Az Európai Parlament 2024. március 13-án, 523 igen, 46 nem és 49 tartózkodó szavazattal hivatalosan is elfogadta az EU AI Act-et, létrehozva ezzel a világ első kötelező érvényű jogi keretrendszerét a mesterséges intelligenciára vonatkozóan. A jogszabály 2024. augusztus 1-jén lépett hatályba, elindítva egy többlépcsős bevezetési időszakot, amelynek legfontosabb mérföldköve 2026 augusztusa. A határidők közeledtével a puszta szakpolitikai viták helyét a gyakorlati megvalósítás részletei veszik át.
A többlépcsős bevezetési ütemterv
A jogalkotó egy szakaszos bevezetést írt elő, hogy a piac szereplőinek legyen idejük felkészülni. Fontos megérteni, hogy nem egyetlen, mindent elsöprő határidőről van szó, hanem egy gondosan ütemezett folyamatról. A legfontosabb dátumok a következők:
AI Biztonság kérdésed van? Itt elérsz minket:
- 2025. február 2.: A tiltott AI-gyakorlatokra vonatkozó szabályoknak való megfelelés határideje. Ez az első és legsürgetőbb lépés, amely az elfogadhatatlan kockázatot jelentő rendszereket célozza, mint például a társadalmi pontozórendszerek vagy a manipulatív technológiák.
- 2025. augusztus 2.: Az általános célú AI (GPAI) modellekre vonatkozó szabályok hatályba lépése. Ez a nagy nyelvi modellek (LLM-ek) és más alapmodellek fejlesztőire ró jelentős átláthatósági és dokumentációs kötelezettségeket.
- 2026. augusztus: A jogszabály legtöbb alapvető rendelkezésének alkalmazása megkezdődik. Ez a 24 hónapos implementációs időszak végét jelenti, és ez az a dátum, amikortól a legtöbb vállalatnak teljes mértékben meg kell felelnie az előírásoknak.
- 2027. augusztus: A magas kockázatú AI-rendszerek egy speciális csoportjára, nevezetesen az I. melléklet szerinti termékbiztonsági jogszabályok hatálya alá tartozó rendszerekre egy hosszabb, 36 hónapos átállási időszak vonatkozik.
Kockázatalapú megközelítés: Mit jelent ez a gyakorlatban?
Az AI Act központi eleme a kockázatalapú keretrendszer, amely az AI-rendszereket az alapvető jogokra gyakorolt potenciális hatásuk alapján kategorizálja. A „magas kockázatú” kategóriába sorolt rendszerekre – melyeket a jogszabály I. melléklete részletez – lényegesen szigorúbb kötelezettségek vonatkoznak.
Az AIQ szerint ez a megközelítés közvetlen párhuzamba állítható a GDPR adatvédelmi hatásvizsgálat (DPIA) koncepciójával. Vállalati kontextusban ez azt jelenti, hogy a megfelelési folyamat első és megkerülhetetlen lépése egy belső AI audit és kockázatértékelés. A cégeknek pontosan fel kell térképezniük és klasszifikálniuk kell az általuk fejlesztett vagy használt AI-rendszereket. Enélkül lehetetlen meghatározni a konkrét kötelezettségeket és kidolgozni egy hatékony megfelelési stratégiát. A besorolás elmulasztása vagy téves elvégzése súlyos jogi és pénzügyi következményekkel járhat.
A megfelelés hiányának ára és az OWASP LLM Top 10 kapcsolata
A jogszabály megsértése komoly szankciókat von maga után. A tiltott AI-rendszerekkel kapcsolatos jogsértések esetén a bírság elérheti a 35 millió eurót vagy a vállalat teljes globális éves forgalmának 7%-át, attól függően, hogy melyik a magasabb összeg. Ez egyértelműen jelzi, hogy a jogalkotó a legmagasabb szintű kockázatként tekint a nem megfelelő AI-alkalmazásokra.
Az AIQ álláspontja szerint a megfelelés nem csupán egy jogi, hanem egy alapvető kiberbiztonsági és üzleti kockázatkezelési feladat is. Az AI Act által előírt követelmények – mint például a robusztusság, az átláthatóság, az emberi felügyelet és az adatkormányzás – szorosan illeszkednek az OWASP LLM Top 10-ben azonosított sérülékenységek mérsékléséhez.
- Az átláthatósági követelmények (pl. a modell képességeinek és korlátainak dokumentálása) segítenek megelőzni az LLM06: Sensitive Information Disclosure (Érzékeny adatok kiszivárogtatása) és az LLM09: Overreliance (Túlzott bizalom) kockázatokat.
- A robusztusságra vonatkozó előírások közvetlenül célozzák az LLM01: Prompt Injection (Prompt-injektálás) és az LLM03: Insecure Output Handling (Nem biztonságos kimenetkezelés) elleni védekezést.
- A szigorú adatkormányzási szabályok elengedhetetlenek az LLM04: Model Poisoning (Modellmérgezés) és a kapcsolódó adatszivárgási kockázatok csökkentéséhez.
Vállalati kontextusban ez azt jelenti, hogy egy alapos, OWASP LLM Top 10 szempontokat is figyelembe vevő AI-biztonsági audit nemcsak a technikai sebezhetőségeket tárja fel, hanem egyben a jogi megfelelés alapjait is megteremti. A két területet nem lehet többé külön kezelni.
Felkészülés a 2026-os határidőre
A globális technológiai cégeknek és minden, az EU piacán működő vállalatnak legkésőbb 2026 augusztusáig teljes megfelelést kell elérnie. Bár egyes iparági kritikusok attól tartanak, hogy a szigorú szabályozás gátolhatja az európai versenyképességet, más jelentések szerint a tiszta szabályozás éppen a hosszú távú befektetésekhez szükséges jogbiztonságot teremti meg.
Az AIQ előrejelzése szerint a következő időszakban ugrásszerűen megnő a kereslet az AI audit szolgáltatások és a megfelelőséget támogató szoftveres megoldások iránt, ahogy a vállalatok igyekeznek tartani a 2026-os határidőt. Azok a szervezetek, amelyek már most megkezdik a felkészülést, jelentős versenyelőnyre tehetnek szert azokkal szemben, akik az utolsó pillanatra hagyják a cselekvést.