EU AI Act: Изменения 2025 года разъяснены
Компании инвестируют в пилотные проекты ИИ, часто не учитывая меняющуюся нормативную базу. Вопросы относительно систем ИИ высокого риска или обязательств по отчетности для базовых моделей возникают позже. Эта статья освещает изменения в EU AI Act и национальные планы по ИИ, такие как план Австралии, чтобы предложить ориентацию.
EU AI Act: Основы и изменения
EU AI Act вступил в силу в 2024 году и будет постепенно применяться до августа 2027 года. Он основан на рисковой модели с четырьмя уровнями риска и дополнительной категорией для универсальных моделей ИИ (GPAI), также известных как базовые модели. Справочная служба AI Act, ECNL
В 2025 году эта структура будет доработана. ЕС опубликует руководства и кодекс практики для универсального ИИ. Одновременно в рамках «Цифрового омнибуса» предлагается продлить сроки для систем высокого риска с августа 2026 года до конца 2027 года. Цифровая стратегия Европы, Цифровая стратегия Европы, Reuters, OneTrust
Для компаний это означает, что соответствие требованиям ИИ является стратегической задачей, особенно в секторах, таких как финансовые услуги, здравоохранение или государственное управление, где многие варианты использования попадают под категорию «система ИИ высокого риска». Закон ЕС об искусственном интеллекте, Справочная служба AI Act
Понимание изменений EU AI Act в 2025 году
EU AI Act регулирует ИИ на основе уровней риска: неприемлемый, высокий, ограниченный и минимальный риск, дополненный отдельной категорией для универсальных моделей ИИ. ECNL
Официальный график внедрения Европейской комиссии предусматривает четыре основных этапа:
- С 2 февраля 2025 года вступят в силу общие положения (определения, грамотность в области ИИ), а также запрет на «неприемлемые» практики ИИ, такие как определенные формы социальной оценки. Справочная служба AI Act
- С 2 августа 2025 года начнут действовать правила для универсальных моделей ИИ (GPAI), и должна быть создана структура управления (Совет по ИИ, Научная группа и т. д.). Справочная служба AI Act, Цифровая стратегия Европы
- С 2 августа 2026 года, как первоначально планировалось, вступят в силу большинство правил, включая приложения высокого риска (Приложение III) и требования к прозрачности, вместе с национальными «песочницами» для ИИ и оперативным надзором. Справочная служба AI Act
- С 2 августа 2027 года дополнительно вступят в силу правила для систем ИИ высокого риска, встроенных в регулируемые продукты (например, медицинские изделия, транспортные средства). Справочная служба AI Act
В 2025 году акцент сместится на универсальный ИИ и вопрос о том, как быстро будут фактически реализованы обязательства по системам высокого риска.

Источник: mindfoundry.ai
Ключевые этапы и сроки EU AI Act, иллюстрирующие поэтапное внедрение Регламента до 2027 года.
Руководства и кодекс практики для универсального ИИ
В июле 2025 года Европейская комиссия опубликует три ключевых инструмента для регулирования базовых моделей: руководства для поставщиков GPAI, кодекс практики GPAI и дополнительные пособия по толкованию. Цифровая стратегия Европы
Руководства по GPAI и официальные часто задаваемые вопросы разъясняют, когда модель считается универсальным ИИ (широкие задачи, большой объем обучения, универсальное применение) и когда адаптация создает отдельного поставщика с обязательствами. Цифровая стратегия Европы
Кодекс практики GPAI — это добровольный инструмент, предоставляющий поставщикам конкретные рекомендации по организации документации, прозрачности и соблюдению авторских прав для подготовки к выполнению законодательных требований. Цифровая стратегия Европы
Комиссия признает, что кодекс практики был завершен позже, чем планировалось (конец 2025 года вместо мая). Это продлило неопределенность для поставщиков базовых моделей и стало одной из причин требований крупных технологических компаний «предоставить передышку» AI Act. Reuters, Reuters
Цифровой омнибус: сдвиг сроков для систем высокого риска
В ноябре 2025 года Комиссия представит пакет под названием «Цифровой омнибус». Ключевой момент — перенос применения обязательств по системам высокого риска с августа 2026 года на конец 2027 года. Reuters, euronews, OneTrust
Это коснется таких приложений, как биометрическая идентификация в общественных местах, ИИ для подачи заявок на работу и экзаменов, ИИ в энергетических и транспортных сетях, проверка кредитоспособности или решения на основе ИИ в здравоохранении и правоохранительной деятельности. Reuters, Справочная служба AI Act
Предлагаемая задержка является отсрочкой для завершения разработки стандартов, руководств и надзорных структур, а не откатом от регулирования. Тем не менее, НПО и некоторые депутаты говорят о «откате» механизмов цифровой защиты, поскольку одновременно обсуждаются послабления в правилах защиты данных и использования файлов cookie. The Guardian
Компании должны использовать этот период как возможность для создания структур управления. На это также указывают аналитические отчеты по соответствию, например, от Nemko или Compliance & Risks. digital.nemko.com, complianceandrisks.com
Национальные планы по ИИ
Параллельно с ЕС Австралия применяет другой подход: Национальным планом по ИИ консолидируются инвестиции в центры обработки данных, инфраструктуру данных и профессиональную подготовку. ИИ в значительной степени будет регулироваться существующими законами, дополненными собственным Институтом безопасности ИИ с 2026 года. Страница отрасли, ABC, Reuters
Национальный план Австралии по искусственному интеллекту: инфраструктура, данные, люди
В то время как ЕС дорабатывает EU AI Act, Австралия в своем Национальном плане по ИИ на 2025 год делает другой акцент: меньше новых запретов, но скоординированное развитие инфраструктуры, доступа к данным и компетенций. Страница отрасли
План имеет три основных направления:
- Центры обработки данных и инфраструктура: Федеральное правительство поддерживает инвестиции в современные, оптимизированные для GPU центры обработки данных и суверенные вычислительные мощности для удержания рабочих нагрузок ИИ в стране. Reuters, Daily Telegraph
- Повышение квалификации и навыки: Ключевая цель — дать возможность сотрудникам на всех уровнях безопасно и продуктивно использовать ИИ — от государственного сектора (NCAP IP) до промышленности. finance.gov.au, go8.edu.au
- Безопасность и управление: Национальный институт безопасности ИИ, финансируемый на 30 миллионов австралийских долларов, должен быть создан к 2026 году и служить центром компетенции для безопасной разработки ИИ, особенно в отношении национальной безопасности и суверенитета. News.com.au
Австралийское правительство подчеркивает, что на данный момент оно намерено опираться на существующие законы — например, в области защиты данных, конкуренции и защиты прав потребителей — вместо создания собственного AI Act. ABC, The Guardian
Для компаний, работающих в нескольких юрисдикциях, возникает контраст: в ЕС соблюдение требований ИИ связано со специальной структурой (EU AI Act), в то время как Австралия в большей степени работает с секторальными надзорными органами и существующими правовыми инструментами, дополненными национальной программой инвестиций и обучения.
Соответствие требованиям ИИ для компаний
Дискуссия сводится к вопросу: как разработать стратегию соответствия требованиям ИИ, которая учитывает как EU AI Act, так и национальные планы по ИИ? Прагматичный подход — рассматривать ИИ как расширение существующих структур управления, аналогично подходам «соответствие по замыслу». complianceandrisks.com
Что конкретно означает «система ИИ высокого риска» в ЕС?
Центральный вопрос многих проектов: «Что означает система ИИ высокого риска в ЕС — применимо ли это к нашему проекту?»
AI Act определяет системы высокого риска двумя способами: во-первых, ИИ, который является частью или компонентом безопасности уже регулируемого продукта (например, медицинские изделия, транспортные средства). Во-вторых, системы ИИ в определенных чувствительных областях применения, перечисленных в Приложении III. Закон ЕС об искусственном интеллекте, Закон ЕС об искусственном интеллекте
Приложение III включает, среди прочего: биометрию (например, удаленное распознавание лиц в общественных местах), критическую инфраструктуру (энергетика, транспорт, водоснабжение), образование (прием, мониторинг экзаменов), занятость и HR (отбор и оценка кандидатов), доступ к основным услугам (например, кредиты, страхование), правоохранительную деятельность, миграцию и правосудие. Закон ЕС об искусственном интеллекте, Справочная служба AI Act
Примеры из практики:
- Банк: Модель скоринга, которая автоматически определяет кредитные лимиты и условия для частных клиентов, классифицируется как высокорисковая, поскольку она влияет на финансовые возможности. eyreACT
- Больница: Система триажа, которая приоритизирует пациентов неотложной помощи на основе оценки ИИ жизненно важных показателей, относится к категории высокого риска из-за угрозы здоровью и жизни. twobirds.com
- Ведомство: Агентство по трудоустройству, которое использует модель для оценки шансов кандидата на трудоустройство, обычно подпадает под Приложение III из-за вмешательства в социальные права. Stibbe
Юридически решающим является то, создает ли система значительный риск для здоровья, безопасности или основных прав. AI Act допускает исключения для некоторых случаев из Приложения III, если не существует «значительного риска», например, в ограниченных сценариях обнаружения мошенничества. Al Act, dpo-consulting.com
Для систем ИИ высокого риска действуют строгие обязательства: документированное управление рисками, надежное управление данными, техническая документация, протоколирование, концепции человеческого надзора, а также требования к точности, надежности и кибербезопасности. Закон ЕС об искусственном интеллекте
Компании, использующие ИИ в этих областях, должны заранее проанализировать, какие проекты попадают в категорию высокого риска, и начать документирование.

Источник: ctol.digital
Классификация рисков систем ИИ в соответствии с EU AI Act, от минимального до неприемлемого риска.
Универсальные модели ИИ: новые руководства ЕС для базовых моделей
Второй крупный строительный блок — универсальные модели ИИ (GPAI), часто называемые базовыми моделями. AI Act определяет «универсальную модель ИИ» как модель, обученную на больших объемах данных, отличающуюся широкой универсальностью и способную выполнять множество различных задач. Закон ЕС об искусственном интеллекте
Примерами являются такие модели, как GPT-4, DALL·E или BERT, которые становятся специфичными для домена только после их интеграции в конкретные системы. Taylor Wessing
С 2 августа 2025 года действуют специальные обязательства для поставщиков таких универсальных моделей ИИ:
- Требования к прозрачности (включая техническую документацию, описание возможностей, известные ограничения, сводки обучающих данных).
- Правила обращения с авторскими правами, например, посредством политик и механизмов соблюдения цепочек прав.
- Для системно рискованных моделей — дополнительные обязательства, такие как оценка моделей, снижение рисков, адаптивные тесты и отчетность об инцидентах. Цифровая стратегия Европы, Цифровая стратегия Европы, Reuters
Системно рискованные модели классифицируются, в частности, на основе технических пороговых значений (вычислительные ресурсы для обучения) и их возможных последствий. Закон ЕС об искусственном интеллекте, Stibbe
Практически важную роль GPAI-структура играет для двух групп сотрудников компаний:
- Поставщики моделей — команды, которые обучают собственные базовые модели и предоставляют их «как услугу» или широко используют внутри компании.
- Пользователи следующего уровня (Downstream-Anwender) , которые интегрируют внешнюю базовую модель в конкретную систему, тем самым становясь поставщиком системы или её развёртывающим лицом. Eipa, EY
Предлагаемая отсрочка в «Цифровом омнибусе» в основном касается обязательств по системам высокого риска, а не в целом обязательств GPAI, которые действуют с августа 2025 года. OneTrust
Те, кто уже автоматизирует внутренние процессы принятия решений с помощью базовой модели, должны проверить, как их текущая конфигурация должна рассматриваться — как GPAI-поставщик, как система высокого риска или как комбинация обеих ролей.
Три практических наблюдения для стратегии соответствия требованиям ИИ
- Без инвентаризации нет стратегии: Компании, которые заблаговременно составляют карту ИИ — какие системы используются где, какие данные они используют и какие решения они затрагивают — могут быстрее выявить, какие варианты использования потенциально попадают в Приложение III или включают базовые модели. eyreACT, dpo-consulting.com
- Определить класс риска + роль: Комбинация класса риска (высокий риск против ограниченного риска) и роли (поставщик против развёртывающего лица) определяет обязательства. Тот, кто, например, использует американскую базовую модель в контексте европейского банка, может одновременно быть развёртывающим лицом системы высокого риска и «пользователем следующего уровня» GPAI-модели — с различными, накладывающимися обязательствами. Закон ЕС об искусственном интеллекте
- Думать о соответствии как о функции продукта: Особенно в регулируемых секторах соответствие требованиям ИИ становится аргументом для продажи. Финтех-компания, внедрившая управление рисками ИИ в соответствии с EU AI Act, легче найдет клиентов B2B. Структурированные оценки воздействия (например, оценки воздействия на права человека или основные права) делают риски видимыми. arXiv, arXiv
Те, кто использует более длительный срок для систем высокого риска до 2027 года для создания таких процессов, будут в более выигрышном положении, когда формальный надзор усилится, и получат более ранний бонус доверия.
Важные определения
- EU AI Act: Регламент Европейского Союза, регулирующий искусственный интеллект, основанный на рискованном подходе.
- General Purpose AI (GPAI) / Базовые модели: Модели ИИ, обученные на больших объемах данных, отличающиеся широкой универсальностью и способные выполнять множество различных задач.
- Система ИИ высокого риска: Системы ИИ, которые представляют значительный риск для здоровья, безопасности или основных прав, либо как часть регулируемых продуктов, либо в конкретных чувствительных областях применения (Приложение III).
- Цифровой омнибус: Пакет предложений Европейской комиссии, который, среди прочего, включает перенос сроков для систем ИИ высокого риска.
- Национальный план по ИИ (Австралия): Стратегия Австралии по стимулированию ИИ через инвестиции в инфраструктуру, доступ к данным и профессиональную подготовку, при этом регулирование осуществляется в основном через существующие законы.

Источник: user-added
Диаграмма показывает семь принципов применения ИИ, расположенных по кругу с текстовыми описаниями.
Ресурсы и перспективы
Для тех, кто предпочитает, чтобы темы объяснялись, несколько видео хорошо подходят — всегда в дополнение к оригинальным текстам.:
- Компактное введение в структуру, классы риска и глобальный охват предлагает „EU AI Act Explained 2025“.
- Немного более фундаментальный обзор предлагает „The EU’s AI Act Explained“.
- Те, кто уже работает с базовыми моделями, получат практический взгляд на GPAI Code of Practice в беседе „Unpacking the EU AI Act Code of Practice with Marietje Schaake“ в разговоре о GPAI Code of Practice..
- Для австралийского контекста стоит ознакомиться с обсуждениями австралийской стратегии ИИ и экосистемы ИИ, например, в формате „Australia’s AI ecosystem growth and opportunities“ Национального центра ИИ..
Государства ужесточают правила ИИ — но делают это не везде одинаково. В Европе EU AI Act уточняется и частично растягивается во времени, не отказываясь от своей основной логики строго рискованного регулирования. В Австралии существует Национальный план по ИИ для инфраструктуры, навыков и безопасности, который в большей степени полагается на существующие законы и секторальный надзор. Справочная служба AI Act, Страница отрасли
Для компаний это означает: выбирать не между инновациями и регулированием, а строить собственную стратегию ИИ таким образом, чтобы она поддерживала оба направления. Те, кто идентифицирует свои системы ИИ высокого риска, правильно классифицирует базовые модели и внедряет управление ИИ как неотъемлемую часть разработки продукта и процесса, используют текущий «регуляторный сдвиг» как возможность.