EU AI Act 2026: Status, terminy, co zrobić teraz

EU AI Act obowiązuje. Dwa terminy już upłynęły, krytyczny deadline High-Risk nadchodzi za sześć miesięcy. Oto aktualny stan, obowiązki i co firmy muszą zrobić teraz.

Według Gartner (2025), mniej niż 10% organizacji objętych EU AI Act ukończyło inwentaryzację systemów AI - podstawowy krok do zgodności. Komisja Europejska szacuje, że ponad 300 000 przedsiębiorstw w UE wdraża systemy AI, które mogą podlegać zakresowi regulacji.

Kamień milowy	Data	Status	Główne obowiązki
Wejście w życie	Sierpień 2024	Aktywne	Ustanowienie ram prawnych
Zakazane praktyki + AI Literacy	Luty 2025	Aktywne	Zakaz Social Scoring, manipulacji; obowiązek szkoleniowy
Obowiązki GPAI	Sierpień 2025	Aktywne	Transparentność, oznaczanie, inwentaryzacja governance
Systemy High-Risk	Sierpień 2026	Za 6 miesięcy	Pełna zgodność: zarządzanie ryzykiem, governance danych, Human Oversight
Pozostałe przepisy	Sierpień 2027	2027	Reguły branżowe, pozostałe kategorie

Pierwsze kompleksowe prawo o AI na świecie

EU AI Act obowiązuje od sierpnia 2024. To pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję i dotyczy każdej firmy, która rozwija, wdraża lub udostępnia systemy AI. W lutym 2026 jesteśmy w środku fazy wdrażania: dwa terminy już upłynęły, następny nadchodzi za sześć miesięcy. Kto się nie przygotował, ma problem. Kto zaczyna przygotowania teraz, jeszcze ma czas.

Dla polskich firm jest to szczególnie istotne: w przeciwieństwie do RODO, które było wdrażane stopniowo, EU AI Act wprowadza precyzyjne kategorie ryzyka i konkretne terminy. Ten artykuł daje rzeczowy przegląd aktualnego stanu: co już obowiązuje, co nadchodzi i kiedy, jakie obowiązki dotyczą Twojej firmy i co powinieneś zrobić w ciągu najbliższych 90 dni.

Harmonogram: Pięć kamieni milowych

Stopniowe wdrażanie EU AI Act rozciąga się na trzy lata. Każdy kamień milowy aktywuje inne obowiązki.

Sierpień 2024        Luty 2025            Sierpień 2025       Sierpień 2026        Sierpień 2027
|                    |                    |                   |                    |
v                    v                    v                   v                    v
Wejście w życie    Zakazane praktyki    Obowiązki GPAI      Systemy High-Risk    Pozostałe
AI + AI Literacy     obowiązują          muszą być            przepisy
zgodne
AKTYWNE              AKTYWNE             ZA 6 MIESIĘCY        2027

Dla firm oznacza to: Dwa etapy są już prawnie wiążące. Trzeci, dla wielu firm najkrytyczniejszy, etap wchodzi w życie za sześć miesięcy. Przygotowanie do niego wymaga typowo od czterech do sześciu miesięcy. Czasu jest mało.

Co już obowiązuje

Zakazane praktyki AI (od lutego 2025)

Od 2 lutego 2025 określone zastosowania AI są w UE całkowicie zakazane. Dotyczy to:

• Social Scoring: Systemy AI oceniające osoby na podstawie ich zachowań społecznych i wyciągające z tego niekorzystne konsekwencje w niezwiązanych kontekstach.
• Manipulacyjna AI: Systemy manipulujące zachowaniem ludzkim przez techniki podprogowe, takie jak dark patterns wymuszające decyzje zakupowe lub zgody.
• Biometria w czasie rzeczywistym w przestrzeni publicznej: Identyfikacja biometryczna w czasie rzeczywistym jest zasadniczo zakazana. Wąskie wyjątki istnieją dla organów ścigania przy ciężkich przestępstwach, zwalczaniu terroryzmu i poszukiwaniu osób zaginionych, każdy z autoryzacją sądową.
• Rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych: Systemy AI rozpoznające emocje pracowników lub uczniów są niedopuszczalne.
• Predictive Policing na podstawie cech indywidualnych: Oceny ryzyka przestępczości oparte wyłącznie na cechach osobistych.

Sankcje: Naruszenia zakazów są karane grzywną do 35 milionów euro lub 7 procent globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Dla większości polskich firm te zakazy nie wymagają bezpośrednich działań, ponieważ opisane zastosowania rzadko występują w kontekście biznesowym. Ale weryfikacja jest obowiązkowa: upewnij się, że żaden z Twoich systemów AI nie podlega tym kategoriom.

AI Literacy (od lutego 2025)

Równolegle z zakazami od lutego 2025 obowiązuje obowiązek AI Literacy zgodnie z Artykułem 4: Wszystkie osoby, które obsługują, wdrażają lub korzystają z systemów AI, muszą dysponować odpowiednim poziomem kompetencji AI. Kompetencja musi być adekwatna do kontekstu - programista potrzebuje głębszej wiedzy niż użytkownik końcowy korzystający z chatbota.

Co to oznacza konkretnie:

• Obowiązek szkoleniowy: Firmy muszą być w stanie udowodnić, że ich pracownicy zostali przeszkoleni.
• Obowiązek dokumentacyjny: Treści szkoleniowe, listy uczestników i interwały odświeżania muszą być udokumentowane.
• Adekwatność kontekstowa: Szkolenie musi odpowiadać roli. Ogólny e-learning nie wystarczy dla decydentów, którzy wybierają i odpowiadają za systemy AI.

Obowiązek AI Literacy jest często niedoceniany, bo nie stawia wysokich wymagań technicznych. Ale już jest egzekwowalny. I dotyczy każdej firmy korzystającej z AI, niezależnie od klasy ryzyka systemu.

Obowiązki GPAI (od sierpnia 2025)

Od sierpnia 2025 obowiązują obowiązki przejrzystości i dokumentacji dla modeli General-Purpose AI (GPAI). Dotyczą one przede wszystkim dostawców modeli językowych, nie firm, które z nich korzystają. Ale jako deployer - firma stosująca model GPAI we własnych aplikacjach - masz obowiązki:

• Oznaczenia użycia: Jeśli Twoja aplikacja generuje treści, które mogą być mylnie uznane za stworzone przez człowieka, musisz to oznaczyć.
• Przejrzystość wobec użytkowników: Osoby wchodzące w interakcje z systemem AI muszą być o tym informowane.
• Infrastruktura governance: Musisz być w stanie udokumentować, jakie modele GPAI stosujesz, w jakim kontekście i z jakimi środkami ochrony.

Obowiązki GPAI wymagają rzetelnej inwentaryzacji: Jakie modele AI stosujesz? Od jakiego dostawcy? W jakiej aplikacji? Z jaką klasyfikacją ryzyka? Te informacje stanowią fundament pod zgodność High-Risk, która wchodzi w życie za sześć miesięcy.

Co nadchodzi za sześć miesięcy: Systemy High-Risk (sierpień 2026)

Deadline High-Risk 2 sierpnia 2026 to dla większości firm najkrytyczniejszy termin EU AI Act. Od tej daty wszystkie systemy AI podlegające Załącznikowi III muszą być w pełni zgodne. Wymagania są rozległe.

Jakie systemy podlegają High Risk?

Załącznik III EU AI Act definiuje osiem obszarów, w których systemy AI są klasyfikowane jako wysokiego ryzyka. Najistotniejsze dla firm:

• Zatrudnienie, zarządzanie personelem i dostęp do samozatrudnienia: Systemy AI do ogłoszeń o pracę, selekcji kandydatów, oceny wydajności, decyzji o awansach i zwolnieniach.
• Zdolność kredytowa i ubezpieczenia: Automatyczna ocena wiarygodności kredytowej, scoring ryzyka.
• Identyfikacja biometryczna: Rozpoznawanie twarzy, identyfikacja głosu, również w przestrzeni niepublicznej.
• Infrastruktura krytyczna: Systemy AI w energetyce, gospodarce wodnej, transporcie, telekomunikacji.
• Edukacja i szkolenia zawodowe: Automatyczna ocena egzaminów, kontrola dostępu do placówek edukacyjnych.

Wymagania wobec systemów High-Risk

Jeśli jeden z Twoich systemów AI został zaklasyfikowany jako High Risk, musisz do sierpnia 2026 spełnić następujące wymagania:

1. System zarządzania ryzykiem: Udokumentowany system identyfikacji, analizy i minimalizacji ryzyk w całym cyklu życia systemu AI.
2. Governance danych: Wymagania dotyczące jakości, reprezentatywności i bezbłędności danych treningowych. Przy użyciu modeli pretrenowanych: dokumentacja pochodzenia danych i dostrojenia.
3. Dokumentacja techniczna: Kompleksowa dokumentacja systemu przed wdrożeniem: architektura, procedury treningowe, metryki wydajności, procedury testowe, ograniczenia.
4. Obowiązki rejestrowania: Automatyczne protokołowanie wszystkich istotnych zdarzeń (logging), aby zapewnić odtwarzalność decyzji.
5. Przejrzystość: Instrukcje użytkowania dla deployerów umożliwiające prawidłowe użycie.
6. Nadzór ludzki (Human Oversight): Środki techniczne umożliwiające skuteczny nadzór przez człowieka. Decision Layer to architektura, która technicznie realizuje właśnie to wymaganie.
7. Dokładność, odporność, cyberbezpieczeństwo: System musi niezawodnie osiągać zadeklarowaną wydajność i być chroniony przed manipulacją.
8. Ocena zgodności: Dla określonych kategorii wymagana jest ocena przez jednostkę notyfikowaną (Conformity Assessment Body). Dla innych wystarcza samoocena.

Sankcje: Naruszenia obowiązków High-Risk są karane grzywną do 15 milionów euro lub 3 procent globalnego rocznego obrotu.

Szczególne znaczenie dla HR

Obszar HR to dział firmy, w którym aplikacje AI najczęściej podlegają kategorii High-Risk. Wynika to z Załącznika III, pkt 4 - Zatrudnienie i zarządzanie personelem. Klasyfikacja obejmuje:

Automatyczne screenowanie aplikacji: High Risk. Każdy system AI, który wstępnie sortuje, ocenia lub filtruje aplikacje o pracę, podlega kategorii High-Risk. Niezależnie od tego, czy finalną decyzję podejmuje człowiek. Już sama preselekcja jest regulowana.

Oceny wydajności wspierane przez AI: High Risk. Gdy systemy AI analizują dane o wydajności i na ich podstawie wystawiają oceny lub przygotowują oceny, to jest High Risk. Dotyczy to także systemów, które wydają jedynie rekomendacje.

Predictive Attrition: High Risk. Systemy AI przewidujące, którzy pracownicy prawdopodobnie odejdą z firmy, przetwarzają dane osobowe w celu podejmowania decyzji zatrudnieniowych. To jest High Risk.

Automatyczna optymalizacja grafiku: potencjalnie High Risk. Jeśli system AI tworzy grafiki zmian i przy tym przetwarza indywidualne preferencje, dane o wydajności lub informacje zdrowotne, może podlegać High Risk. Klasyfikacja zależy od konkretnego zakresu danych.

Dla działów HR oznacza to: Zinwentaryzuj wszystkie systemy AI stosowane w kontekstach zatrudnieniowych. Sprawdź klasyfikację. Rozpocznij przygotowania do zgodności - sześć miesięcy do sierpnia 2026 to napięty harmonogram na osiągnięcie pełnej zgodności High-Risk. Więcej informacji o współdziałaniu AI i HR znajdziesz pod adresem HR & AI Agents.

Digital Omnibus: Przesunięcie się zbliża

Komisja Europejska zaproponowała pod koniec 2025 pakiet Digital Omnibus, który może między innymi przesunąć terminy High-Risk EU AI Act na maksymalnie grudzień 2027. Pakiet adresuje również uproszczenie obowiązków sprawozdawczych i podniesienie progów dla MŚP. Przesunięcie jest warunkowe: wchodzi w życie dopiero po udostępnieniu norm zharmonizowanych. Następnie obowiązuje sześć miesięcy okresu przejściowego dla systemów z Załącznika III i dwanaście miesięcy dla systemów z Załącznika I. Ostateczny termin graniczny to 2 grudnia 2027.

Aktualny stan (marzec 2026): Procedura nabrała wyraźnego tempa. Rada UE zatwierdziła swój mandat negocjacyjny 13 marca 2026. W Parlamencie Europejskim europosłowie osiągnęli wstępne porozumienie polityczne 11 marca; głosowanie komisji LIBE/IMCO zaplanowano na 18 marca 2026. Następnie rozpoczną się negocjacje trilogue między Radą a Parlamentem. Przyjęcie przed sierpniem 2026 jest możliwe, ale nie gwarantowane.

Rekomendacja: Planuj nadal z terminem sierpień 2026. Prawdopodobieństwo przesunięcia wzrosło, ale Omnibus nie został uchwalony. Jeśli rzeczywiście zostanie przyjęty, zyskasz dodatkowy czas. Jeśli nie, jesteś przygotowany. Planowanie zgodności, które opiera się na niepewnym wydłużeniu terminu, pozostaje ryzykiem, którego można uniknąć.

Praktyczna rekomendacja: Rozpocznij inwentaryzację systemów AI

Niezależnie od tego, czy Twoje systemy AI podlegają High Risk, czy nie: pierwszy krok jest zawsze taki sam. Potrzebujesz kompletnej inwentaryzacji wszystkich systemów AI w firmie.

Co należy udokumentować

Dla każdego systemu AI dokumentujesz:

• Nazwa i opis systemu: Co robi system? Jaki proces wspiera?
• Dostawca i model: Jaki model AI jest stosowany? Od jakiego dostawcy? Cloud API czy self-hosted?
• Rola Twojej firmy: Jesteś dostawcą (provider), operatorem (deployer) czy jednym i drugim?
• Klasyfikacja ryzyka: Czy system podlega jednej z kategorii Załącznika III (High Risk)? Zakazom z Artykułu 5? Czy jest to system o ograniczonym ryzyku?
• Osoby, których dotyczy: Na jakie osoby wpływają decyzje lub wyniki systemu?
• Przetwarzanie danych: Jakie dane przetwarza system? Dane osobowe? Tajemnice handlowe?
• Środki ochrony: Jakie środki techniczne i organizacyjne są wdrożone? Human Oversight? Audit Trail?

Harmonogram

Inwentaryzację systemów AI dla średniej firmy można wykonać w cztery do ośmiu tygodni. Nakład pracy zależy od liczby systemów, stanu dokumentacji i koordynacji wewnętrznej. Zacznij od oczywistych systemów - oficjalnie zakupionych narzędzi AI - a następnie rozszerz na Shadow AI: systemy AI, które pracownicy używają samodzielnie, bez wiedzy działu IT.

Inwentaryzacja to nie zadanie jednorazowe. Musi być aktualizowana na bieżąco, ponieważ pojawiają się nowe systemy, istniejące systemy są modyfikowane, a ocena regulacyjna ewoluuje. Infrastruktura governance musi być zbudowana tak, aby inwentaryzacja pozostawała żywym dokumentem.

Podsumowanie: Co powinieneś zrobić teraz

1. Sprawdź zakazy. Upewnij się, że żaden z Twoich systemów AI nie podlega praktykom zakazanym od lutego 2025.
2. Spełnij obowiązek AI Literacy. Udokumentuj szkolenia dla wszystkich użytkowników AI w firmie. Obowiązek obowiązuje już teraz.
3. Stwórz inwentaryzację systemów AI. Zarejestruj wszystkie systemy AI, ich dostawców, kontekst zastosowania i klasyfikację ryzyka. Ramy czasowe: cztery do ośmiu tygodni.
4. Zidentyfikuj systemy High-Risk. Sprawdź szczególnie obszar HR, decyzje kredytowe i zautomatyzowane procesy bezpośrednio wpływające na osoby.
5. Rozpocznij zgodność High-Risk. Dla systemów podlegających Załącznikowi III: zbuduj system zarządzania ryzykiem, governance danych, dokumentację techniczną i Human Oversight. Deadline: sierpień 2026.
6. Nie planuj w oparciu o Digital Omnibus. Przesunięcie na grudzień 2027 stało się bardziej prawdopodobne (Rada i Parlament mają stanowiska), ale nie zostało jeszcze uchwalone. Traktuj je jako bonus, nie podstawę planowania.

---

Gosign towarzyszy firmom w drodze do zgodności z EU AI Act - od inwentaryzacji systemów po ocenę zgodności. Jeśli chcesz wiedzieć, gdzie stoi Twoja firma, porozmawiaj z nami.

Umów spotkanie. 30 minut, w których ocenimy Twój status zgodności.