Wokół AI Act narosło sporo szumu, a producenci dostają sprzeczne sygnały: raz, że „wszystko wchodzi w sierpniu 2026", raz, że „terminy i tak przesunięto". Oba zdania są częściowo prawdziwe – i właśnie dlatego warto rozdzielić, co realnie obowiązuje teraz, a co dopiero nadejdzie. Ten tekst robi porządek i daje wam konkretną listę pytań do vendora AI.
Zastrzeżenie na wstępie: to nie jest porada prawna. To mapa, na której podstawie łatwiej rozmawiać z prawnikiem i z dostawcą – nie zastępuje żadnego z nich.
AI Act nie wchodzi „naraz" – działa fazami
AI Act wszedł w życie 1 sierpnia 2024 r., ale jego przepisy stosuje się etapami. To kluczowe: pytanie nie brzmi „czy jesteśmy zgodni z AI Act", tylko „czy jesteśmy zgodni z obowiązkami, które obowiązują dziś – i czy jesteśmy na ścieżce do tych, które dopiero nadejdą".
Co już obowiązuje w połowie 2026 roku:
- Zakazane praktyki – od lutego 2025. Systemy uznane za „nieakceptowalne ryzyko" (m.in. scoring społeczny, manipulacja podprogowa) są zakazane.
- Obowiązki dla modeli ogólnego przeznaczenia (GPAI) – od sierpnia 2025. Dotyczą dostawców dużych modeli: dokumentacja techniczna, transparentność, zarządzanie ryzykiem systemowym.
- Krajowe organy nadzoru – wyznaczone i operacyjne; egzekwowanie przepisów już się zaczęło.
Co jest najbliższym realnym progiem: 2 sierpnia 2026 – wtedy wchodzi większość pozostałych przepisów, w tym obowiązki transparentności z art. 50 oraz przepisy o karach.
Digital Omnibus: terminy dla high-risk przesunięte, ale to jeszcze nie prawo
Tu jest najświeższa i najważniejsza zmiana. W maju 2026 instytucje UE uzgodniły tzw. Digital Omnibus on AI – pakiet poprawek, który m.in. przesuwa terminy dla systemów wysokiego ryzyka. Parlament Europejski przegłosował tekst 16 czerwca 2026. Brakuje jeszcze jednego kroku: formalnego przyjęcia przez Radę i publikacji w Dzienniku Urzędowym.
I to jest niuans, którego nie wolno przeoczyć: dopóki Omnibus nie zostanie opublikowany w Dzienniku Urzędowym, nowe daty nie są wiążące, a pierwotny próg 2 sierpnia 2026 formalnie nadal obowiązuje. Formalne przyjęcie jest spodziewane przed sierpniem 2026 – to uzasadnione oczekiwanie, ale nie pewność.
Co przewiduje uzgodniony tekst, jeśli wejdzie w życie:
- High-risk z Annex III (m.in. rekrutacja, scoring, infrastruktura krytyczna) – termin zgodności przesunięty z sierpnia 2026 na 2 grudnia 2027;
- High-risk wbudowane w produkty regulowane (Annex I), np. maszyny, wyroby medyczne – przesunięte na 2 sierpnia 2028;
- Nowy zakaz dotyczący AI generującego materiały intymne bez zgody i CSAM – wchodzi 2 grudnia 2026;
- Watermarking treści generowanych przez AI (art. 50 ust. 2) dla systemów już na rynku – przesunięty na 2 grudnia 2026; szersze obowiązki transparentności z art. 50 pozostają na sierpień 2026.
Dla producenta wniosek jest praktyczny: nie demobilizujcie przygotowań w oparciu o przesunięcie, które nie weszło jeszcze w życie. Traktujcie nowe daty jako prawdopodobny scenariusz, nie jako fakt.
Co to oznacza dla typowego producenta
Większość producentów nie buduje własnych modeli – kupuje lub wdraża rozwiązania AI. W praktyce wasza rola to najczęściej deployer (podmiot stosujący), rzadziej provider. To rozróżnienie decyduje o tym, które obowiązki spadają na was, a które na vendora.
Drugie pytanie to klasyfikacja ryzyka. Nie każde zastosowanie AI w fabryce jest „high-risk". Asystent, który pomaga przeszukać dokumentację albo przygotować wstęp do oferty, zwykle nim nie jest. Ale AI wpięte w proces, który wpływa na bezpieczeństwo produktu albo na decyzje wobec pracowników, może już podlegać surowszym wymogom. Klasyfikacja to pierwszy krok – i nie róbcie jej „na oko".
Trzecia rzecz, często pomijana: AI Act nie jest jedyną regulacją w grze. Dla podmiotów objętych NIS2 wymogi dotyczące bezpieczeństwa i nadzoru nad dostawcami nakładają się na obowiązki z AI Act. Jeśli przygotowujecie się do audytu NIS2, AI traktujcie jako element tego samego krajobrazu, nie osobną wyspę.
O co zapytać vendora AI, zanim podpiszecie umowę
Niezależnie od tego, jak rozstrzygnie się Omnibus, te pytania są odporne na zmianę dat. Jeśli vendor nie umie na nie odpowiedzieć konkretnie, to sygnał.
- Gdzie przetwarzane są nasze dane? Na waszej infrastrukturze, w dedykowanej instancji, czy w współdzielonym modelu publicznym? To pytanie o suwerenność danych i o to, co powiecie audytorowi.
- Kto jest providerem, a kto deployerem w tej relacji? Vendor powinien jasno powiedzieć, które obowiązki AI Act bierze na siebie, a które zostają po waszej stronie.
- Jak klasyfikujecie ryzyko naszego zastosowania? Dobry dostawca przejdzie z wami przez klasyfikację, a nie zbędzie was zapewnieniem „to nie jest high-risk".
- Czy zostaje audytowalny ślad? Czy widać, na jakich źródłach system oparł odpowiedź? Bez tego trudno wykazać zgodność i przejść audyt.
- Jak nadążacie za zmianami prawa? AI Act jest nowelizowany (Omnibus to dowód). Zapytajcie, jak vendor aktualizuje rozwiązanie wobec zmieniających się dat i wymogów.
Te pięć pytań nie wymaga, żebyście byli prawnikami. Wymaga tylko, żeby dostawca traktował zgodność jako część produktu, a nie jako wasz problem do rozwiązania po wdrożeniu.
Praktyczny wniosek
AI Act w 2026 roku to obraz „częściowo obowiązuje, częściowo nadchodzi, częściowo właśnie się przesuwa". Najgorszą strategią jest skrajność: albo panika („wszystko od sierpnia"), albo demobilizacja („i tak przesuną"). Rozsądna droga to znać swój obecny obowiązek, przygotowywać się do najbliższego progu i dobrać vendora, który tę zmienność rozumie i bierze na siebie jej część.
Chcecie uporządkować, które obowiązki AI Act i NIS2 realnie dotyczą waszego zakładu? Przygotowaliśmy ściągę mapującą AI Act na NIS2 – umówcie 30-minutową rozmowę z założycielem, przejdziemy ją razem na waszym przypadku.
