EU AI Act: Изменения 2025 года разъяснены

Avatar
Лиза Эрнст · 02.12.2025 · Технологии · 10 мин

Компании инвестируют в пилотные проекты ИИ, часто не учитывая меняющуюся нормативную базу. Вопросы относительно систем ИИ высокого риска или обязательств по отчетности для базовых моделей возникают позже. Эта статья освещает изменения в EU AI Act и национальные планы по ИИ, такие как план Австралии, чтобы предложить ориентацию.

EU AI Act: Основы и изменения

EU AI Act вступил в силу в 2024 году и будет постепенно применяться до августа 2027 года. Он основан на рисковой модели с четырьмя уровнями риска и дополнительной категорией для универсальных моделей ИИ (GPAI), также известных как базовые модели. Справочная служба AI Act, ECNL

В 2025 году эта структура будет доработана. ЕС опубликует руководства и кодекс практики для универсального ИИ. Одновременно в рамках «Цифрового омнибуса» предлагается продлить сроки для систем высокого риска с августа 2026 года до конца 2027 года. Цифровая стратегия Европы, Цифровая стратегия Европы, Reuters, OneTrust

Для компаний это означает, что соответствие требованиям ИИ является стратегической задачей, особенно в секторах, таких как финансовые услуги, здравоохранение или государственное управление, где многие варианты использования попадают под категорию «система ИИ высокого риска». Закон ЕС об искусственном интеллекте, Справочная служба AI Act

Понимание изменений EU AI Act в 2025 году

EU AI Act регулирует ИИ на основе уровней риска: неприемлемый, высокий, ограниченный и минимальный риск, дополненный отдельной категорией для универсальных моделей ИИ. ECNL

Официальный график внедрения Европейской комиссии предусматривает четыре основных этапа:

В 2025 году акцент сместится на универсальный ИИ и вопрос о том, как быстро будут фактически реализованы обязательства по системам высокого риска.

Ключевые этапы и сроки EU AI Act, иллюстрирующие поэтапное внедрение Регламента до 2027 года.

Источник: mindfoundry.ai

Ключевые этапы и сроки EU AI Act, иллюстрирующие поэтапное внедрение Регламента до 2027 года.

Руководства и кодекс практики для универсального ИИ

В июле 2025 года Европейская комиссия опубликует три ключевых инструмента для регулирования базовых моделей: руководства для поставщиков GPAI, кодекс практики GPAI и дополнительные пособия по толкованию. Цифровая стратегия Европы

Руководства по GPAI и официальные часто задаваемые вопросы разъясняют, когда модель считается универсальным ИИ (широкие задачи, большой объем обучения, универсальное применение) и когда адаптация создает отдельного поставщика с обязательствами. Цифровая стратегия Европы

Кодекс практики GPAI — это добровольный инструмент, предоставляющий поставщикам конкретные рекомендации по организации документации, прозрачности и соблюдению авторских прав для подготовки к выполнению законодательных требований. Цифровая стратегия Европы

Комиссия признает, что кодекс практики был завершен позже, чем планировалось (конец 2025 года вместо мая). Это продлило неопределенность для поставщиков базовых моделей и стало одной из причин требований крупных технологических компаний «предоставить передышку» AI Act. Reuters, Reuters

Цифровой омнибус: сдвиг сроков для систем высокого риска

В ноябре 2025 года Комиссия представит пакет под названием «Цифровой омнибус». Ключевой момент — перенос применения обязательств по системам высокого риска с августа 2026 года на конец 2027 года. Reuters, euronews, OneTrust

Это коснется таких приложений, как биометрическая идентификация в общественных местах, ИИ для подачи заявок на работу и экзаменов, ИИ в энергетических и транспортных сетях, проверка кредитоспособности или решения на основе ИИ в здравоохранении и правоохранительной деятельности. Reuters, Справочная служба AI Act

Предлагаемая задержка является отсрочкой для завершения разработки стандартов, руководств и надзорных структур, а не откатом от регулирования. Тем не менее, НПО и некоторые депутаты говорят о «откате» механизмов цифровой защиты, поскольку одновременно обсуждаются послабления в правилах защиты данных и использования файлов cookie. The Guardian

Компании должны использовать этот период как возможность для создания структур управления. На это также указывают аналитические отчеты по соответствию, например, от Nemko или Compliance & Risks. digital.nemko.com, complianceandrisks.com

Национальные планы по ИИ

Параллельно с ЕС Австралия применяет другой подход: Национальным планом по ИИ консолидируются инвестиции в центры обработки данных, инфраструктуру данных и профессиональную подготовку. ИИ в значительной степени будет регулироваться существующими законами, дополненными собственным Институтом безопасности ИИ с 2026 года. Страница отрасли, ABC, Reuters

Национальный план Австралии по искусственному интеллекту: инфраструктура, данные, люди

В то время как ЕС дорабатывает EU AI Act, Австралия в своем Национальном плане по ИИ на 2025 год делает другой акцент: меньше новых запретов, но скоординированное развитие инфраструктуры, доступа к данным и компетенций. Страница отрасли

План имеет три основных направления:

Австралийское правительство подчеркивает, что на данный момент оно намерено опираться на существующие законы — например, в области защиты данных, конкуренции и защиты прав потребителей — вместо создания собственного AI Act. ABC, The Guardian

Для компаний, работающих в нескольких юрисдикциях, возникает контраст: в ЕС соблюдение требований ИИ связано со специальной структурой (EU AI Act), в то время как Австралия в большей степени работает с секторальными надзорными органами и существующими правовыми инструментами, дополненными национальной программой инвестиций и обучения.

Соответствие требованиям ИИ для компаний

Дискуссия сводится к вопросу: как разработать стратегию соответствия требованиям ИИ, которая учитывает как EU AI Act, так и национальные планы по ИИ? Прагматичный подход — рассматривать ИИ как расширение существующих структур управления, аналогично подходам «соответствие по замыслу». complianceandrisks.com

Что конкретно означает «система ИИ высокого риска» в ЕС?

Центральный вопрос многих проектов: «Что означает система ИИ высокого риска в ЕС — применимо ли это к нашему проекту?»

AI Act определяет системы высокого риска двумя способами: во-первых, ИИ, который является частью или компонентом безопасности уже регулируемого продукта (например, медицинские изделия, транспортные средства). Во-вторых, системы ИИ в определенных чувствительных областях применения, перечисленных в Приложении III. Закон ЕС об искусственном интеллекте, Закон ЕС об искусственном интеллекте

Приложение III включает, среди прочего: биометрию (например, удаленное распознавание лиц в общественных местах), критическую инфраструктуру (энергетика, транспорт, водоснабжение), образование (прием, мониторинг экзаменов), занятость и HR (отбор и оценка кандидатов), доступ к основным услугам (например, кредиты, страхование), правоохранительную деятельность, миграцию и правосудие. Закон ЕС об искусственном интеллекте, Справочная служба AI Act

Примеры из практики:

Юридически решающим является то, создает ли система значительный риск для здоровья, безопасности или основных прав. AI Act допускает исключения для некоторых случаев из Приложения III, если не существует «значительного риска», например, в ограниченных сценариях обнаружения мошенничества. Al Act, dpo-consulting.com

Для систем ИИ высокого риска действуют строгие обязательства: документированное управление рисками, надежное управление данными, техническая документация, протоколирование, концепции человеческого надзора, а также требования к точности, надежности и кибербезопасности. Закон ЕС об искусственном интеллекте

Компании, использующие ИИ в этих областях, должны заранее проанализировать, какие проекты попадают в категорию высокого риска, и начать документирование.

Классификация рисков систем ИИ в соответствии с EU AI Act, от минимального до неприемлемого риска.

Источник: ctol.digital

Классификация рисков систем ИИ в соответствии с EU AI Act, от минимального до неприемлемого риска.

Универсальные модели ИИ: новые руководства ЕС для базовых моделей

Второй крупный строительный блок — универсальные модели ИИ (GPAI), часто называемые базовыми моделями. AI Act определяет «универсальную модель ИИ» как модель, обученную на больших объемах данных, отличающуюся широкой универсальностью и способную выполнять множество различных задач. Закон ЕС об искусственном интеллекте

Примерами являются такие модели, как GPT-4, DALL·E или BERT, которые становятся специфичными для домена только после их интеграции в конкретные системы. Taylor Wessing

С 2 августа 2025 года действуют специальные обязательства для поставщиков таких универсальных моделей ИИ:

Системно рискованные модели классифицируются, в частности, на основе технических пороговых значений (вычислительные ресурсы для обучения) и их возможных последствий. Закон ЕС об искусственном интеллекте, Stibbe

Практически важную роль GPAI-структура играет для двух групп сотрудников компаний:

Предлагаемая отсрочка в «Цифровом омнибусе» в основном касается обязательств по системам высокого риска, а не в целом обязательств GPAI, которые действуют с августа 2025 года. OneTrust

Те, кто уже автоматизирует внутренние процессы принятия решений с помощью базовой модели, должны проверить, как их текущая конфигурация должна рассматриваться — как GPAI-поставщик, как система высокого риска или как комбинация обеих ролей.

Три практических наблюдения для стратегии соответствия требованиям ИИ

  1. Без инвентаризации нет стратегии: Компании, которые заблаговременно составляют карту ИИ — какие системы используются где, какие данные они используют и какие решения они затрагивают — могут быстрее выявить, какие варианты использования потенциально попадают в Приложение III или включают базовые модели. eyreACT, dpo-consulting.com
  2. Определить класс риска + роль: Комбинация класса риска (высокий риск против ограниченного риска) и роли (поставщик против развёртывающего лица) определяет обязательства. Тот, кто, например, использует американскую базовую модель в контексте европейского банка, может одновременно быть развёртывающим лицом системы высокого риска и «пользователем следующего уровня» GPAI-модели — с различными, накладывающимися обязательствами. Закон ЕС об искусственном интеллекте
  3. Думать о соответствии как о функции продукта: Особенно в регулируемых секторах соответствие требованиям ИИ становится аргументом для продажи. Финтех-компания, внедрившая управление рисками ИИ в соответствии с EU AI Act, легче найдет клиентов B2B. Структурированные оценки воздействия (например, оценки воздействия на права человека или основные права) делают риски видимыми. arXiv, arXiv

Те, кто использует более длительный срок для систем высокого риска до 2027 года для создания таких процессов, будут в более выигрышном положении, когда формальный надзор усилится, и получат более ранний бонус доверия.

Важные определения

Диаграмма показывает семь принципов применения ИИ, расположенных по кругу с текстовыми описаниями.

Источник: user-added

Диаграмма показывает семь принципов применения ИИ, расположенных по кругу с текстовыми описаниями.

Ресурсы и перспективы

Для тех, кто предпочитает, чтобы темы объяснялись, несколько видео хорошо подходят — всегда в дополнение к оригинальным текстам.:

Государства ужесточают правила ИИ — но делают это не везде одинаково. В Европе EU AI Act уточняется и частично растягивается во времени, не отказываясь от своей основной логики строго рискованного регулирования. В Австралии существует Национальный план по ИИ для инфраструктуры, навыков и безопасности, который в большей степени полагается на существующие законы и секторальный надзор. Справочная служба AI Act, Страница отрасли

Для компаний это означает: выбирать не между инновациями и регулированием, а строить собственную стратегию ИИ таким образом, чтобы она поддерживала оба направления. Те, кто идентифицирует свои системы ИИ высокого риска, правильно классифицирует базовые модели и внедряет управление ИИ как неотъемлемую часть разработки продукта и процесса, используют текущий «регуляторный сдвиг» как возможность.

Поделитесь нашей статьёй!