Az Európai Unió Tanácsa, az Európai Parlament és az Európai Bizottság tárgyalói ideiglenes megállapodásra jutottak az EU AI Törvény első, „Digital Omnibus on AI” névre keresztelt módosító csomagjáról. A 2024 júniusában elfogadott törvényhez képest ez a csomag egyszerre hoz enyhítést és szigorítást, ami alapvető stratégiai kiigazításokat követel meg a piaci szereplőktől.
Halasztott Határidők: Lélegzetvételnyi Idő vagy Veszélyes Halogatás?
A legszembetűnőbb változás a megfelelési határidők lépcsőzetes elhalasztása. Ez a gyakorlatban több időt ad a felkészülésre, de kritikus, hogy a vállalatok mire használják ezt a plusz időt.
AI Biztonság kérdésed van? Itt elérsz minket:
- A III. melléklet szerinti, felhasználás-alapú magas kockázatú AI rendszerek (HRAIS) esetében a kötelezettségek kezdete 2026. augusztus 2-ról 2027. december 2-ra tolódik, ami 16 hónap haladékot jelent.
- Az I. melléklet szerinti, termékszabályozott HRAIS rendszerekre vonatkozó kötelezettségek egy évvel később, 2027. augusztus 2. helyett 2028. augusztus 2-án lépnek hatályba.
- A szintetikus tartalmat generáló vagy manipuláló AI rendszerek szolgáltatóinak kötelezettsége (50. cikk (2) bekezdés) 4 hónappal, 2026. december 2-ig halasztódik.
- A tagállamoknak szabályozói tesztkörnyezetek (sandbox) létrehozására egy évvel több idejük lesz, az új határidő 2027. augusztus 2.
Az AIQ szerint ez a haladék nem a hátradőlésre, hanem a proaktív cselekvésre ad lehetőséget. A nyert időt a vállalatoknak mélyreható biztonsági auditokra, az OWASP LLM Top 10 sebezhetőségekre fókuszáló LLM red teaming gyakorlatokra és a teljes AI ellátási lánc átvilágítására kell fordítaniuk. Aki most kezd el felkészülni, az a szigorított határidők lejártakor versenyelőnyben lesz azokkal szemben, akik az utolsó pillanatra hagyták a megfelelést.
Új Tilalmak és Megnövelt Felelősség az Ellátási Láncban
Miközben a határidők tolódnak, a törvény más területeken jelentősen szigorodik. Két új, explicit tilalmat vezettek be, amelyek 2026. december 2-án lépnek hatályba:
- AI rendszerek használata beleegyezés nélküli, intim tartalom generálására vagy manipulálására.
- AI rendszerek használata gyermekek szexuális zaklatását ábrázoló anyagok (CSAM) generálására vagy manipulálására.
Vállalati kontextusban ez azt jelenti, hogy a modellek biztonsági szűrőinek (safety guardrails) auditálása és a kimenetek monitorozása kiemelt prioritássá válik. Ez közvetlenül kapcsolódik az OWASP LLM Top 10 LLM05: Supply Chain Vulnerabilities és LLM06: Sensitive Information Disclosure pontjaihoz, hiszen a szolgáltatóknak biztosítaniuk kell, hogy modelljeik ne legyenek felhasználhatók ilyen tiltott célokra.
A szigorítások az AI értéklánc egészére kiterjednek. A 25. cikk (4) bekezdésének módosítása előírja, hogy a magas kockázatú rendszerekben felhasznált „AI modell” is része kell, hogy legyen az írásos megállapodásnak. Ezzel párhuzamosan a 99. cikk (4) bekezdése új bírságkategóriát vezet be az információmegosztási kötelezettségek (25. cikk (2) és (4) bekezdés) megsértésére: a büntetés a globális éves árbevétel 3%-áig vagy 15 millió euróig terjedhet. Ez a felelősséget egyértelműen kiterjeszti a modellfejlesztőkre és -szállítókra is.
GDPR és az AI Office: Új Adatvédelmi és Felügyeleti Keretek
A módosítás egy rendkívül fontos adatvédelmi kérdést is érint. Az új 4a. cikk lehetővé teszi a különleges kategóriájú személyes adatok felhasználását az AI rendszerek torzításainak (bias) felderítésére és korrigálására, szigorú biztosítékok mellett. Az AIQ álláspontja szerint ez egy pragmatikus lépés, amely elismeri, hogy a torzításmentesítéshez szükség lehet érzékeny adatok elemzésére. Ugyanakkor ez a felhatalmazás rendkívül alapos adatvédelmi hatásvizsgálatokat (DPIA) és a legmagasabb szintű technikai és szervezési (TOMs) védelmi intézkedéseket követeli meg, ami új auditfókuszt jelent a GDPR-megfelelőségben.
A felügyeleti oldalon az AI Office kizárólagos hatáskört kap bizonyos rendszerek felett:
- Azok az AI rendszerek, amelyek ugyanazon szolgáltató által fejlesztett általános célú AI (GPAI) modelleken alapulnak.
- A Digitális Szolgáltatásokról szóló törvény (DSA) hatálya alá tartozó, nagyon nagy online platformokba vagy keresőmotorokba integrált rendszerek.
Ez a központosítás hatékonyabbá teheti a felügyeletet, de egyben azt is jelenti, hogy a legnagyobb szereplők egyetlen, rendkívül felkészült hatóság szigorú ellenőrzése alá kerülnek.
Audit Tanulságok és Következő Lépések
A „Digital Omnibus” csomag egyértelmű üzenetet küld a piacnak: a haladék nem felmentés. A vállalatoknak most kell cselekedniük.
Audit szempontból a legfontosabb teendők:
- Kockázatértékelés frissítése: Újra kell értékelni, hogy egy AI rendszer a pontosított definíciók szerint magas kockázatúnak minősül-e, különös tekintettel a gépekről szóló rendelet (Machinery Regulation) átsorolására és a „biztonsági komponens” fogalmának szűkítésére.
- Beszállítói szerződések felülvizsgálata: Az új, 15 millió eurós bírsággal fenyegetett információmegosztási kötelezettségek miatt minden AI beszállítói szerződést át kell vizsgálni és ki kell egészíteni a 25. cikk követelményeivel.
- Technikai biztonsági auditok: Az új tilalmak miatt elengedhetetlen a modellek red teaming vizsgálata, hogy feltárják, mennyire ellenállóak a tiltott tartalmak generálására irányuló kísérletekkel szemben.
- GDPR megfelelőség ellenőrzése: Amennyiben egy cég a torzításmentesítéshez különleges kategóriájú adatokat használ, annak jogi és technikai keretrendszerét haladéktalanul auditálni kell.
A módosítások a Hivatalos Lapban való közzétételt követő harmadik napon lépnek hatályba. Bár a megfelelési határidők távolibbnak tűnnek, a jogi és technikai alapokat most kell lefektetni a biztonságos és jogkövető AI működéshez.