Az Európai Unió 2026. május 7-én, egy hajnali 4:30-kor létrejött ideiglenes megállapodás keretében formálisan is módosította a mérföldkőnek számító AI Törvény megfelelési ütemtervét. A „Digitális Omnibusz az AI-ról” néven ismert egyezség kettős üzenetet hordoz a piac számára: míg a magas kockázatú kategóriába sorolt rendszerek fejlesztői lélegzetvételnyi szünethez jutottak, a generatív AI-modellek szolgáltatóira és felhasználóira minden eddiginél szigorúbb és gyorsabb megfelelési kényszer nehezedik. Ez a kettősség alapjaiban rajzolja át a vállalatok AI stratégiáját és kockázatkezelési terveit.
Haladék a Magas Kockázatú Rendszereknek: Időnyerés vagy Bizonytalanság?
A legjelentősebb változás, hogy az európai vállalatok, amelyek a munkaerő-felvétel, az egészségügy vagy az oktatás területén fejlesztenek AI-eszközöket, 16 hónapos haladékot kaptak a legszigorúbb megfelelési kötelezettségeik teljesítésére. Az AI Törvény III. mellékletében felsorolt, úgynevezett magas kockázatú rendszerekre vonatkozó határidő 2026. augusztus 2-ról 2027. december 2-ra tolódik. Hasonlóképpen, az I. melléklet alá tartozó, szabályozott termékekbe ágyazott AI-rendszerek 12 hónapos hosszabbítást kapnak, így az ő határidejük 2027 augusztusáról 2028 augusztusára módosul.
AI Biztonság kérdésed van? Itt elérsz minket:
A halasztás oka prózai: a harmonizált európai szabványok kidolgozásáért felelős CEN-CENELEC Műszaki Bizottság (JTC 21) nem tudta tartani a saját maga által kitűzött 2025. augusztusi határidőt. Bár 2025 októberében rendkívüli, gyorsított eljárásokat vezettek be, a szabványok késése bizonytalanságot szült a piacon.
Az AIQ szerint ez egy pragmatikus, de kétélű döntés. A vállalatok értékes időt nyernek a felkészülésre, a dokumentációk összeállítására és a rendszereik alapos tesztelésére. Ugyanakkor a szabványok hiánya miatti hosszabb bizonytalanság megnehezíti a konkrét technikai és szervezeti intézkedések megtervezését. Vállalati kontextusban ez azt jelenti, hogy a plusz időt nem a hátradőlésre, hanem a proaktív kockázatelemzésre, az OWASP LLM Top 10 sebezhetőségek elleni védekezés megerősítésére és egy rugalmas megfelelési stratégia kidolgozására kell fordítani. Az auditok és a red teaming szerepe felértékelődik, hiszen ezek segítenek feltárni azokat a rejtett kockázatokat, amelyekre a jövőbeli szabványok valószínűleg szintén kitérnek majd.
Generatív AI: A Türelmi Idő Lejárt
Míg a magas kockázatú rendszerek haladékot kaptak, a generatív AI területén az EU egyértelműen a gyors és szigorú fellépés mellett döntött. Két kulcsfontosságú területen vezettek be kemény, 2026. december 2-i határidőt:
- Vízjelezési kötelezettség: A generatív AI rendszereknek egyértelműen jelezniük kell, ha a tartalom mesterségesen generált. Ez a szabály azokra a rendszerekre is vonatkozik, amelyek már 2026. augusztus 2. előtt a piacon voltak.
- Beleegyezés nélküli intim képek generálásának tilalma: Az AI Törvény 5. cikkét kiegészítve explicit módon tiltják azokat az AI-rendszereket, amelyek azonosítható személyekről azok beleegyezése nélkül hoznak létre vagy manipulálnak intim, szexuálisan explicit ábrázolásokat. Ezzel párhuzamosan a gyermekek szexuális zaklatását ábrázoló anyagok generálását is tiltják.
A szabályozói szigor nem véletlen. A háttérben ott áll a Grok botrány, amelynek során a modell becslések szerint 3 millió szexualizált képet generált 2025. december 29. és 2026. január 8. között. Az eset formális vizsgálatokat indított el Írország adatvédelmi hatóságánál és az Európai Bizottságnál a Digitális Szolgáltatások Törvénye (DSA) alapján, és egy holland bíróság 2026 márciusában napi 100 000 eurós bírság terhe mellett tiltotta el az xAI-t a hasonló képek generálásától.
Vállalati kontextusban ez azt jelenti, hogy a generatív AI-t használó vagy fejlesztő cégeknek azonnal cselekedniük kell. A megfelelés már nem csak a modell pontosságáról szól, hanem a rosszindulatú felhasználás aktív megakadályozásáról is. Ez közvetlenül kapcsolódik az OWASP LLM Top 10 több pontjához, különösen az LLM04: Model Denial of Service (a káros tartalmak generálása a szolgáltatás felfüggesztéséhez vezethet) és az LLM09: Overreliance (a modellre való túlzott támaszkodás megfelelő biztonsági korlátok nélkül) sebezhetőségekhez. Az auditoknak ki kell terjedniük a tartalomszűrési mechanizmusok, a prompt-moderálás és a naplózási rendszerek hatékonyságára.
Felelősség a Beszállítói Láncban és Brutális Bírságok
A módosítás egy másik kritikus eleme a felelősségi lánc megerősítése. A felülvizsgált 25. cikk szerint, ha egy AI-rendszer eredeti szolgáltatójának modelljét egy másik szereplő lényegesen módosítja vagy más célra használja fel, az eredeti szolgáltatónak át kell adnia minden olyan technikai dokumentációt, amely a megfelelőség értékeléséhez szükséges. Ennek az információmegosztási kötelezettségnek a megszegése a legmagasabb bírságsávba került: akár 15 millió euró vagy a globális éves árbevétel 3%-a.
A tiltott gyakorlatok (mint a társadalmi pontozás vagy a tudatküszöb alatti manipuláció, amelyek már 2025. február 2. óta hatályban vannak) megsértése esetén a büntetés még súlyosabb: akár 35 millió euró vagy a globális árbevétel 7%-a. Ezzel az AI megfelelőség végérvényesen a felsővezetői és igazgatósági szintek felelősségi körébe került.
Az AIQ szerint ez a változás a GDPR elveit honosítja meg az AI világában, különös tekintettel az elszámoltathatóságra. A vállalatoknak nem elég a saját portájukon rendet tartaniuk; auditálniuk kell a beszállítóikat és partnereiket is. A „security-by-design” elv mellett a „compliance-by-design” is alapkövetelménnyé válik, ahol a technikai dokumentáció és az átláthatóság a termékfejlesztés szerves része.
Összefoglalva, az AI Törvény módosítása egyértelmű irányt szab. A piacnak alkalmazkodnia kell a kétsebességes szabályozáshoz: a magas kockázatú rendszerek fejlesztői időt nyertek a felkészülésre, de a generatív AI-t alkalmazóknak a visszaszámlálás már elindult. A proaktív audit, a red teaming és a robusztus belső szabályozás már nem csupán ajánlás, hanem a túlélés záloga a súlyos bírságokkal fenyegető új európai AI-korszakban.