EU AI Act

16 luni in plus pentru conformitate AI. Nu asteptati.

Petru Constantin
--8 min lectura
#eu-ai-act#devidevs

UE tocmai ti-a dat 16 luni in plus pentru conformitatea AI. Iata de ce nu ar trebui sa astepti.

Amanarea pe care toata lumea o dorea

Pe 13 martie 2026, Consiliul UE a agreat pozitia sa de negociere privind propunerea Digital Omnibus. Titlul principal: obligatiile pentru sisteme AI cu risc ridicat din Anexa III ar putea fi amanate de la 2 august 2026 pana la 2 decembrie 2027. Sistemele din Anexa I ar putea primi termen pana in august 2028.

Saisprezece luni in plus. Exact ce cereau toti din cercurile de conformitate.

Iata problema: aceasta nu este inca lege. Comisiile IMCO si LIBE ale Parlamentului European voteaza propria versiune chiar acum (programat pentru 18 martie 2026). Apoi urmeaza trilogul. Apoi adoptarea finala. Comisia a propus initial amanarea in noiembrie 2025. Patru luni mai tarziu, tot nu a fost adoptata.

Daca esti CTO si rulezi sisteme AI in UE, iar roadmap-ul tau de conformitate depinde de aceasta amanare, pariezi compania pe un proces legislativ care intarzie in mod notoriu.

Motivul real al amanarii

Sa fim sinceri de ce a propus Comisia aceasta extensie. Nu pentru ca ei cred ca firmele au nevoie de mai mult timp sa inoveze. Ci pentru ca infrastructura nu este pregatita.

Standardele armonizate nu au fost publicate. Primul, prEN 18286 pentru sisteme de management al calitatii, a intrat in consultare publica in octombrie 2025, cu aproximativ opt luni intarziere fata de tinta din aprilie 2025. Majoritatea statelor membre nu si-au desemnat autoritatile competente. Organismele notificate nu sunt desemnate in numar suficient pentru a gestiona evaluarile de conformitate.

Comisia a construit un cadru de reglementare, apoi si-a dat seama ca nimeni nu a construit instalatia. Digital Omnibus este o intarziere de instalator, nu o schimbare de politica.

Asta conteaza pentru ca obligatiile in sine nu s-au schimbat. Ce trebuie sa FACI este exact la fel. DATA pana la care trebuie sa faci se schimba. Si chiar si acea schimbare are un termen limita ferm: obligatiile intra in vigoare la sase luni dupa ce Comisia confirma ca standardele sunt gata, indiferent daca este 2027 sau nu.

Intre timp, aplicarea a inceput deja

In timp ce procesul legislativ continua, AI Office nu sta degeaba.

8 ianuarie 2026: Comisia a ordonat lui X sa pastreze toate datele legate de Grok si a deschis proceduri oficiale de incalcare DSA pentru imagini non-consensuale si dezinformare din "Spicy Mode". Amenda potentiala: pana la 6% din cifra de afaceri globala.

16 ianuarie 2026: Comisia a lansat o investigatie ecosistemica privind sistemele AI ale Meta. Meta a refuzat sa semneze GPAI Code of Practice si se afla acum sub "control mai atent."

3 februarie 2026: Procurorii francezi au perchezitionat birourile X din Paris ca parte a unei investigatii penale privind capacitatile deepfake ale Grok.

Practicile AI interzise sunt aplicabile de la 2 februarie 2025. Obligatiile GPAI de la 2 august 2025. Furnizorii de AI de uz general sunt deja supusi cerintelor de transparenta. Amanarea pentru risc ridicat priveste o singura felie din Regulament, nu tot.

Daca sistemul tau AI atinge ceva din interdictii sau regulile GPAI, esti deja in sfera de aplicare. Nicio amanare nu te salveaza.

Cifrele care ar trebui sa te ingrijoreze

Conform Cloud Security Alliance, peste jumatate din organizatii nu au inventare sistematice AI. Acesta este pasul unu al conformitatii. Nu poti clasifica ceea ce nu ai catalogat.

Aproximativ 40% din sistemele AI enterprise nu pot fi mapate curat pe nivelurile de risc ale Regulamentului. Deci chiar si companiile care AU un inventar nu pot stabili ce reguli li se aplica.

Organismele notificate, organizatiile autorizate sa efectueze evaluari de conformitate de catre terti, au deja programari pana in Q2 2026. Un calendar realist de conformitate dureaza 8-14 luni de la demarare pana la evaluarea de conformitate. Daca incepi astazi, te uiti la ianuarie-mai 2027. Daca astepti confirmarea amanarii, incepi cel mai devreme in H2 2026 si termini undeva in 2028, potential dupa termenul extins.

Matematica este simpla: 16 luni suplimentare de marja se evapora daca petreci 6 din ele asteptand confirmarea si inca 3 cautand un organism notificat disponibil.

Ce ar trebui sa faci cu timpul suplimentar

Trateaza amanarea ca marja pentru o conformitate mai buna, nu ca motiv sa nu faci nimic.

Luna 1-2: Inventarul sistemelor AI. Catalogheaza fiecare sistem AI in productie si dezvoltare. Include instrumentele AI terte pe care echipele tale le folosesc (da, acel wrapper ChatGPT construit de echipa de marketing conteaza). Daca nu poti inventaria sistemele, nimic altceva nu conteaza.

Luna 2-4: Clasificarea riscurilor. Mapeaza fiecare sistem pe categoriile din Anexa III. Comisia a ratat propriul termen din 2 februarie 2026 pentru publicarea ghidului detaliat al Articolului 6, deci va trebui sa lucrezi direct din Anexa. Aduna in aceeasi camera oamenii de la legal si tehnic. Deciziile de clasificare necesita ambele perspective.

Luna 4-8: Documentatie si controale tehnice. Construieste sistemul de management al calitatii. Implementeaza masuri de guvernanta a datelor (Articolul 10). Pune la punct procese de management al riscurilor (Articolul 9). Incepe logarea (Articolul 12). Majoritatea acestor activitati sunt practici de inginerie cu adevarat utile, indiferent de reglementare.

Luna 8-12: Pregatirea evaluarii de conformitate. Pregateste pachetul de documentatie tehnica. Daca ai nevoie de un organism notificat, rezerva-l devreme. Sistemele cu autoevaluare au nevoie de procese de audit intern care sa reziste scrutinului.

Luna 12-16: Testare si remediere. Ruleaza evaluarea de conformitate. Repara ce pica. Documenteaza ce ai facut si de ce. Inregistreaza-te in baza de date UE.

Acest calendar presupune o singura trecere fara surprize majore. Realitatea adauga de obicei 30-50% timp suplimentar. Ceea ce inseamna ca daca incepi acum ai exact destul timp, nu prea mult.

EDPB tocmai a complicat lucrurile

Un lucru despre care nu se vorbeste suficient: Opinia comuna EDPB-EDPS 1/2026 a avertizat ca Digital Omnibus risca sa slabeasca protectiile drepturilor fundamentale. Autoritatile de protectie a datelor se opun propunerilor de relaxare a cerintelor de procesare a datelor din categorii speciale pentru AI.

In practica, asta inseamna ca conformitatea cu EU AI Act si conformitatea cu GDPR sunt pe un curs de coliziune. Daca sistemul tau AI proceseaza date personale (iar majoritatea o fac), ai nevoie de un DPIA care sa tina cont de ambele cadre. A le face separat este reteta pentru contradictii. A le face impreuna dureaza mai mult, dar produce ceva coerent.

Ghidurile comune privind suprapunerea GDPR-EU AI Act sunt asteptate undeva in 2026. Cand apar, fiecare companie care are deja inventarul AI si clasificarea riscurilor facuta va fi cu saptamani inaintea tuturor celorlalti.

Primii misca, primii castiga contracte

Nu este vorba doar de evitarea amenzilor (desi amenzile de pana la 7% din cifra de afaceri globala sau 35 milioane EUR tind sa atraga atentia boardului). Companiile care demonstreaza conformitatea cu EU AI Act devreme vor avea un avantaj competitiv in achizitii.

Cumparatorii enterprise incep sa includa cerinte de guvernanta AI in RFP-uri. Contractele guvernamentale din UE vor necesita dovezi de conformitate. Companiile de asigurari introduc clauze de AI Security care necesita red-teaming adversarial documentat si evaluari de risc. Fara documentatie inseamna fara acoperire.

Amanarea este un cadou, dar doar daca il folosesti. Saisprezece luni de marja de conformitate sunt exact ce trebuia pentru 50% din organizatiile care nu au inceput. Saisprezece luni de "sa asteptam si sa vedem" este modul in care ajungi sa te grabesti in Q3 2027 fara disponibilitate la organisme notificate si cu un inventar incomplet.

Ce am vazut la DeviDevs

Am facut clasificari de sisteme AI si evaluari de gap-uri de conformitate pentru companii europene de la inceputul lui 2025. Tiparul este mereu acelasi: echipele subestimeaza cate sisteme AI au, supraestimeaza cat de bine documentate sunt acele sisteme si descopera ca partea grea nu este regulamentul in sine, ci coordonarea interna necesara pentru conformitate.

Daca echipa ta se uita la aceasta amanare si se intreaba daca sa inceapa sau sa astepte, incepe. Munca de conformitate pe care o faci acum este utila indiferent cand pica termenul. Documentatie buna, management al riscurilor corect si monitorizare sistematica nu sunt overhead reglementar. Sunt igiena inginereasca.

Daca te confrunti cu asta si nu stii de unde sa incepi, am trecut prin asta. Un workshop de clasificare de 2 ore este de obicei suficient sa iti spuna cat de multa munca te asteapta de fapt.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com

Nu esti sigur unde se incadreaza sistemul tau AI conform EU AI Act? Fa evaluarea gratuita de risc - afla in 2 minute →

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

EU AI Act

EU GPAI: obligatii pentru utilizatorii AI

UE aplica acum regulile de conformitate GPAI impotriva X si Meta. Daca integrezi GPT, Claude sau Llama in productie, ai obligatii de deployer.

6 min read
EU AI Act

EU AI Act Art. 50: etichete continut AI din august

Regulile de transparenta din Articolul 50 al EU AI Act intra in vigoare in august 2026 fara intarziere. Doar 18% din sistemele AI au etichetare vizibila a.

8 min read
EU AI Act

Termenul EU AI Act NU s-a schimbat. Iata de ce.

Parlamentul si Consiliul au votat, dar termenul limita din august 2026 al EU AI Act este inca lege. Intarzierea propusa prin Digital Omnibus nu este.

7 min read
← Inapoi la Blog