EU AI Act: что бизнесу нужно знать о новых правилах в сфере ИИ

  • автор Ilona K.
EU AI Act: что бизнесу нужно знать о новых правилах в сфере ИИ

Содержание

  1. Что такое EU AI Act
  2. На кого распространяется EU AI Act?
  3. Когда вступают в силу требования EU AI Act
  4. Часто задаваемые вопросы

По мере распространения искусственного интеллекта (ИИ) появляются новые нормы, которые определяют, как компании могут разрабатывать и использовать ИИ-технологии. Один из ключевых документов – EU AI Act (закон Европейского союза, регулирующий разработку и использование ИИ-систем, который в ряде случаев также распространяется на компании за пределами ЕС). Разберём, что он регулирует, на кого распространяется и как бизнесу к нему подготовиться.

Что такое EU AI Act

EU AI Act – первый комплексный закон Европейского союза, регулирующий использование искусственного интеллекта.

Его цель – создать единые правила разработки и использования ИИ, при этом поддерживая технологическое развитие и снижая потенциальные риски для общества. Закон – лишь один из элементов более широкой стратегии ЕС по развитию надёжного и ориентированного на человека искусственного интеллекта, включая AI ​​Continental Action Plan, AI ​​Innovation Package и запуск AI Factories (инфраструктуры для разработки и внедрения искусственного интеллекта). Вместе эти инициативы направлены не только на обеспечение безопасности и защиту фундаментальных прав, но и на стимулирование инвестиций, инноваций и более широкого внедрения ИИ в ЕС.

Закон основан на риск-ориентированном подходе: чем выше вероятность того, что ИИ-система может повлиять на безопасность, права или интересы людей, тем более строгие требования к ней предъявляются. Поэтому AI ​​Act не устанавливает единые правила для всех ИИ-систем. Вместо этого они разделены на четыре категории риска, и для каждой предусмотрены свои требования:

Источник: European Commission

1. Неприемлемый риск

К этой категории относятся ИИ-системы, использование которых запрещено, поскольку они создают угрозу безопасности или фундаментальным правам человека. Среди примеров – системы социального рейтинга; технологии, использующие ИИ для манипулирования поведением человека или эксплуатации его уязвимостей; распознавание эмоций на рабочем месте и в образовательных учреждениях; а также отдельные виды биометрической идентификации в общественных пространствах. Запрет на такие практики вступил в силу в феврале 2025 года.

2. Высокий риск

К этой категории относятся ИИ-системы, которые могут существенно влиять на жизнь людей, например решения, применяемые в образовании, здравоохранении, сфере занятости, критической инфраструктуре, правоохранительной деятельности, миграции и оценке кредитоспособности.

Для таких систем AI ​​Act устанавливает самые строгие требования. Они включают управление рисками, использование качественных данных, ведение технической документации, обеспечение человеческого надзора, а также соблюдение требований к надёжности, точности и кибербезопасности.

Пример того, как закон работает для поставщиков ИИ-систем высокого риска. Источник: European Commission

3. Ограниченный риск

Для этой категории ключевое значение имеет прозрачность использования ИИ. Например, пользователи должны понимать, когда они взаимодействуют с ИИ-системой, такой как чат-бот. Кроме того, определённый контент, созданный с помощью ИИ, включая дипфейки, должен быть соответствующим образом промаркирован. Большинство требований к прозрачности начнут применяться с августа 2026 года.

4. Минимальный риск или отсутствие риска

Большинство ИИ-приложений относятся именно к этой категории. Сюда входят спам-фильтры, ИИ в видеоиграх и многие другие повседневные инструменты. AI ​​Act не устанавливает для таких приложений дополнительных обязательных требований.

Такой подход позволяет свободно развивать технологии там, где потенциальные риски минимальны, и одновременно устанавливает более строгие требования к тем сценариям применения ИИ, которые могут затрагивать безопасность или фундаментальные права человека.

На кого распространяется EU AI Act?

Источник: Pexels

Требования AI ​​Act распространяются не только на компании, создающие LLM или другие ИИ-системы. На практике закон может затронуть гораздо более широкий круг организаций, поскольку ИИ уже стал частью многих цифровых продуктов и бизнес-процессов.

Компании могут использовать ИИ как внутри организации, так и через сторонние решения, интегрированные в сайты, продукты или внутренние системы. Это может быть чат-бот службы поддержки, отвечающий на вопросы клиентов, рекомендательная система, помогающая пользователям подобрать подходящий продукт или услугу, инструмент для генерации контента или решение для анализа подозрительной активности.

Само по себе использование ИИ не означает автоматически, что компания подпадает под все требования EU AI Act. Обязанности зависят от роли, которую организация играет при использовании ИИ, конкретного применяемого инструмента и того, относится ли он к категориям, регулируемым законом.

Почему это важно для международного бизнеса

Ключевая особенность EU AI Act – его экстерриториальное действие.

Если организация предлагает товары или услуги пользователям в Европейском союзе либо результаты работы её ИИ-систем используются в ЕС, отдельные положения закона могут применяться к такой компании независимо от страны её регистрации.

Именно поэтому AI ​​Act уже вызывает интерес далеко за пределами европейского рынка.

Международная компания может использовать ИИ для автоматизации поддержки клиентов, обработки обращений или персонализации услуг. Если клиенты в странах ЕС пользуются такими возможностями, компании стоит оценить, какие именно правовые требования могут применяться к этим сценариям использования ИИ.

Это не означает, что любой бизнес, работающий с европейскими клиентами, должен автоматически соблюдать все положения AI ​​Act. Однако игнорировать новый закон только потому, что компания зарегистрирована за пределами Европейского союза, уже нельзя.

Почему это важно для доменной индустрии

Доменная индустрия также активно внедряет ИИ.

Сегодня ИИ помогает пользователям находить доступные доменные имена, предлагает альтернативы на основе ключевых слов или описаний проектов, автоматизирует поддержку клиентов и анализирует их запросы.

Искусственный интеллект также используется для повышения безопасности. Алгоритмы могут выявлять подозрительные регистрации, анализировать нетипичную активность или помогать обнаруживать домены, потенциально используемые для фишинга и других злоупотреблений.

Такие сценарии показывают, насколько тесно ИИ уже интегрирован в современную доменную индустрию.

Если такие сервисы доступны пользователям в Европейском союзе, компаниям стоит заранее оценить, распространяются ли отдельные требования EU AI Act на используемые ими ИИ-инструменты.

Что компаниям стоит сделать уже сейчас

Компаниям стоит внимательно оценить, как они используют ИИ в своей деятельности. Такой анализ поможет понять, какие положения закона могут быть актуальны для организации и какие шаги могут потребоваться в дальнейшем:

  1. Составить список ИИ-инструментов, используемых в компании, включая встроенные функции сторонних сервисов, чат-боты, инструменты автоматизации и решения для анализа данных.
  2. Определить роль компании в отношении каждого ИИ-решения, то есть понять, разрабатывает ли она собственную ИИ-систему, интегрирует ли существующий инструмент в свой продукт или использует его только для внутренних процессов.
  3. Оценить назначение используемых ИИ-систем и определить, подпадают ли они под категории, для которых AI ​​Act устанавливает дополнительные требования.
  4. Если компания подпадает под действие AI ​​Act, проверить, какие сотрудники работают с ИИ-инструментами, и убедиться, что у них есть необходимый уровень грамотности в области ИИ, как того требует закон.
  5. Следить за обновлениями регулирования, включая возможные изменения сроков и требований в рамках инициативы Digital Omnibus. 

Такая предварительная оценка поможет компании понять, какие положения AI ​​Act могут быть для неё актуальны, и подготовиться к будущему применению требований закона.

Использование ИИ становится стандартной частью цифрового бизнеса. Компании внедряют ИИ, чтобы ускорить обслуживание клиентов, автоматизировать рутинные задачи, повысить безопасность и сделать свои сервисы удобнее.

В то же время меняются и требования к использованию таких технологий.

Когда вступают в силу требования EU AI Act

Создано с помощью ИИ

Хотя EU AI Act официально вступил в силу в 2024 году, его положения вводятся постепенно. Это сделано для того, чтобы у компаний было время адаптироваться к новым требованиям. Сейчас можно выделить пять ключевых этапов:

Февраль 2025 года: первые запреты и требования к грамотности в области ИИ

Первые положения закона вступили в силу 2 февраля 2025 года.

Во-первых, начал действовать запрет на использование ИИ-систем, отнесённых к категории неприемлемого риска. К ним относятся системы социального рейтинга, технологии, основанные на манипулировании поведением человека, отдельные виды биометрической идентификации в общественных пространствах и ряд других практик, которые ЕС считает несовместимыми с защитой фундаментальных прав человека.

Во-вторых, компании, подпадающие под действие AI ​​Act, должны обеспечить достаточный уровень грамотности в области ИИ среди сотрудников, работающих с искусственным интеллектом. Это не означает обязательную сертификацию или единый курс. Однако организации должны убедиться, что сотрудники понимают возможности и ограничения используемых ИИ-систем, знают о связанных с ними рисках и умеют ответственно применять такие инструменты. При оценке учитываются роль сотрудника, специфика используемых ИИ-решений и контекст их применения. 

Август 2025 года: правила для моделей общего назначения

Следующий этап начался 2 августа 2025 года, когда стали применяться требования к поставщикам моделей искусственного интеллекта общего назначения (GPAI), например больших языковых моделей (LLM), которые могут использоваться для широкого круга задач.

Для поставщиков таких моделей закон устанавливает обязанности по подготовке технической документации, соблюдению требований авторского права, обеспечению достаточной прозрачности, а для наиболее мощных моделей – ещё и по управлению системными рисками.

Для большинства компаний, которые просто используют готовые ИИ-сервисы, этот этап имеет скорее косвенное значение. Однако эти требования распространяются на разработчиков и поставщиков базовых ИИ-моделей, на которых построены многие современные сервисы.

Август 2026 года: ключевые требования для бизнеса

Самой важной вехой для большинства компаний станет 2 августа 2026 года.

Именно с этой даты начнёт применяться значительная часть положений AI ​​Act, включая требования к ИИ-системам высокого риска, обязанности участников рынка, правила прозрачности и полномочия надзорных органов.

В частности, вступят в силу требования к ИИ-системам высокого риска, включая:

  • управление рисками на протяжении всего жизненного цикла системы;
  • обеспечение качества данных, используемых для обучения и работы ИИ;
  • ведение технической документации;
  • ведение журналов событий для обеспечения прослеживаемости работы системы;
  • человеческий надзор за работой ИИ;
  • соблюдение требований к точности, надёжности и кибербезопасности.

В этот же период начнут применяться многие требования к прозрачности. Например, пользователей нужно будет информировать о взаимодействии с ИИ-системой, такой как чат-бот, а определённый контент, созданный ИИ, включая дипфейки, должен будет соответствующим образом маркироваться.

Август 2027 года: ИИ в регулируемых продуктах

Следующий этап внедрения AI ​​Act начнётся 2 августа 2027 года. С этого момента закон будет применяться к ИИ-системам, которые являются компонентами безопасности в составе продуктов, уже регулируемых законодательством ЕС. Это относится, например, к медицинским изделиям, машинам и оборудованию, транспортным средствам и другим продуктам, где искусственный интеллект влияет на безопасность использования.

Конец 2030 года: завершение переходного периода

Финальный этап внедрения AI ​​Act завершится 31 декабря 2030 года. К этой дате отдельные крупные информационные системы Европейского союза, перечисленные в Приложении X к AI ​​Act (перечень некоторых крупных информационных систем ЕС, для которых закон предусматривает более длительный переходный период до полного соблюдения требований закона), должны будут соответствовать требованиям закона.

Для большинства компаний эта дата не повлечёт новых обязанностей, но именно она завершает поэтапное внедрение закона. Сейчас Европейская комиссия обсуждает инициативу Digital Omnibus (пакет законодательных поправок, направленных на упрощение и гармонизацию цифрового регулирования в ЕС и снижение административной нагрузки на бизнес), которая предлагает отложить вступление в силу отдельных требований для ИИ-систем высокого риска, предварительно до конца 2027 года.

Однако эти изменения пока не приняты. Поэтому компаниям рекомендуется ориентироваться на текущий график внедрения AI ​​Act и не откладывать подготовку в ожидании возможных изменений.

Подготовка к новым требованиям не обязательно означает, что уже сегодня нужно проводить масштабные изменения. Однако понимание того, где и как ИИ используется внутри компании, поможет своевременно оценить потенциальные риски, избежать неожиданных сложностей в будущем и увереннее адаптироваться к новому регулированию.

Часто задаваемые вопросы

Распространяется ли EU AI Act на компании за пределами Европейского союза?

Да. Закон имеет экстерриториальное действие. В определённых случаях его требования могут распространяться на компании, зарегистрированные за пределами ЕС, если они предлагают продукты или услуги пользователям в ЕС либо если результаты работы их ИИ-систем используются на территории ЕС.

Все ли компании обязаны соблюдать EU AI Act?

Нет. Обязанности зависят от роли компании в использовании ИИ, задействованных ИИ-систем и категории риска, к которой они относятся. Само по себе использование ИИ не означает автоматического применения всех требований закона.

Какие ИИ-системы регулируются наиболее строго?

Самые строгие требования применяются к ИИ-системам высокого риска. К ним относятся решения, используемые в здравоохранении, образовании, сфере занятости, критической инфраструктуре, правоохранительной деятельности и оценке кредитоспособности. Для таких систем AI ​​Act устанавливает требования к управлению рисками, качеству данных, документации, человеческому надзору и кибербезопасности.

Когда вступит в силу большая часть требований EU AI Act?

Хотя закон вступил в силу в 2024 году, его положения вводятся поэтапно. Одна из ключевых дат – 2 августа 2026 года, когда начнёт применяться значительная часть требований для бизнеса, включая правила для ИИ-систем высокого риска и требования к прозрачности. При этом отдельные положения уже действуют с февраля и августа 2025 года.

Что компании стоит сделать сейчас?

Начать с внутренней оценки использования ИИ: определить, какие ИИ-инструменты применяются в компании, где они используются, какую роль организация играет в отношении этих систем и могут ли они подпадать под действие AI ​​Act. Такой анализ поможет заранее понять, какие обязанности могут возникнуть по мере вступления закона в силу.

Хотите быть в курсе трендов технологической отрасли? Посетите блог it.com Domains и свяжитесь с нами в социальных сетях.

Эта статья была переведена искусственным интеллектом и может содержать неточности. Читайте оригинал на английском языке.

Ilona K.
Ilona K.
Поделиться записью!

Join Our Newsletter!

Insights on domains, behind-the-scenes company news, and what’s happening across the industry — delivered to your inbox.
You’re in!
We’ll be in touch with fresh updates and stories.