Az Európai Unió Tanácsának elnöksége és az Európai Parlament tárgyalói ideiglenes megállapodásra jutottak az AI törvény (AI Act) egyes végrehajtási határidőinek meghosszabbításáról. Míg az eredeti tervek szerint a legtöbb rendelkezés 2026. augusztus 2-án lépett volna hatályba, a frissített ütemterv több lépcsőben vezeti be a kötelezettségeket. Ez azonban nem ad okot a megnyugvásra; a törvény globális hatóköre és a súlyos szankciók miatt a vállalatoknak már most cselekedniük kell.
A Módosított Határidők Térképe: Kire Mi Vonatkozik?
A megfelelési kötelezettségek bevezetése mostantól egy lépcsőzetes folyamat, amely lehetővé teszi a vállalatok számára a prioritások felállítását. A legfontosabb dátumok a következők:
AI Biztonság kérdésed van? Itt elérsz minket:
- 2026. augusztus 2.: A vízjelezési kötelezettség a piacra még nem került generatív AI rendszerek esetében. Ez a dátum változatlan maradt.
- 2026. december 2.: Hatályba lépnek egyes átláthatósági kötelezettségek, valamint egy új, tiltott AI gyakorlatra vonatkozó szabályozás, amely a beleegyezés nélküli, szexuális és/vagy intim tartalom vagy visszaélésre alkalmas anyagok generálására vonatkozik.
- 2027. december 2.: A magas kockázatú AI rendszerekre vonatkozó megfelelési határidő.
- 2028. augusztus 2.: A megfelelési határidő azon magas kockázatú AI rendszerek számára, amelyeket más uniós termékbiztonsági rendeletek által már szabályozott termékek biztonsági komponenseként használnak.
Az AIQ szerint ez a lépcsőzetes bevezetés stratégiai tervezést igényel. A cégeknek először a generatív AI modellek átláthatósági és vízjelezési követelményeire kell fókuszálniuk, majd ezt követően kell felkészülniük a magas kockázatú rendszerek komplexebb auditálási és dokumentációs feladataira.
A Kockázati Piramis: Nem Minden AI Egyenlő
Az AI törvény egy kockázatalapú megközelítést alkalmaz, amelyet egy négy szintből álló piramisként lehet elképzelni. A szabályozás fókusza a magas kockázatú kategórián van, míg a minimális vagy kockázatmentes rendszerekre – mint például egy AI alapú spam szűrő – nem vezet be új szabályokat.
Magas kockázatú AI rendszereknek minősülnek azok, amelyeket olyan területeken használnak, mint a toborzás, előléptetés és teljesítménymenedzsment, a hitelképesség értékelése, a pénzügyi szolgáltatásokhoz való hozzáférés, valamint a biometrikus azonosítás.
Vállalati kontextusban ez azt jelenti, hogy a kockázati besorolás nem csupán egy jogi formalitás, hanem egy kiberbiztonsági keretrendszer alapja is. Egy magas kockázatú rendszernek ellenállónak kell lennie az olyan támadásokkal szemben, mint az adat-mérgezés (data poisoning) vagy a modell-kijátszás (model evasion). Ezek a fenyegetések közvetlenül kapcsolódnak az OWASP LLM Top 10 olyan pontjaihoz, mint az LLM03: Training Data Poisoning. Egy alapos AI biztonsági auditnak fel kell mérnie nemcsak a rendszer rendeltetésszerű működését, hanem a rosszindulatú felhasználásból eredő potenciális károkat is, amelyek a rendszer valós kockázati szintjét meghatározzák.
Generatív AI és GPAI Modellek a Szabályozás Kereszttüzében
Az AI törvény külön szabályokat vezet be az általános célú AI (GPAI) modellekre, beleértve a nagy nyelvi és generatív modelleket is. Minden GPAI modell szolgáltatójának kötelező lesz:
- Részletes technikai dokumentációt biztosítani.
- Megfelelni az EU szerzői jogi törvényeinek.
- Összefoglalót közzétenni a tanítóadatok forrásairól.
Az AIQ álláspontja szerint a „fekete doboz” modellek korszaka ezzel véget ér az EU-ban. A technikai dokumentáció és a tanítóadatok átláthatósága elengedhetetlen egy biztonsági audit során. Ezek az információk teszik lehetővé számunkra, hogy felmérjük a tanítóadatokból eredő sebezhetőségeket (pl. torzítások, rejtett rosszindulatú adatok) és a modell architektúrájának gyengeségeit. Ez szorosan kapcsolódik a GDPR átláthatósági és elszámoltathatósági alapelveihez, valamint segít megelőzni az OWASP LLM Top 10-ben szereplő érzékeny adatok kiszivárgását (LLM06: Sensitive Information Disclosure).
Területen Kívüli Hatály és Súlyos Szankciók: Miért Érinti Ez Önt is?
Az AI törvény hatálya messze túlmutat az EU határain. A szabályozás vonatkozik:
- Azokra a szolgáltatókra, akik AI rendszereket vagy GPAI modelleket hoznak forgalomba az EU piacán, függetlenül attól, hogy a szolgáltató az EU-ban telepedett-e le.
- Az EU-n belül található AI rendszerek felhasználóira.
- Az EU-n kívül letelepedett szolgáltatókra és felhasználókra, amennyiben az AI rendszerük kimenetét az EU-ban használják fel.
A szabályok be nem tartása jelentős bírságokat vonhat maga után, amelyek a legsúlyosabb jogsértések esetén elérhetik a 35 millió eurót vagy a globális éves árbevétel 7%-át – attól függően, melyik a magasabb.
Az AIQ szerint ez a GDPR-hoz hasonló, globális hatású szabályozás. Bármely magyar vagy nemzetközi vállalat, amelynek uniós ügyfelei vagy felhasználói vannak, köteles felmérni az általa használt vagy fejlesztett AI rendszereket. A magas bírságok miatt az AI biztonság már nem csupán technikai, hanem felsővezetői szintű pénzügyi kockázati kérdés. Egy proaktív AI biztonsági audit (red teaming) elengedhetetlen a megfelelés biztosításához és a súlyos szankciók elkerüléséhez. Az EU által közzétett megfelelőség-ellenőrző eszköz jó kiindulópont lehet, de nem helyettesíti a mélyreható szakértői vizsgálatot.