Skip to main content

Terminy EU AI Act 2025–2027: co i kiedy obowiązuje

EU AI Act wchodzi w życie etapami — cztery terminy, cztery pakiety działań. Ten przegląd pokazuje MŚP, co i do kiedy jest obowiązkowe: zakazy, zasady GPAI, obowiązki dla wysokiego ryzyka i sankcje.

Zamów sprawdzenie zgodności z EU AI ActRozpocznij bezpłatny Wito Digital Audit (WDA)

Czym jest EU AI Act i jak wchodzi w życie?

EU AI Act (rozporządzenie UE 2024/1689) to pierwsza na świecie kompleksowa regulacja prawna sztucznej inteligencji. Weszło ono w życie 1 sierpnia 2024 r. i osiąga pełną skuteczność w rozłożonym na etapy okresie 36 miesięcy — z czterema jasno zdefiniowanymi terminami do sierpnia 2027 r.

Rozporządzenie obowiązuje wszystkie przedsiębiorstwa, które stosują, rozwijają lub wprowadzają na rynek systemy AI w UE — niezależnie od wielkości firmy i miejsca jej siedziby. Oznacza to: również MŚP zatrudniające 15 osób, które korzysta wyłącznie z gotowych narzędzi AI, jest objęte przepisami jako podmiot stosujący (deployer) zgodnie z art. 3 pkt 4 EU AI Act.

Przegląd 4 terminów EU AI Act

EU AI Act porządkuje swoje wymogi w czterech rozłożonych w czasie etapach. Logika jest oparta na ryzyku: najpierw wchodzą w życie zakazy dla najbardziej niebezpiecznych systemów AI, następnie obowiązki transparentności dla modeli AI ogólnego przeznaczenia, później rozbudowane obowiązki dla wysokiego ryzyka, a na końcu wyjątki dla określonych regulowanych kategorii produktów.

Według AI Office Komisji Europejskiej (2025) wymogami dotyczącymi wysokiego ryzyka objętych jest bezpośrednio szacunkowo 15 000 MŚP w samych Niemczech. Jednocześnie badanie Bitkom 2025 pokazuje, że 64% niemieckich MŚP wciąż nie wie, że jest objętych przepisami EU AI Act.

Cztery terminy można rozumieć jako kolejne, nadbudowujące się fale zgodności: każda fala przynosi nowe obowiązki — a od terminu 2 sierpnia 2026 r. przepisy rozporządzenia obowiązują zgodnie z art. 113 EU AI Act w pełni, o ile wyraźnie nie uregulowano inaczej. BMWK wyraźnie zaleca firmom, by przygotowywały się do każdego z terminów stopniowo i z wyprzedzeniem, zamiast odkładać wszystko na ostatnią chwilę.

1Aug 2024

Inkrafttreten — EU Commission

Quelle: EU Commission, 2024
2Feb 2025

Verbote (Unacceptable Risk) gelten — Art. 5

Quelle: EU AI Act Art. 5, 2025
2Aug 2025

GPAI-Regeln + Behörden — Art. 51-56

Quelle: EU AI Act Art. 51-56, 2025
2Aug 2026

Hochrisiko-KI-Pflichten — Art. 6-49

Quelle: EU AI Act Art. 6-49, 2026

2 lutego 2025: zakazane praktyki AI (art. 5 EU AI Act)

Sześć miesięcy po wejściu w życie — 2 lutego 2025 r. — weszły w życie zakazy dla systemów AI o nieakceptowalnym ryzyku. Te praktyki AI są od tego momentu całkowicie zakazane w UE. Każde przedsiębiorstwo, które wciąż prowadzi takie systemy, działa od tej daty bezprawnie i naraża się na kary do 35 mln EUR lub 7% światowego obrotu rocznego.

Zgodnie z art. 5 EU AI Act zakazane są następujące systemy i praktyki AI:

  • Scoring społeczny: systemy AI oceniające osoby na podstawie zachowań społecznych lub cech osobistych i wyprowadzające z tego niekorzystne skutki społeczne (jak państwowy system punktowy).
  • Manipulacyjne praktyki AI: systemy stosujące techniki poniżej progu świadomego postrzegania, by wpływać na zachowanie człowieka i wyrządzać przy tym szkodę.
  • Wykorzystywanie słabości: AI, która wykorzystuje określone słabości konkretnych osób (wiek, niepełnosprawność), by wpływać na ich zachowanie.
  • Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej przez organy ścigania — z wąskimi, zdefiniowanymi w ustawie wyjątkami.
  • Rozpoznawanie emocji w miejscu pracy i w placówkach edukacyjnych — z wyjątkami dla zastosowań medycznych lub związanych z bezpieczeństwem.
  • Kategoryzacja biometryczna według cech wrażliwych (rasa, poglądy polityczne, przynależność związkowa, przekonania religijne, orientacja seksualna).
  • Predykcyjne działania policji oparte na AI na podstawie profili, bez konkretnego stanu faktycznego.

Szczególnie istotne dla MŚP w praktyce: kto stosował opartą na AI analizę nastroju lub emocji wobec pracowników (np. w narzędziach HR, oprogramowaniu do wideokonferencji lub monitorowaniu produktywności), musiał wyłączyć te funkcje najpóźniej do 2 lutego 2025 r. albo wykazać, że podlegają one wyjątkowi medycznemu. Według przewodnika Bitkom po EU AI Act 2024 wiele MŚP nieświadomie aktywowało te funkcje w standardowym oprogramowaniu.

2 sierpnia 2025: zasady GPAI, AI Office i organy krajowe

Dwanaście miesięcy po wejściu w życie — 2 sierpnia 2025 r. — weszły w życie przepisy dla modeli AI ogólnego przeznaczenia (General Purpose AI, GPAI) oraz struktury instytucjonalne. Ten termin dotyczy MŚP przede wszystkim pośrednio: dostawcy modeli AI, z których MŚP korzystają na co dzień, muszą teraz w sposób udokumentowany być zgodni z przepisami.

GPAI: czym są modele AI ogólnego przeznaczenia?

Modele GPAI to duże modele AI, które można trenować i stosować do wielu różnych zadań — bez przypisania do konkretnego celu. Znanymi przykładami są GPT-4 i GPT-5 (OpenAI), Claude (Anthropic), Gemini (Google DeepMind) oraz LLaMA (Meta). Zgodnie z art. 51–56 EU AI Act dostawcy tych modeli muszą od 2 sierpnia 2025 r. spełniać następujące obowiązki:

  • Udostępniać dokumentację techniczną i oceny modeli.
  • Publikować i przestrzegać polityki dotyczącej praw autorskich (polityka danych treningowych).
  • Przekazywać dostawcom niższego szczebla (którzy budują na danym modelu) wszystkie istotne informacje.
  • W przypadku ryzyk systemowych (modele o szczególnie wysokiej wydajności, stan na 2025 r.: nakład treningowy powyżej 10^25 FLOP-ów) wdrażać dodatkowe środki bezpieczeństwa.

Co to oznacza dla MŚP jako użytkowników?

Dla MŚP jako podmiotu stosującego obowiązuje zasada: mogą one stosować już wyłącznie modele GPAI od dostawców, którzy w sposób udokumentowany spełniają wymogi EU AI Act. W praktyce oznacza to konieczność weryfikacji i archiwizacji dokumentacji zgodności dostawców (np. Microsoft, OpenAI, Google, Anthropic). Renomowani dostawcy udostępnili już tę dokumentację publicznie.

AI Office i organy krajowe

Również od 2 sierpnia 2025 r. w pełni operacyjne jest AI Office UE. Jest to centralny organ UE odpowiedzialny za nadzór nad przestrzeganiem zasad GPAI. Równolegle państwa członkowskie UE mają wyznaczyć swoje krajowe organy nadzoru rynku dla AI — w Niemczech rolę tę przejmie prawdopodobnie Federalna Agencja ds. Sieci (Bundesnetzagentur), ostateczna decyzja BMDV (Federalnego Ministerstwa Cyfryzacji i Transportu) wciąż jest jednak w toku (stan na II kw. 2026 r.).

Według analizy EU AI Act Fundacji im. Heinricha Bölla 2024 struktura instytucjonalna jest kluczowym elementem ustawy: bez sprawnie działających organów krajowych zagrożenie karami jest wprawdzie formalnie ważne, ale praktycznie trudne do wyegzekwowania. Od sierpnia 2025 r. to się zmienia — organy otrzymują rozbudowane uprawnienia dochodzeniowe i egzekucyjne, w tym niezapowiedziane audyty.

2 sierpnia 2026: obowiązki dla AI wysokiego ryzyka i pełna skuteczność sankcji

2 sierpnia 2026 r. to centralny termin EU AI Act dla większości objętych nim MŚP. Od tej daty — 24 miesiące po wejściu w życie — w pełni zaczynają obowiązywać wszystkie wymogi dla systemów AI wysokiego ryzyka zgodnie z art. 6–49 EU AI Act. Jednocześnie od tego terminu obowiązuje pełna skuteczność kar zgodnie z art. 99 EU AI Act.

Które systemy są systemami wysokiego ryzyka?

Systemy AI wysokiego ryzyka są wymienione w załączniku III do rozporządzenia. Obszary szczególnie istotne dla MŚP:

  • HR i zarządzanie personelem: AI do preselekcji kandydatów, oceny wyników, rekomendacji wynagrodzeń lub zwolnień. Dotyczy każdej średniej firmy z oprogramowaniem HR opartym na AI.
  • Udzielanie kredytów: zautomatyzowana ocena zdolności kredytowej i scoring kredytowy. Istotne dla firm z narzędziami finansowymi opartymi na AI.
  • Edukacja i kształcenie zawodowe: decyzje o dostępie lub ocena osób uczących się za pomocą AI.
  • Infrastruktura krytyczna: AI w zaopatrzeniu w wodę, energetyce, transporcie.
  • Produkty istotne dla bezpieczeństwa: AI w maszynach, pojazdach, wyrobach medycznych.

Obowiązki podmiotów stosujących systemy wysokiego ryzyka

MŚP, które stosują systemy AI wysokiego ryzyka, muszą do 2 sierpnia 2026 r. spełnić następujące wymogi z art. 9–15 EU AI Act:

  • System zarządzania ryzykiem zgodnie z art. 9: udokumentowany system identyfikacji, analizy i ograniczania ryzyk przez cały cykl życia systemu AI.
  • Zapewnienie jakości danych zgodnie z art. 10: zagwarantowanie, że dane treningowe i operacyjne spełniają wymogi jakości, reprezentatywności i wolności od błędów.
  • Dokumentacja techniczna zgodnie z art. 11: kompleksowa dokumentacja systemu AI, jego celów, ograniczeń i parametrów wydajności.
  • Rejestrowanie i ewidencja zgodnie z art. 12: automatyczne rejestrowanie zdarzeń podczas działania systemu wysokiego ryzyka.
  • Transparentność i informowanie użytkowników zgodnie z art. 13: jasne informacje dla podmiotów stosujących i użytkowników o możliwościach, ograniczeniach i obowiązkach nadzoru.
  • Nadzór ze strony człowieka zgodnie z art. 14: instytucjonalnie zakotwiczona kontrola sprawowana przez osoby fizyczne — środki techniczne i organizacyjne muszą to umożliwiać.
  • Ocena zgodności zgodnie z art. 43: jako samoocena albo przez stronę trzecią, w zależności od typu systemu.

Kary od 2 sierpnia 2026

Struktura kar zgodnie z art. 99 EU AI Act jest dla MŚP znacząca: naruszenia wymogów dla wysokiego ryzyka mogą być karane kwotą do 15 mln EUR lub 3% światowego obrotu rocznego (obowiązuje wartość wyższa). Dla MŚP z obrotem 10 mln EUR oznacza to kary do 300 000 EUR — już za samą brakującą dokumentację zgodności. Za zakazane praktyki AI zgodnie z art. 5 obowiązuje jeszcze wyższy próg 35 mln EUR lub 7% obrotu rocznego.

Według ZEW Mannheim 2024 jednorazowe koszty zapewnienia zgodności dla MŚP mogą — w zależności od złożoności — wynieść od 50 000 do 400 000 EUR, jeśli wszystko jest wdrażane wewnętrznie. Przy wsparciu zewnętrznym i ustrukturyzowanym modelu działania nakład ten znacznie się zmniejsza — i jest znacznie tańszy niż jedna jedyna kara.

Diese Verordnung gilt ab dem 2. August 2026, sofern nicht abweichend geregelt. Titel I und Titel II gelten ab dem 2. Februar 2025. Die Bestimmungen über Allzweck-KI-Modelle in Kapitel V des Titels VIII und die Bestimmungen von Kapitel I, II und VI des Titels VIII sowie Kapitel III des Titels IX gelten ab dem 2. August 2025.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU Artificial Intelligence Act, Art. 113, Amtsblatt der Europäischen Union, 2024

2 sierpnia 2027: ostatni okres przejściowy dla kategorii szczególnych

Dla określonych systemów AI wysokiego ryzyka, które są osadzone w już istniejących europejskich ramach bezpieczeństwa i zgodności produktów, obowiązuje przedłużony okres przejściowy do 2 sierpnia 2027 r. Ten wyjątek jest uregulowany w art. 113 ust. 2 EU AI Act i dotyczy systemów podlegających procedurze oznakowania CE na podstawie innych unijnych dyrektyw harmonizacyjnych.

Konkretnie dotyczy to systemów AI wysokiego ryzyka w następujących regulowanych kategoriach produktów:

  • Wyroby medyczne zgodnie z rozporządzeniem (UE) 2017/745 (MDR): oprogramowanie diagnostyczne oparte na AI, AI obrazująca w radiologii, oparte na AI systemy rekomendacji terapii.
  • Wyroby do diagnostyki in vitro zgodnie z rozporządzeniem (UE) 2017/746 (IVDR): AI w diagnostyce laboratoryjnej i analizie testów genetycznych.
  • Zabawki zgodnie z dyrektywą 2009/48/WE: funkcje AI w interaktywnych zabawkach edukacyjnych.
  • Maszyny i dźwigi: AI w sterowaniu maszynami o znaczeniu krytycznym dla bezpieczeństwa, o ile podlegają one dyrektywie maszynowej.
  • Lotnictwo i żegluga: systemy AI, które podlegają już innym unijnym reżimom bezpieczeństwa.

Dla MŚP z branży produkcyjnej, technologii medycznej i zabawkarskiej oznacza to: istotnym terminem nie jest sierpień 2026 r., lecz sierpień 2027 r. Podstawowe przygotowania (inwentaryzacja AI, klasyfikacja ryzyka, analiza luk) powinny mimo to być zakończone do końca 2025 r., aby zapewnić wystarczający zapas czasu na ocenę zgodności. Przewodnik Bitkom po EU AI Act 2024 zaleca firmom z tych sektorów, by wykorzystały istniejące procedury CE jako podstawę i uzupełniły je o wymogi specyficzne dla EU AI Act.

Lista działań: co i do kiedy zrobić?

Poniższa lista podsumowuje najważniejsze kroki dla każdego terminu. Nie zastępuje ona porady prawnej, lecz daje praktyczny przegląd najważniejszych działań dla MŚP.

Już teraz, bez zwłoki (zaległości względem 2 lutego 2025)

  • Zinwentaryzować narzędzia AI w firmie — w pełni, łącznie z funkcjami AI w standardowym oprogramowaniu (CRM, ERP, narzędzia HR, pakiety biurowe).
  • Sprawdzić, czy aktywne są funkcje rozpoznawania emocji lub scoringu — muszą być wyłączone albo zweryfikowane prawnie.
  • Stworzyć AI Policy (wewnętrzną politykę korzystania z AI) — reguluje dozwolone i zakazane korzystanie z AI przez pracowników.
  • Opatrzyć chatboty i asystentów AI informacją o transparentności („Rozmawiasz z asystentem AI”).

Do 2 sierpnia 2025 (termin GPAI)

  • Zażądać i zarchiwizować dokumentację zgodności stosowanych dostawców GPAI (OpenAI, Google, Microsoft, Anthropic).
  • Zapewnić, że stosowane są wyłącznie modele zgodne z EU AI Act — w razie potrzeby rozważyć zmianę dostawcy.
  • Zidentyfikować krajowy punkt kontaktowy organu (obecnie: Bundesnetzagentur) i wewnętrznie zdefiniować proces eskalacji.

Do 2 sierpnia 2026 (główny termin dla wysokiego ryzyka)

  • Zakończyć klasyfikację ryzyka wszystkich stosowanych systemów AI zgodnie z załącznikiem III EU AI Act.
  • Dla systemów wysokiego ryzyka: wdrożyć dokumentację techniczną, system zarządzania ryzykiem i mechanizmy rejestrowania.
  • Przeprowadzić ocenę zgodności dla własnych lub istotnie zmodyfikowanych systemów wysokiego ryzyka.
  • Instytucjonalnie zakotwiczyć procesy nadzoru ze strony człowieka — wyznaczyć osoby odpowiedzialne, zdefiniować reguły eskalacji.
  • Przeszkolić pracowników obsługujących lub nadzorujących systemy AI.
  • Przygotować proces zgłaszania incydentów do organu krajowego.

Do 2 sierpnia 2027 (tylko kategorie szczególne)

  • Dla wyrobów medycznych, zabawek i innych obszarów regulowanych oznakowaniem CE: zakończyć ocenę zgodności z uzupełnieniem o wymogi EU AI Act.
  • Rozszerzyć istniejącą dokumentację CE o dowody specyficzne dla EU AI Act.
  • Wprowadzić bieżące monitorowanie i coroczny przegląd inwentarza AI.

Najczęstsze pytania o terminy EU AI Act

Od danego terminu działacie formalnie bezprawnie i narażacie się na kary ze strony krajowego organu nadzoru rynku. W praktyce należy się spodziewać, że organy najpierw skupią się na poważnych naruszeniach (zakazane praktyki, systemy wysokiego ryzyka bez jakiejkolwiek dokumentacji). Nie chroni to jednak trwale: nawet brak informacji o transparentności przy prostym chatbocie jest po danych terminach zagrożony karą. Wykazalne starania o zgodność — nawet jeśli poszczególne punkty są jeszcze w trakcie wdrażania — to najlepsza ochrona podczas kontroli organu.
Tak. EU AI Act obowiązuje zgodnie z zasadą miejsca rynku wszystkie przedsiębiorstwa, których systemy AI są stosowane w UE — niezależnie od siedziby firmy. Amerykańska firma SaaS, która sprzedaje system AI wysokiego ryzyka niemieckim MŚP, musi spełniać obowiązki dostawcy wynikające z EU AI Act. Jako podmiot stosujący będący MŚP w Niemczech możecie polegać na tym, że zgodni dostawcy przedstawią unijną deklarację zgodności — żądajcie jej aktywnie.
GPAI oznacza General Purpose AI — modele AI ogólnego przeznaczenia, takie jak GPT-4/5, Claude, Gemini czy LLaMA. Modele te nie są tworzone z myślą o konkretnym zastosowaniu, lecz mogą być wykorzystywane do wielu różnych zadań. Od 2 sierpnia 2025 r. dostawcy tych modeli muszą spełniać rozbudowane obowiązki transparentności i bezpieczeństwa. Dla MŚP jako użytkowników oznacza to: sprawdźcie, czy wasi dostawcy AI potrafią wykazać zgodność GPAI. Modele GPAI niezgodne z przepisami nie mogą być już stosowane w UE.
EU AI Act nie przewiduje formalnej roli „AI Officera”, jak DSGVO w przypadku inspektora ochrony danych. Podmioty stosujące systemy wysokiego ryzyka muszą jednak instytucjonalnie zakotwiczyć nadzór ze strony człowieka i wykazać wyznaczone zakresy odpowiedzialności za zgodność AI. W praktyce zaleca się wyznaczenie osoby wewnętrznej lub zewnętrznego usługodawcy jako odpowiedzialnego za zgodność AI — by przejść audyty i spełnić wymogi dotyczące udokumentowanego nadzoru ze strony człowieka.
Ocena zgodności zgodnie z art. 43 EU AI Act różni się w zależności od typu systemu. Dla większości systemów wysokiego ryzyka możliwa jest samoocena przeprowadzana przez dostawcę — w oparciu o zharmonizowane normy. Tylko dla określonych systemów biometrycznych i krytycznych dla bezpieczeństwa wymagana jest ocena przez stronę trzecią. Jako podmiot stosujący będący MŚP weryfikujecie przede wszystkim deklarację zgodności dostawcy. Jeśli sami rozwijacie lub istotnie modyfikujecie system wysokiego ryzyka, przeprowadzacie ocenę zgodności samodzielnie i sporządzacie unijną deklarację zgodności.
Zasada jest następująca: każdy termin przynosi nowe obowiązki, które dotyczą wszystkich objętych przepisami przedsiębiorstw. Zakazy z art. 5 (luty 2025) obowiązują wszystkich — niezależnie od klasy ryzyka stosowanych systemów. Obowiązki GPAI (sierpień 2025) dotyczą was jako użytkowników modeli ogólnego przeznaczenia. Obowiązki dla wysokiego ryzyka (sierpień 2026) dotyczą was tylko, jeśli faktycznie stosujecie systemy wysokiego ryzyka. Przedłużony termin do sierpnia 2027 obowiązuje wyłącznie dla kategorii produktów regulowanych oznakowaniem CE.
Istniejące systemy AI, uruchomione przed wejściem w życie EU AI Act 1 sierpnia 2024 r., również podlegają wymogom — jednak z tymi samymi rozłożonymi w czasie okresami przejściowymi. Nie istnieje ochrona praw nabytych dla już stosowanych systemów. Dla systemów wysokiego ryzyka, które są w użyciu przed 2 sierpnia 2026 r., wymogi zgodności muszą być spełnione do tego terminu. Jedyny wyjątek: systemy w kategoriach produktów regulowanych oznakowaniem CE mają czas do sierpnia 2027 r.
Niemcy nie podjęły jeszcze ostatecznej decyzji o krajowym organie nadzoru rynku dla AI (stan na II kw. 2026 r.). Za najbardziej prawdopodobnego kandydata uchodzi Federalna Agencja ds. Sieci (Bundesnetzagentur, BNetzA), która ma już kompetencje w zakresie regulacji cyfrowych. Decyzja należy do Federalnego Ministerstwa Cyfryzacji i Transportu (BMDV). Do czasu ostatecznego wyznaczenia firmy mogą kierować zapytania do BMDV lub do AI Office Komisji Europejskiej. Bundesnetzagentur już zaczęła budować zasoby do nadzoru nad AI.

Zamów sprawdzenie zgodności z EU AI Act

Analizujemy wasze korzystanie z AI, klasyfikujemy wasze systemy według EU AI Act i tworzymy mapę zgodności dopasowaną do poszczególnych terminów dla waszego MŚP — pragmatycznie, bez prawniczego żargonu.

Zamów rozmowę doradcząRozpocznij bezpłatny Wito Digital Audit (WDA)
  • Mapa zgodności dopasowana do każdego terminu
  • Klasyfikacja ryzyka według załącznika III EU AI Act
  • Konkretne pakiety działań na każdy termin

Terminy EU AI Act 2025–2027: co i kiedy obowiązuje — przegląd dla MŚP

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen