Как сильно Закон ЕС об ИИ фактически повлияет на ваш бизнес?

Когда вступают в силу новые положения, вот что компании действительно должны знать о соблюдении требований

2 февраля 2025 года стала первым крупным этапом в реализации Закона ЕС об ИИ, когда вступили в силу положения, запрещающие запрещенные практики ИИ и требующие от организаций обеспечить, чтобы их сотрудники имели достаточные знания, навыки и понимание того, как работает ИИ, его рисков и преимуществ (грамотность ИИ). Теперь 2 августа 2025 года стал еще одним критическим этапом, поскольку вступили в силу обязательства для моделей ИИ общего назначения.

Закон об ИИ применяется к тем, кто продает, импортирует или предоставляет ИИ-системы или модели ИИ общего назначения в ЕС, независимо от того, базируются они в ЕС или нет. Он также применяется к компаниям, базирующимся в ЕС, которые используют ИИ-системы или модели.

Хотя компании действительно обеспокоены обязательствами по соблюдению требований ИИ, реальность для большинства бизнесов будет менее драматичной, чем могут показаться положения на первый взгляд.

Как человек, который руководит глобальной компанией, которая обширно использует ИИ в нашей платформе управления документами, мне пришлось ориентироваться в этом регулировании firsthand. Правда в том, что для绝 большего числа бизнесов Закон об ИИ гораздо более управляем, чем может показаться на первый взгляд — подобно тому, как GDPR казался подавляющим с американской точки зрения, но оказался работоспособным, когда вы понимаете принципы.

Но в отличие от единой даты реализации GDPR, Закон об ИИ вводится поэтапно. С штрафами до 35 миллионов евро или 7% от общего оборота и одним критическим этапом правоприменения刚剛 позади и еще одним крупным сроком впереди, важно правильно определить стратегию соблюдения требований.

Где мы находимся на временной шкале

По состоянию на август 2025 года обязательства для моделей ИИ общего назначения (GPAI) теперь вступили в силу — и это влияет на гораздо больше компаний, чем многие осознают. Если вы используете основные модели, такие как GPT-5, Claude или Llama в ваших продуктах, вы можете унаследовать обязанности по соблюдению требований, даже если вы считаете себя просто “пользователем” модели.

Обязанности включают демонстрацию соблюдения авторского права в обучающих данных, проведение тестирования на устойчивость к атакам для выявления уязвимостей безопасности, реализацию надежных мер безопасности и предоставление подробной технической документации о возможностях и ограничениях модели.

Многие компании SaaS предполагают, что они освобождены, поскольку они не разрабатывают модели с нуля. Но если вы настраиваете или модифицируете модели каким-либо образом, вы можете обнаружить, что вы подвергаетесь обязательствам GPAI. Граница между ” использовани и “предоставлением” ИИ-систем намеренно широк в регулировании.

2 августа 2026 года — это крупный этап, за которым стоит следить. К этой дате ИИ-системы, классифицированные как “высокорисковые”, должны соответствовать комплексным требованиям по соблюдению требований. Масштаб более широк, чем многие бизнесы ожидают, а обязанности существенны.

Классификации высокого риска включают системы, используемые для набора и найма персонала, оценки кредитоспособности и принятия финансовых решений, оценки образовательных достижений, медицинской диагностики, критически важной инфраструктуры и правоохранительных органов. Если ваш инструмент ИИ помогает определить, кто получает работу, одобрение кредитов, поступление в программы или диагностику состояний, вы, вероятно, входитесь в сферу действия.

Существует бремя, связанное с этим. Вам понадобятся комплексные системы управления рисками с постоянным мониторингом, техническая документация, доказывающая безопасность и надежность вашей системы, стандарты качества данных с аудиторским доказательством целостности обучающих данных, автоматическое ведение журнала всех решений и операций системы, осмысленный человеческий надзор с возможностью вмешаться в реальном времени и маркировка CE с оценкой соответствия третьей стороной.

Это не только добавление免责ного заявления на ваш сайт. Системы высокого риска требуют таких систем управления качеством, как те, которые обычно встречаются в производстве медицинских устройств или систем безопасности автомобилей.

Понимание категорий риска

Закон об ИИ действует на основе четырехуровневого подхода, основанного на риске, который более тонок, чем многие осознают.

• Недопустимый риск (запрещен): Эти приложения ИИ запрещены полностью – системы социального рейтинга, манипулятивные ИИ, нацеленные на уязвимые группы, биометрическая идентификация в реальном времени в общественных местах (с ограниченными исключениями для правоохранительных органов) и распознавание эмоций на рабочих местах или в школах.
• Высокий риск (жестко регулируется, но разрешается): Вот где многие бизнесы попадают в ловушку. Как упоминалось выше, высокорисковые приложения включают инструменты для отбора и найма персонала, системы оценки кредитоспособности и выдачи кредитов, медицинские диагностические устройства, системы безопасности в транспорте (автономные транспортные средства, управление движением), инструменты оценки образовательных достижений, правоохранительные органы и управление критически важной инфраструктурой.
• Ограниченный риск (требуется прозрачность): эти системы в основном включают ИИ, который взаимодействует напрямую с людьми или генерирует контент, который может быть ошибочно принят за материал, созданный человеком. Это включает чат-ботов, виртуальных помощников и ИИ-систем, которые создают синтетические медиа, такие как глубокие фейки или манипулированные изображения и видео. Для этих приложений основным нормативным требованием является прозрачность – пользователи должны быть明確но проинформированы, когда они взаимодействуют с ИИ-системой, а не с человеком, или когда контент был искусственно сгенерирован.
• Минимальный риск: Большинство приложений ИИ попадают в категорию минимального риска, которая включает системы, которые представляют небольшую угрозу для основных прав или безопасности. Это включает обычные бизнес-инструменты, такие как фильтры спама, системы управления запасами, базовые платформы аналитики, рекомендательные движки для контента или продуктов и автоматизированное маршрутизация обслуживания клиентов. Для систем минимального риска нет особых нормативных обязанностей в рамках Закона об ИИ, кроме общих требований, таких как грамотность ИИ для персонала.

Если вы попадаете в категории “Недопустимый или высокий риск”, прозрачность одна не сработает. Если вы попадаете куда-либо еще, требования по соблюдению требований управляемы.

Эффект риппла от модели основы

Срок GPAI 2 августа 2025 года,刚剛 прошедший, заслуживает особого внимания, поскольку он создает эффект риппла по всей экосистеме ИИ. Поставщики моделей основы, такие как OpenAI, Anthropic и Meta, должны были внедрить новые меры по соблюдению требований, а эти требования распространяются вниз по течению на их корпоративных клиентов.

Если вы строите на основе этих моделей, вам нужно понять позицию вашего поставщика по соблюдению требований и то, как она влияет на ваши собственные обязанности. Некоторые поставщики моделей могут ограничить определенные случаи использования, другие могут передать затраты на соблюдение требований в виде более высокой цены или новых уровней обслуживания.

Компании должны проверить свою цепочку поставок ИИ сейчас, если они еще не сделали этого. Документируйте, какие модели вы используете, как вы их настраиваете, и какой поток данных проходит через них. Этот инвентарь будет крайне важен для понимания ваших текущих обязанностей GPAI и подготовки к требованиям систем высокого риска 2026 года.

Передовые

Закон об ИИ представляет собой первый в мире комплексный регламент ИИ, и мы сейчас находимся в середине его поэтапного введения. С вступлением в силу обязательств GPAI и приближением крупного срока для систем высокого риска в августе 2026 года компании, которые рассматривали GDPR как бремя, пропустили возможность превратить конфиденциальность в дифференциатор. Не совершайте ту же ошибку с управлением ИИ.

Бизнесы, которые будут бороться больше всего, — это те, кто будет застигнут врасплох, когда усиление правоприменения усилится. Те, кто строит ответственно сегодня, обнаружат, что соблюдение требований улучшает, а не препятствует их стратегии ИИ. Еще есть время опередить кривую — но окно быстро закрывается.