Przedsiębiorcy czekający na pełne wdrożenie Aktu o AI z 2024 r. muszą przygotować się na istotne zmiany. Aktualnie trwają zaawansowane prace nad nowelizacją Digital Omnibus, która po głosowaniu w Parlamencie Europejskim z 26 marca 2026 r. trafiła do finałowych negocjacji (trilogu).

Ta nagła przebudowa to efekt starcia unijnych ambicji z rzeczywistością. Pierwotny harmonogram oraz infrastruktura nadzoru okazały się na ten moment jedynie teoretycznym założeniem, niemożliwym do technicznego spełnienia w zakładanych terminach.

Harmonogram wdrożenia AI Act 2.0

Głównym powodem nagłej nowelizacji jest fakt, że pierwotny harmonogram wdrożenia Aktu o AI okazał się nierealny. Unia Europejska uregulowała technologię znacznie szybciej, niż była w stanie stworzyć aparat do egzekwowania przepisów. Do dziś nie powstały kluczowe normy zharmonizowane, a państwa członkowskie w wielu przypadkach nie wyznaczyły organów nadzoru ani jednostek certyfikujących.

Digital Omnibus to de facto operacja ratunkowa, mająca zapobiec paraliżowi prawnemu, w którym biznes miałby obowiązek wykazania zgodności, nie dysponując narzędziami, by to zrobić.

Nowy kalendarz wdrożenia

Parlament Europejski odrzucił propozycję Komisji, by to urzędnicy decydowali o gotowości systemu i wprowadził sztywne daty graniczne, co daje firmom większą pewność planowania. Nowy harmonogram przewiduje:

• 2 listopada 2026 r. - termin na wdrożenie mechanizmów oznaczania treści syntetycznych (watermarking) dla systemów obecnych na rynku.

• 2 grudnia 2027 r. - objęcie rygorami systemów wysokiego ryzyka (np. biometria, infrastruktura krytyczna, zatrudnienie).

• 2 sierpnia 2028 r. - ostateczny termin dla systemów AI wbudowanych w produkty regulowane prawem sektorowym, np. wyroby medyczne.

Strategiczne zmiany merytoryczne i nowe standardy bezpieczeństwa w Digital Omnibus

Pakiet Digital Omnibus zawęża definicję wysokiego ryzyka

Jedną z najważniejszych zmian jest zawężenie definicji systemów wysokiego ryzyka, co ułatwia pracę producentom inteligentnego sprzętu. Według nowych wytycznych system AI zostanie uznany za wysokoryzykowny tylko wtedy, gdy jest on niezbędny do zapewnienia zgodności produktu z wymogami bezpieczeństwa. Oznacza to, że funkcje pomocnicze, jak np. inteligentny asystent w lodówce, których awaria nie zagraża życiu, zostają wyłączone z najbardziej kosztownego reżimu prawnego.

Wyższe standardy przetwarzania danych wrażliwych

Parlament zaostrzył zasady przetwarzania danych wrażliwych (np. rasa, zdrowie) w celu wykrywania stronniczości AI. Obecnie takie działanie musi być „ściśle konieczne” i ogranicza się co do zasady wyłącznie do systemów wysokiego ryzyka, co wymaga od firm rewizji procesów trenowania modeli.

Rozszerzenie katalogu praktyk zakazanych - zakaz aplikacji typu „nudifier”

Nowelizacja wprowadza zdecydowany zakaz wprowadzania do obrotu i używania systemów AI projektowanych do generowania nagich obrazów lub filmów przedstawiających rozpoznawalne osoby bez ich przyzwolenia.

Impulsem dla ustawodawcy stał się przypadek modelu Aurora, który przy minimalnych zabezpieczeniach został masowo wykorzystany do produkcji treści naruszających godność tysięcy osób. Regulacja ta nie potępia samej technologii, lecz nakłada na biznes obowiązek aktywnego przeciwdziałania jej patologicznym zastosowaniom poprzez wdrażanie adekwatnych zabezpieczeń.

Nadzór i kary - giganci pod większą kontrolą

• Odpowiedzialność dostawców GPAI: Dostawcy najpotężniejszych modeli mają teraz ustawowy obowiązek wspierania firm budujących na ich bazie aplikacje wysokiego ryzyka, m.in. przez udostępnianie dokumentacji technicznej.

  
  

• Współdzielony nadzór: Parlament odebrał Urzędowi ds. AI (AI Office) wyłączność nadzoru nad dużymi modelami. Organy krajowe będą mogły działać samodzielnie, jeśli Urząd nie wszczął postępowania.

  
  

• Brak taryfy ulgowej w karach: Preferencyjne, niższe pułapy kar dla MŚP nie będą miały zastosowania do dostawców modeli GPAI o ryzyku systemowym, nawet jeśli formalnie są oni małymi firmami.

Jak wykorzystać dodatkowy czas dzięki Digital Omnibus

Pakiet Digital Omnibus pokazuje, że unijne prawo staje się bardziej reaktywne.

Dla przedsiębiorców zmiany te oznaczają:

1. Więcej czasu na audyty

Przesunięcie terminów pozwala na rzetelne przygotowanie dokumentacji technicznej.

2. Mniejszą biurokrację

Dzięki integracji z prawem sektorowym wymogi AI Act stają się częścią istniejących certyfikacji produktowych („zasada jednego okienka”).

3. Współdzielony nadzór

Kontrola nad AI nie będzie już wyłącznie domeną organów unijnych - dużą rolę odzyskają organy krajowe, co ułatwi firmom komunikację z regulatorem w lokalnym języku.

Mimo przesunięcia terminów na 2 grudnia 2027 r., kary finansowe pozostają surowe i mogą sięgać do 7% światowego obrotu przedsiębiorstwa.

Pakiet Digital Omnibus zawęża jednak definicję wysokiego ryzyka, obejmując nią tylko te systemy AI, które są faktycznie niezbędne do zapewnienia bezpieczeństwa produktu. Ta zmiana wymaga od firm ponownej, dokładnej oceny wszystkich posiadanych funkcji „smart”, aby uniknąć błędnego zakwalifikowania błahej innowacji jako systemu wysokiego ryzyka.

Strategiczne wykorzystanie zyskanego czasu na audyt techniczny pozwoli organizacjom zbudować bezpieczną strukturę zgodności i uniknąć ryzyka finansowego w przyszłości.