eu-ai-act

Clasificarea Risc Ridicat in EU AI Act: Comisia Si-a Ratat Termenul. Tu Il Vei Rata pe al Tau?

Petru Constantin
--7 min lectura
#eu-ai-act#devidevs

Clasificarea Risc Ridicat in EU AI Act: Comisia Si-a Ratat Termenul. Tu Il Vei Rata pe al Tau?

Cei Care Scriu Regulile Nu Isi Pot Respecta Propriile Termene

Comisia Europeana trebuia sa publice ghiduri practice pentru clasificarea sistemelor AI cu risc ridicat pana la 2 februarie 2026. Articolul 96 din AI Act cerea acest lucru. Ghidurile trebuiau sa includa exemple concrete despre ce se califica drept risc ridicat si ce nu, plus un plan de monitorizare post-piata pentru furnizori.

Au ratat termenul. La mijlocul lui martie 2026, ghidurile inca nu au fost publicate. Comisia a spus ca "integreaza feedback" si planuieste sa lanseze un proiect "pentru mai mult feedback." Mai mult feedback pe feedback.

Intre timp, termenul tau de conformitate este 2 august 2026. Mai putin de cinci luni. Comisia isi permite sa intarzie. Tu nu.

De Ce Clasificarea Este Partea Cea Mai Grea

Majoritatea companiilor cred ca respectarea EU AI Act incepe cu documentatia. Nu este asa. Incepe cu o singura intrebare: sistemul tau AI este cu risc ridicat?

Raspunde gresit si tot ce urmeaza este gresit. Fie te conformezi excesiv (arzi bani pe documentatie pentru un sistem care nu este cu risc ridicat) fie te conformezi insuficient (rulezi un sistem cu risc ridicat neinregistrat cu amenzi de pana la 3% din cifra de afaceri anuala globala conform Articolului 99).

Iata de ce clasificarea este mai grea decat pare.

Articolul 6 are doua cai catre risc ridicat. Prima cale (Articolul 6(1)) acopera sistemele AI care sunt componente de siguranta ale produselor deja reglementate de legislatia UE listata in Anexa I, precum dispozitive medicale, masini si vehicule. Daca AI-ul tau este incorporat intr-un produs reglementat si produsul necesita o evaluare a conformitatii de catre tert, AI-ul tau este cu risc ridicat. Destul de clar.

A doua cale (Articolul 6(2)) este unde devine complicat. Aceasta acopera sisteme AI standalone in cele opt categorii din Anexa III: biometrie, infrastructura critica, educatie, angajare, acces la servicii esentiale, aplicarea legii, migratie si administrarea justitiei. Daca sistemul tau AI se incadreaza intr-una din aceste categorii, este cu risc ridicat cu exceptia cazului in care poti invoca exceptia din Articolul 6(3).

Exceptia din Articolul 6(3) este locul unde companiile se blocheaza. Un sistem din Anexa III NU este cu risc ridicat daca nu prezinta "un risc semnificativ de dauna" SI indeplineste una din patru conditii: efectueaza o sarcina procedurala ingusta, imbunatateste o activitate umana finalizata anterior, detecteaza modele fara a inlocui evaluarea umana sau efectueaza o sarcina pregatitoare pentru o decizie umana.

Dar iata capcana: exceptia nu se aplica niciodata daca sistemul AI profileaza persoane fizice. Si trebuie sa iti documentezi rationamentul si sa inregistrezi sistemul oricum. Daca o autoritate nationala nu este de acord cu autoevaluarea ta, esti raspunzator.

Fara exemplele Comisiei, companiile fac aceste judecati pe orbeste. Este AI-ul tau de triere CV-uri o "sarcina procedurala ingusta" pentru ca doar sorteaza CV-urile alfabetic? Probabil nu. Modelul tau de scor de credit face "munca pregatitoare" pentru o decizie umana daca omul aproba 98% din recomandarile modelului fara revizuire? Aproape sigur nu.

Standardele Sunt Si Ele Intarziate

Clasificarea este doar pasul unu. Odata ce stii ca sistemul tau este cu risc ridicat, trebuie sa te conformezi cu Articolele 8 pana la 15: management al riscurilor, guvernanta datelor, documentatie tehnica, pastrarea inregistrarilor, transparenta, supraveghere umana, acuratete, robustete si securitate cibernetica.

Calea de conformitate pe care o prevede AI Act se bazeaza pe standarde armonizate dezvoltate de CEN/CENELEC. Aceste standarde erau initial prevazute pentru aprilie 2025. Comisia a revizuit termenul la august 2025. CEN/CENELEC a ratat si asta. In octombrie 2025, ambele comitete tehnice au adoptat masuri de urgenta pentru a accelera livrarea, vizand T4 2026 pentru primele standarde.

T4 2026. Asta este dupa termenul de conformitate din 2 august 2026.

Fara standarde armonizate, companiile trebuie sa foloseasca procedura de evaluare a conformitatii din Anexa VII direct. Asta inseamna sa interpretezi textul regulamentului singur, sa iti construiesti propriul framework de conformitate si sa speri ca un organism notificat (care abia exista inca pentru AI) este de acord cu interpretarea ta.

Cum Sa Gestionezi Clasificarea Risc Ridicat Fara Ghidurile Comisiei

A astepta ca Bruxelles-ul sa se organizeze este o strategie. Una proasta. Iata ce functioneaza in schimb.

Pasul 1: Construieste inventarul tau AI. Nu poti clasifica ce nu ai catalogat. Listeaza fiecare sistem AI pe care organizatia ta il dezvolta, implementeaza sau foloseste. Include instrumentele AI furnizate de vendori. Peste jumatate din organizatii nu au inventare sistematice AI conform studiilor de conformitate. Daca nu stii ce AI rulezi, nu poti evalua riscul.

Pasul 2: Mapeaza fiecare sistem pe categoriile Anexei III. Pentru fiecare sistem AI, intreaba: opereaza in biometrie, infrastructura critica, educatie, angajare, servicii esentiale, aplicarea legii, migratie sau justitie? Daca da, este candidat pentru clasificare cu risc ridicat. Daca nu, probabil este risc minim sau limitat (dar verifica si obligatiile de transparenta din Articolul 50, acelea sunt de asemenea scadente la 2 august 2026).

Pasul 3: Aplica testul exceptiei din Articolul 6(3) onest. Pentru fiecare candidat din Anexa III, evalueaza cele patru conditii ale exceptiei. Documenteaza-ti rationamentul. Fii conservator. Daca argumentezi ca sistemul tau AI este "doar o sarcina pregatitoare" dar oamenii ii aproba output-ul fara verificare, argumentul nu va tine. Daca sistemul profileaza persoane, exceptia nu se aplica deloc.

Pasul 4: Incepe documentatia tehnica acum. Pentru sistemele pe care le clasifici ca risc ridicat, Articolele 8 pana la 15 cer documentatie extinsa. Sistem de management al riscurilor (Articolul 9), practici de guvernanta a datelor (Articolul 10), specificatii tehnice ale sistemului (Articolul 11), capabilitati de logare (Articolul 12), instructiuni pentru utilizatori (Articolul 13), masuri de supraveghere umana (Articolul 14) si cerinte de acuratete/robustete/securitate cibernetica (Articolul 15). Asta inseamna luni de munca, nu saptamani.

Pasul 5: Nu astepta standardele armonizate. Foloseste framework-urile existente ca schela. ISO/IEC 42001 (sisteme de management AI) se mapeaza bine pe cerintele de management al calitatii din AI Act. NIST AI Risk Management Framework acopera evaluarea riscurilor. Textul propriu-zis al Articolelor din AI Act plus considerentele ofera suficienta specificitate pentru a construi un framework de conformitate functional. Te poti alinia cu standardele armonizate cand ajung in cele din urma.

Omnibus-ul Nu Te Va Salva

Poate ai auzit ca UE intarzie termenul pentru risc ridicat. Comisiile IMCO/LIBE ale Parlamentului European au adoptat un mandat de negociere pe 18 martie 2026, iar Consiliul si-a adoptat pozitia pe 13 martie. Ambele propun mutarea conformitatii standalone pentru risc ridicat la 2 decembrie 2027.

Dar aceasta este o propunere, nu o lege. Negocierile de trilog intre Parlament, Consiliu si Comisie nu au inceput. Cea mai realista adoptare rapida este sfarsitul anului 2026 sau inceputul anului 2027. Pana cand Digital Omnibus trece si intra in vigoare, 2 august 2026 ramane termenul limita obligatoriu din punct de vedere legal.

Sa pariezi calendarul de conformitate pe faptul ca politicienii vor termina la timp nu este o strategie pe care cineva cu experienta in managementul riscurilor enterprise ar recomanda-o. Chiar daca termenul se muta, cerintele raman identice. Fiecare zi pe care o petreci pe clasificare si documentatie acum este o zi pe care nu o petreci in panica mai tarziu.

Cum Abordeaza DeviDevs Aceasta Problema

Derulam workshop-uri de clasificare a sistemelor AI cu echipele de inginerie si juridic. Aproximativ patru ore per sistem iti dau o determinare clara de risc ridicat sau non-risc ridicat, documentata la standardul pe care il cere regulamentul. Folosim direct criteriile Anexei III si conditiile exceptiei din Articolul 6(3), fara sa asteptam ghiduri de la Comisie care s-ar putea sa nu atinga niciodata specificitatea de care are nevoie sistemul tau.

Daca ai stagnat pentru ca si Comisia si-a ratat propriul termen, este de inteles. Dar regulamentul nu stagneaza impreuna cu ei.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

eu-ai-act

UE a actionat impotriva X si Meta pentru conformitatea GPAI. Integrarea ta este urmatoarea.

UE aplica acum regulile de conformitate GPAI impotriva X si Meta. Daca integrezi GPT, Claude sau Llama in productie, ai obligatii de deployer.

6 min read
eu-ai-act

Continutul Tau AI Are Nevoie de Eticheta pana in August. Iata Ce Cere de Fapt Articolul 50.

Regulile de transparenta din Articolul 50 al EU AI Act intra in vigoare in august 2026 fara intarziere. Doar 18% din sistemele AI au etichetare vizibila a continutului. Iata ce trebuie sa faci.

8 min read
eu-ai-act

Termenul Limita EU AI Act NU S-a Schimbat. Iata Ce S-a Intamplat de Fapt.

Parlamentul si Consiliul au votat, dar termenul limita din august 2026 al EU AI Act este inca lege. Intarzierea propusa prin Digital Omnibus nu este adoptata. Iata ce sa faci acum.

6 min read
← Inapoi la Blog