Szolgáltatás
EU AI Act felkészítés
AI-leltár, kockázati besorolás, szabályzatok és belső gyakorlat — a cég valós AI-használatára szabva, nem általános checklistre.
Az EU AI Act 2024. augusztus 1-jén lépett életbe, és fokozatosan válik alkalmazandóvá. A tiltott gyakorlatokra vonatkozó szabályok 2025 februárja óta élnek, az általános célú AI-modellekre vonatkozó előírások 2025 augusztusától, a nagy kockázatú rendszerekre vonatkozó teljes szabályozás 2026 augusztusától. A bírságok is élnek — a tiltott gyakorlatokra akár 35 millió euró, vagy a globális árbevétel 7 százaléka szabható ki.
Sok cégvezető azt hiszi, ez csak a nagy AI-fejlesztőket érinti. Ez nem igaz. Ha a cég AI-t használ — akár saját fejlesztésűt, akár külső szolgáltatót, akár csak egy ChatGPT-integrációt egy munkafolyamatba —, a rendelet vonatkozik rá. A kérdés csak az, milyen szerepben és milyen kockázati szinten.
A munka három lépésből áll.
1. Mihez használunk AI-t egyáltalán?
Ez egyszerűbben hangzik, mint amilyen. A legtöbb cégnél az AI észrevétlenül szivárog be a folyamatokba. A marketinges ChatGPT-vel ír szöveget, a HR egy önéletrajz-szűrő eszközt használ, az értékesítés egy lead-scoring AI-t, a vezetés egy riportgenerátort. Külön-külön mindegyik kis dolognak tűnik. Együtt viszont egy kép, amit a törvény szerint dokumentálni kell.
Az első lépés tehát leltár. Végigmegyünk a részlegeken, és összeszedjük, ki mit használ, milyen célra, milyen adattal. Ez a leltár később több helyen is hasznos lesz — a NIS2-nél, a GDPR-nál, a belső irányításnál.
2. Milyen kockázati kategóriába esnek?
Az AI Act négy kategóriát ismer: tiltott, nagy kockázatú, korlátozott kockázatú, minimális kockázatú. A négy kategória négy különböző súlyú kötelezettséget jelent, a teljes tilalomtól a puszta átláthatósági követelményig.
A legtöbb üzleti AI-használat a két alsó kategóriába esik — ezek kezelhetők. A nagy kockázatú rendszerek (például HR-ben, hitelbírálatban, kritikus infrastruktúrában) viszont komoly dokumentációt, kockázatkezelést és emberi felügyeletet igényelnek. A kategorizálás nem formalitás, hanem stratégiai döntés. Ha egy eszköz határeset, érdemes végiggondolni, megéri-e a használata a vele járó megfelelési terhet.
3. Szabályzatok és gyakorlat
A rendelet írott szabályzatokat vár el — AI-használati policy, kockázatértékelési eljárás, incidenskezelés, átláthatósági tájékoztatók. Ezek célja nem a papírmunka, hanem az, hogy a cég tudja, mit csinál, és egy ellenőrzésen ezt meg tudja mutatni.
A dokumentumok mellett kell egy belső gyakorlat: ki dönt egy új AI-eszköz bevezetéséről, ki ellenőrzi, milyen adatot kap, ki felel érte, ha hibásan működik. Ezt a gyakorlatot ugyanúgy végig kell beszélni, mint a NIS2-nél az incidenskezelést. A szabályzat csak akkor ér valamit, ha van mögötte valódi folyamat.
Egy külön kötelezettség, amit sokan figyelmen kívül hagynak: az AI-ismeretek követelménye. Az AI Act 4. cikke szerint a céges AI-használóknak kellő szintű tudással kell rendelkezniük az AI-ról — ez belső képzést és dokumentációt jelent, és 2025 februárja óta érvényes.
Egy átlagos projekt négy-hét hetet vesz igénybe, attól függően, hány AI-eszközt használ a cég. Az árat a leltár után tudjuk pontosan kimondani.
Ha szeretnéd megnézni, hol áll a céged ebben, írj. Egy harmincperces hívás általában elég ahhoz, hogy lássuk, van-e értelme együtt dolgozni.