Wokół AI Act narosło sporo szumu, a producenci dostają sprzeczne sygnały: raz, że „wszystko wchodzi w sierpniu 2026", raz, że „terminy i tak przesunięto". Oba zdania są częściowo prawdziwe – i właśnie dlatego warto rozdzielić, co realnie obowiązuje teraz, a co dopiero nadejdzie. Ten tekst robi porządek i daje wam konkretną listę pytań do vendora AI.

Zastrzeżenie na wstępie: to nie jest porada prawna. To mapa, na której podstawie łatwiej rozmawiać z prawnikiem i z dostawcą – nie zastępuje żadnego z nich.

AI Act nie wchodzi „naraz" – działa fazami

AI Act wszedł w życie 1 sierpnia 2024 r., ale jego przepisy stosuje się etapami. To kluczowe: pytanie nie brzmi „czy jesteśmy zgodni z AI Act", tylko „czy jesteśmy zgodni z obowiązkami, które obowiązują dziś – i czy jesteśmy na ścieżce do tych, które dopiero nadejdą".

Co już obowiązuje w połowie 2026 roku:

  • Zakazane praktyki – od lutego 2025. Systemy uznane za „nieakceptowalne ryzyko" (m.in. scoring społeczny, manipulacja podprogowa) są zakazane.
  • Obowiązki dla modeli ogólnego przeznaczenia (GPAI) – od sierpnia 2025. Dotyczą dostawców dużych modeli: dokumentacja techniczna, transparentność, zarządzanie ryzykiem systemowym.
  • Krajowe organy nadzoru – wyznaczone i operacyjne; egzekwowanie przepisów już się zaczęło.

Co jest najbliższym realnym progiem: 2 sierpnia 2026 – wtedy wchodzi większość pozostałych przepisów, w tym obowiązki transparentności z art. 50 oraz przepisy o karach.

Digital Omnibus: terminy dla high-risk przesunięte, ale to jeszcze nie prawo

Tu jest najświeższa i najważniejsza zmiana. W maju 2026 instytucje UE uzgodniły tzw. Digital Omnibus on AI – pakiet poprawek, który m.in. przesuwa terminy dla systemów wysokiego ryzyka. Parlament Europejski przegłosował tekst 16 czerwca 2026. Brakuje jeszcze jednego kroku: formalnego przyjęcia przez Radę i publikacji w Dzienniku Urzędowym.

I to jest niuans, którego nie wolno przeoczyć: dopóki Omnibus nie zostanie opublikowany w Dzienniku Urzędowym, nowe daty nie są wiążące, a pierwotny próg 2 sierpnia 2026 formalnie nadal obowiązuje. Formalne przyjęcie jest spodziewane przed sierpniem 2026 – to uzasadnione oczekiwanie, ale nie pewność.

Co przewiduje uzgodniony tekst, jeśli wejdzie w życie:

  • High-risk z Annex III (m.in. rekrutacja, scoring, infrastruktura krytyczna) – termin zgodności przesunięty z sierpnia 2026 na 2 grudnia 2027;
  • High-risk wbudowane w produkty regulowane (Annex I), np. maszyny, wyroby medyczne – przesunięte na 2 sierpnia 2028;
  • Nowy zakaz dotyczący AI generującego materiały intymne bez zgody i CSAM – wchodzi 2 grudnia 2026;
  • Watermarking treści generowanych przez AI (art. 50 ust. 2) dla systemów już na rynku – przesunięty na 2 grudnia 2026; szersze obowiązki transparentności z art. 50 pozostają na sierpień 2026.

Dla producenta wniosek jest praktyczny: nie demobilizujcie przygotowań w oparciu o przesunięcie, które nie weszło jeszcze w życie. Traktujcie nowe daty jako prawdopodobny scenariusz, nie jako fakt.

Co to oznacza dla typowego producenta

Większość producentów nie buduje własnych modeli – kupuje lub wdraża rozwiązania AI. W praktyce wasza rola to najczęściej deployer (podmiot stosujący), rzadziej provider. To rozróżnienie decyduje o tym, które obowiązki spadają na was, a które na vendora.

Drugie pytanie to klasyfikacja ryzyka. Nie każde zastosowanie AI w fabryce jest „high-risk". Asystent, który pomaga przeszukać dokumentację albo przygotować wstęp do oferty, zwykle nim nie jest. Ale AI wpięte w proces, który wpływa na bezpieczeństwo produktu albo na decyzje wobec pracowników, może już podlegać surowszym wymogom. Klasyfikacja to pierwszy krok – i nie róbcie jej „na oko".

Trzecia rzecz, często pomijana: AI Act nie jest jedyną regulacją w grze. Dla podmiotów objętych NIS2 wymogi dotyczące bezpieczeństwa i nadzoru nad dostawcami nakładają się na obowiązki z AI Act. Jeśli przygotowujecie się do audytu NIS2, AI traktujcie jako element tego samego krajobrazu, nie osobną wyspę.

O co zapytać vendora AI, zanim podpiszecie umowę

Niezależnie od tego, jak rozstrzygnie się Omnibus, te pytania są odporne na zmianę dat. Jeśli vendor nie umie na nie odpowiedzieć konkretnie, to sygnał.

  1. Gdzie przetwarzane są nasze dane? Na waszej infrastrukturze, w dedykowanej instancji, czy w współdzielonym modelu publicznym? To pytanie o suwerenność danych i o to, co powiecie audytorowi.
  2. Kto jest providerem, a kto deployerem w tej relacji? Vendor powinien jasno powiedzieć, które obowiązki AI Act bierze na siebie, a które zostają po waszej stronie.
  3. Jak klasyfikujecie ryzyko naszego zastosowania? Dobry dostawca przejdzie z wami przez klasyfikację, a nie zbędzie was zapewnieniem „to nie jest high-risk".
  4. Czy zostaje audytowalny ślad? Czy widać, na jakich źródłach system oparł odpowiedź? Bez tego trudno wykazać zgodność i przejść audyt.
  5. Jak nadążacie za zmianami prawa? AI Act jest nowelizowany (Omnibus to dowód). Zapytajcie, jak vendor aktualizuje rozwiązanie wobec zmieniających się dat i wymogów.

Te pięć pytań nie wymaga, żebyście byli prawnikami. Wymaga tylko, żeby dostawca traktował zgodność jako część produktu, a nie jako wasz problem do rozwiązania po wdrożeniu.

Praktyczny wniosek

AI Act w 2026 roku to obraz „częściowo obowiązuje, częściowo nadchodzi, częściowo właśnie się przesuwa". Najgorszą strategią jest skrajność: albo panika („wszystko od sierpnia"), albo demobilizacja („i tak przesuną"). Rozsądna droga to znać swój obecny obowiązek, przygotowywać się do najbliższego progu i dobrać vendora, który tę zmienność rozumie i bierze na siebie jej część.

Chcecie uporządkować, które obowiązki AI Act i NIS2 realnie dotyczą waszego zakładu? Przygotowaliśmy ściągę mapującą AI Act na NIS2 – umówcie 30-minutową rozmowę z założycielem, przejdziemy ją razem na waszym przypadku.

Powiązane