötelezettségek határideje változatlan maradt: 2026. augusztus 2. Ez a dátum kritikusan fontos, és már a küszöbön áll. A következőkre kell felkészülni:
- Chatbotok és interakciók: A felhasználókat egyértelműen tájékoztatni kell arról, hogy egy MI-rendszerrel lépnek interakcióba.
- Érzelemfelismerés: Az érzelemfelismerő vagy biometrikus kategorizáló rendszerek használatát fel kell tárni az érintettek előtt.
- Deepfake címkézés: Minden mesterségesen generált vagy manipulált audio- és vizuális tartalmat (deepfake) egyértelműen meg kell jelölni.
A generatív MI-modellekre vonatkozó vízjelezési kötelezettség a már működő rendszerek esetében 2026. december 2-án lép életbe. Ezen transzparenciai szabályok megsértése esetén a bírság akár a 15 millió eurót vagy a globális éves árbevétel 3%-át is elérheti.
Vállalati kontextusban ez azt jelenti, hogy ezek a követelmények közvetlenül kapcsolódnak az OWASP LLM Top 10 sebezhetőségeihez. A deepfake címkézés (LLM04: Model Poisoning, LLM09: Overreliance) segít megelőzni a dezinformáció terjedését és a rendszerekkel való túlzott bizalmat. A chatbotok egyértelmű azonosítása pedig csökkenti a social engineering támadások kockázatát. Az AIQ auditjai során kiemelt figyelmet fordítunk arra, hogy egy vállalat MI-alkalmazásai megfelelnek-e ezeknek a már rövid távon is kötelezővé váló átláthatósági elvárásoknak.
A tágabb kép: KKV-k, GDPR és a brit különút
Az Omnibus csomag pozitív hírt hozott a közepes méretű vállalatoknak is. A KKV-knak szánt megfelelési könnyítéseket kiterjesztették a legfeljebb 750 főt foglalkoztató és 150 millió eurós árbevételt el nem érő cégekre is. Ez szélesebb kör számára teszi kezelhetőbbé a szabályozási terheket.
Ugyanakkor a Latham & Watkins jogi iroda figyelmeztetése rendkívül fontos: a vállalatoknak nem szabad hagyniuk, hogy a határidők meghosszabbítása elterelje a figyelmüket a GDPR betartásáról. A GDPR végrehajtása már most is aktív az MI-kontextusban, és a két szabályozás szorosan összefügg, különösen az adatkezelés, a méltányosság és a diszkriminációmentesség terén.
Az AIQ álláspontja szerint az AI Act megfelelőségnek egy szilárd GDPR alapra kell épülnie. Az MI-rendszerek tanításához használt adatok jogszerűsége, a beépített adatvédelem és a hatásvizsgálatok elvégzése már ma is kötelező, és az AI Act csak tovább erősíti ezeket az elvárásokat.
Eközben az Egyesült Királyság egy strukturálisan eltérő utat választ. A „Regulating for Growth Bill” egy szektorális, nem pedig egy horizontális keretrendszert vázol fel. Ez azt jelenti, hogy azok a brit cégek, amelyek az EU piacán is jelen vannak, hamarosan két, egymástól eltérő MI-szabályozási rendszernek kell, hogy megfeleljenek. Egy friss felmérés szerint a brit informatikai vezetők 62%-a jelenleg nem áll teljesen készen az AI Act-re, ami intő jel lehet az európai vállalatok számára is.
Konklúzió: Mit tegyünk most?
Bár a legszigorúbb határidők kitolódtak, a teendők listája nem rövidült. A 2026-os transzparenciai kötelezettségek miatt a felkészülést azonnal meg kell kezdeni vagy folytatni. Javasoljuk a vállalatoknak, hogy térképezzék fel MI-rendszereiket, azonosítsák az 50. cikkely hatálya alá eső alkalmazásokat, és kezdjék meg a szükséges technikai és folyamatbeli változtatások implementálását. A HRAIS rendszerek esetében pedig a kapott plusz időt egy mélyebb, átfogóbb kockázatértékelésre és egy valóban hatékony irányítási keretrendszer kiépítésére kell fordítani. Az AI Act-re való felkészültség egyre inkább versenyelőnyt jelent az európai piacon.