Az Európai Bizottság 2026. május 19-én közzétette az EU mesterséges intelligencia törvénye (EU AI Act) szerinti magas kockázatú MI-rendszerek osztályozására vonatkozó iránymutatás-tervezetét. A bejelentéssel egyidejűleg nyilvános konzultációt is indítottak, amely 2026. június 23-ig tart. Bár a dokumentum egyelőre nem jogilag kötelező érvényű, és a végső értelmezés joga az Európai Unió Bíróságát illeti meg, a tervezet kulcsfontosságú betekintést nyújt a szabályozó szándékaiba, és ami még fontosabb, a megfelelési határidőket is módosítja.
Mit tartalmaz az iránymutatás-tervezet?
A 2024. augusztus 1-jén hatályba lépett EU AI Act egyik legkritikusabb pontja a „magas kockázatú” rendszerek definíciója. Az új iránymutatás-tervezet, amely a törvény 6. cikkének (5) bekezdése alapján készült, pontosan ezt a kérdést hivatott tisztázni. A dokumentum három fő részből áll:
AI Biztonság kérdésed van? Itt elérsz minket:
- A 2. szakasz a 6. cikk (1) bekezdése és az I. melléklet szerinti osztályozással foglalkozik.
- A 3. szakasz a 6. cikk (2) bekezdése és a III. melléklet hatálya alá tartozó rendszereket tárgyalja. Ide tartoznak bizonyos önálló MI-rendszerek, amelyeket olyan érzékeny területeken alkalmaznak, mint a biometrikus azonosítás, az oktatás, a foglalkoztatás, az alapvető szolgáltatásokhoz való hozzáférés és a bűnüldözés.
A tervezet nem kimerítő példákat tartalmaz arra vonatkozóan, hogy mely rendszerek minősülhetnek magas kockázatúnak, és melyek nem. Ez a megközelítés rugalmasságot biztosít, ugyanakkor a vállalatok számára némi bizonytalanságot is hordoz, amíg a végleges verzió el nem készül a konzultációt követően.
Kitolt határidők: fellélegezhetnek a vállalatok?
Az eredeti ütemterv szerint a magas kockázatú besorolásra vonatkozó iránymutatást 2026. február 2-ig várták. A mostani közzététellel együtt a „Digital Omnibus on AI” felülvizsgálta a megfelelési határidőket is, ami a piac számára talán a legfontosabb hír. Az új ütemterv a következőképpen alakul:
- Az önálló, magas kockázatú MI-rendszerekre vonatkozó követelmények 2027. december 2-tól lépnek életbe.
- A termékekbe ágyazott magas kockázatú MI-rendszerek esetében a megfelelési kötelezettség 2028. augusztus 2-án kezdődik.
Az AIQ szerint ez a haladék kritikus fontosságú, de nem a tétlenségre, hanem a stratégiai felkészülésre ad lehetőséget. A magas kockázatú besorolás komplex jogi és műszaki feladat, amely mélyreható elemzést igényel. A vállalatoknak ezt a plusz időt arra kell felhasználniuk, hogy elvégezzék a belső auditokat, azonosítsák a potenciálisan érintett rendszereiket, és kiépítsék a szükséges belső megfelelési keretrendszereket. A mostani tervezet egyfajta iránytű, amely segít a termékfejlesztési és kockázatkezelési stratégiák finomhangolásában.
Az AI Act és az OWASP LLM Top 10: Biztonsági szempontok a gyakorlatban
Vállalati kontextusban ez azt jelenti, hogy a jogi megfelelés és a kiberbiztonság szorosan összefonódik. Míg az AI Act meghatározza, mely rendszerek jelentenek magas kockázatot, az olyan keretrendszerek, mint az OWASP LLM Top 10, arra adnak választ, hogy hogyan sebezhetők ezek a rendszerek.
Az AIQ álláspontja szerint a magas kockázatú besorolás drámaian megnöveli a technikai sebezhetőségek súlyát. Nézzünk néhány példát:
- Foglalkoztatás (III. melléklet): Egy önéletrajzokat előszűrő, magas kockázatú MI-rendszer esetében egy sikeres Prompt Injection (LLM01) támadás nem csupán technikai hiba, hanem súlyos diszkriminációs és jogi kockázat, amely az AI Act és a GDPR előírásait is sérti.
- Biometrikus azonosítás (III. melléklet): Ha egy ilyen rendszerből Érzékeny Információk Szivárognak Ki (LLM06), az nemcsak adatvédelmi incidens, hanem az AI Act által előírt alapvető jogok megsértése is.
- Alapvető szolgáltatások (III. melléklet): Egy hitelbírálati rendszer esetében a Bizonytalan Kimenet Kezelése (LLM02) miatti hibás döntés közvetlen és súlyos következményekkel járhat az érintett személyekre nézve, ami a törvény szerinti felelősségre vonást alapozhat meg.
A magas kockázatú besorolás tehát a gyakorlatban azt jelenti, hogy az LLM red teaming és a sebezhetőségi vizsgálatok már nem csupán „ajánlott gyakorlatok”, hanem a jogi megfelelés elengedhetetlen eszközei.
Audit és megfelelés: Mit tegyen most?
A kitolt határidők adta lehetőséggel élni kell. Az AIQ szerint a vállalatoknak a következő lépéseket érdemes megfontolniuk:
- Belső felmérés: Azonnal kezdjék meg a meglévő és fejlesztés alatt álló MI-rendszereik feltérképezését az iránymutatás-tervezet szempontjai szerint. Melyik rendszer eshet a III. melléklet hatálya alá? Melyik végez olyan tevékenységet, ami magas kockázatot hordoz?
- Kockázatelemzés és audit: A potenciálisan magas kockázatú rendszereknél végezzenek mélyreható technikai és megfelelőségi kockázatelemzést. Ez magában foglalja a biztonsági auditokat, az LLM red teaminget és a bias-teszteket is, hogy feltárják a rejtett sebezhetőségeket.
- Dokumentáció és folyamatok kiépítése: Az AI Act szigorú dokumentációs követelményeket támaszt. A mostani időszak tökéletes arra, hogy kiépítsék azokat a belső folyamatokat, amelyek biztosítják a folyamatos megfelelést és az elszámoltathatóságot, összhangban a GDPR elveivel.
- Részvétel a konzultációban: Az érintett iparági szereplőknek érdemes élniük a lehetőséggel, és a 2026. június 23-i határidőig visszajelzést adni a tervezetről, hogy a végleges szabályozás a lehető legéletszerűbb legyen.
A hosszabb felkészülési idő értékes erőforrás, de a feladat összetett. A proaktív, biztonságközpontú megközelítés nemcsak a bírságokat segít elkerülni, hanem a bizalmat is építi a felhasználók és az ügyfelek felé egy egyre inkább MI-vezérelt világban.