EuroComply
Sign up
Back to blog
Rozporządzenie AI UE 9 min read

Akt o AI UE: Ocena zgodności — praktyczna lista kontrolna

What you need to know: Akt o AI UE: Ocena zgodności — praktyczna lista kontrolna

Systemy AI wysokiego ryzyka muszą przejść ocenę zgodności przed wdrożeniem. Termin sierpień 2026 zbliża się. Ta lista kontrolna omawia wszystkie wymagania, abyś wiedział, co należy przygotować.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Jeśli jesteś dostawcą systemu AI wysokiego ryzyka, nie możesz go wdrożyć przed przeprowadzeniem oceny zgodności. Nie jest to audyt przeprowadzany po wdrożeniu — jest to warunek wstępny wprowadzenia systemu na rynek. Termin dla systemów AI wysokiego ryzyka wymienionych w Załączniku III to 2 sierpnia 2026 r.

Niniejszy przewodnik wyjaśnia, kto musi przeprowadzić ocenę zgodności, co ona obejmuje oraz co należy przygotować.

Kto potrzebuje oceny zgodności

Obowiązek spoczywa na dostawcach — firmach, które opracowują systemy AI wysokiego ryzyka i wprowadzają je na rynek UE lub oddają do użytku. Do dostawców zaliczają się:

  • Firmy, które budują systemy AI wysokiego ryzyka na potrzeby własnego wdrożenia
  • Firmy, które sprzedają lub licencjonują systemy AI wysokiego ryzyka innym organizacjom
  • Importerzy i dystrybutorzy, którzy wprowadzają na rynek UE system AI wysokiego ryzyka dostawcy spoza UE

Podmioty stosujące — organizacje korzystające z systemu AI wysokiego ryzyka zbudowanego przez inny podmiot — zazwyczaj nie przeprowadzają ocen zgodności. Ich obowiązki są inne: rejestracja systemu, przeprowadzanie ocen skutków dla praw podstawowych oraz wdrożenie nadzoru ludzkiego. Jeśli jednak nabywasz system AI wysokiego ryzyka od dostawcy, przed jego wdrożeniem powinieneś sprawdzić, czy dostawca przeprowadził ocenę zgodności.

System jest wysokiego ryzyka, jeśli jest wymieniony w Załączniku III do Aktu o AI. Osiem sektorów objętych regulacją to: biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do podstawowych usług, organy ścigania, migracja i zarządzanie granicami oraz wymiar sprawiedliwości i procesy demokratyczne.

Samoocena a ocena przez stronę trzecią

Ścieżka postępowania zależy od kategorii produktu:

Samoocena (wewnętrzna kontrola zgodności) — dostępna dla większości systemów AI wysokiego ryzyka objętych Załącznikiem III. Dostawca przeprowadza ocenę wewnętrznie w oparciu o wymagania i wystawia unijną deklarację zgodności.

Ocena przez akredytowaną jednostkę notyfikowaną — wymagana w przypadku systemów AI wbudowanych w produkty lub stanowiących element bezpieczeństwa produktów objętych już unijnym prawodawstwem harmonizacyjnym wymienionym w Załączniku I — w tym urządzeń medycznych, maszyn, urządzeń radiowych, lotnictwa cywilnego i pojazdów silnikowych. Produkty te wymagają oceny przez akredytowaną jednostkę notyfikowaną.

Jeżeli Twój system AI jest samodzielną aplikacją programową (narzędzie do selekcji kandydatów HR, model wykrywania oszustw, silnik scoringowy), samoocena jest prawdopodobnie właściwą ścieżką. Jeśli jest wbudowany w regulowany sprzęt, sprawdź, czy wymagana jest jednostka notyfikowana.

8 wymagań (Artykuły 9–15)

Ocena zgodności weryfikuje, czy system spełnia wszystkie poniższe wymagania:

1. System zarządzania ryzykiem (Artykuł 9) — Udokumentowany proces zarządzania ryzykiem obejmujący cały cykl życia systemu: identyfikacja znanych i przewidywalnych ryzyk, szacowanie i ocena ryzyka oraz ograniczanie ryzyka. Proces musi być iteracyjny i aktualizowany w miarę rozwoju systemu.

2. Dane i zarządzanie danymi (Artykuł 10) — Zestawy danych do trenowania, walidacji i testowania muszą podlegać praktykom zarządzania danymi: trafność, reprezentatywność, brak błędów, kompletność. Odchylenia (biasy) muszą być identyfikowane i eliminowane. Dane używane do trenowania muszą być udokumentowane.

3. Dokumentacja techniczna (Artykuł 11 i Załącznik IV) — Kompleksowa dokumentacja umożliwiająca właściwym organom ocenę zgodności. Szczegółowa lista kontrolna znajduje się poniżej.

4. Prowadzenie rejestrów i automatyczne rejestrowanie zdarzeń (Artykuł 12) — System musi automatycznie rejestrować zdarzenia przez cały czas swojego działania, w zakresie technicznie wykonalnym. Logi muszą umożliwiać monitorowanie po wprowadzeniu na rynek oraz badanie incydentów.

5. Przejrzystość i informacje dla podmiotów stosujących (Artykuł 13) — Dostawcy muszą dostarczyć podmiotom stosującym instrukcję obsługi obejmującą: tożsamość i cel systemu; poziom dokładności i wydajności; ograniczenia; typy danych wejściowych; znane odchylenia; oczekiwany czas eksploatacji i potrzeby konserwacyjne oraz środki nadzoru ludzkiego.

6. Nadzór ludzki (Artykuł 14) — System musi być zaprojektowany w sposób umożliwiający ludziom monitorowanie, rozumienie i interweniowanie. Obejmuje to: zdolność interpretowania wyników; możliwość zastąpienia systemu lub jego zatrzymania; świadomość ryzyka automatyzacyjnych odchyleń poznawczych oraz odpowiednie środki nadzoru ludzkiego wbudowane w projekt systemu.

7. Dokładność, solidność i cyberbezpieczeństwo (Artykuł 15) — System musi być zaprojektowany i opracowany tak, aby osiągać odpowiednie poziomy dokładności i działać w sposób spójny. Odporność na błędy, awarie i ataki adwersaryjne musi być testowana i dokumentowana. Środki cyberbezpieczeństwa muszą być proporcjonalne do ryzyka.

Lista kontrolna dokumentacji technicznej (Załącznik IV)

Załącznik IV wymienia 14 elementów, które musi obejmować dokumentacja techniczna. Przed oceną przejdź przez każdy z nich:

| # | Element | |---|---------| | 1 | Ogólny opis: zamierzony cel, interakcje ze sprzętem/oprogramowaniem, wersje | | 2 | Szczegółowy opis komponentów: algorytmy, logika, kluczowe decyzje projektowe, ograniczenia | | 3 | Opis mechanizmów monitorowania, funkcjonowania i kontroli systemu | | 4 | Opis środków nadzoru ludzkiego | | 5 | Specyfikacje techniczne: moc obliczeniowa, kluczowe wskaźniki wydajności | | 6 | Metodologia trenowania: podejścia, techniki, narzędzia, wykorzystane dane | | 7 | Procedury walidacji i testowania: protokoły, metodologie, wyniki | | 8 | Środki cyberbezpieczeństwa | | 9 | Opis istotnych zmian wprowadzonych w trakcie cyklu życia | | 10 | Wykaz zastosowanych norm zharmonizowanych; w przypadku ich niezastosowania — opis przyjętych rozwiązań | | 11 | Kopia unijnej deklaracji zgodności | | 12 | Plan monitorowania po wprowadzeniu na rynek | | 13 | Streszczenie systemu zarządzania ryzykiem | | 14 | Środki nadzoru ludzkiego i ich techniczna implementacja |

Unijna deklaracja zgodności (Artykuł 47)

Po przeprowadzeniu oceny zgodności dostawca musi sporządzić unijną deklarację zgodności. Dokument ten musi zawierać:

  • Nazwę i adres dostawcy
  • Identyfikację systemu AI (nazwa, typ, numer wersji)
  • Potwierdzenie, że system AI jest zgodny z niniejszym rozporządzeniem oraz wszelkimi innymi mającymi zastosowanie przepisami prawa UE
  • Zastosowaną procedurę oceny zgodności (Załącznik VI dla samooceny lub Załącznik VII dla jednostki notyfikowanej)
  • Nazwę, numer identyfikacyjny i numer certyfikatu jednostki notyfikowanej (jeśli dotyczy)
  • Miejsce i datę wystawienia, imię, nazwisko i podpis osoby upoważnionej

Deklaracja zgodności musi być przechowywana przez 10 lat od daty wprowadzenia systemu na rynek lub oddania go do użytku.

Oznakowanie CE

W przypadku systemów AI będących elementami bezpieczeństwa produktów objętych Załącznikiem I (urządzenia medyczne, maszyny itp.) oznakowanie CE musi zostać umieszczone po pomyślnym przeprowadzeniu oceny zgodności. Oznakowanie CE sygnalizuje zgodność z mającym zastosowanie prawem UE. W przypadku samodzielnych programowych systemów AI, które nie są wbudowane w produkty objęte Załącznikiem I, oznakowanie CE nie jest wymagane.

Rejestracja (Artykuł 49)

Przed wdrożeniem systemu AI wysokiego ryzyka dostawcy muszą zarejestrować go w unijnej bazie danych systemów AI wysokiego ryzyka prowadzonej przez Komisję Europejską. Rejestracja jest wymagana przed wprowadzeniem na rynek lub oddaniem do użytku. Baza danych jest publicznie dostępna.

Rejestracja wymaga: tożsamości dostawcy, nazwy i wersji systemu, zamierzonego celu, krajów wdrożenia, statusu (na rynku / wycofany / odwołany), odniesienia do deklaracji zgodności, instrukcji obsługi, kontaktu do celów monitorowania po wprowadzeniu na rynek.

Harmonogram i praktyczne przygotowania

Termin zgodności dla AI wysokiego ryzyka to 2 sierpnia 2026 r. Ocena musi zostać zakończona przed wdrożeniem, a nie do terminu — termin to moment, w którym systemy muszą już być zgodne.

10-punktowa lista kontrolna przygotowań (rozpocząć 6 miesięcy przed terminem)

  1. Potwierdź, że Twój system podlega Załącznikowi III, i zidentyfikuj konkretny sektor i przypadek użycia.
  2. Ustal, czy wymagana jest samoocena, czy jednostka notyfikowana.
  3. Wyznacz osobę odpowiedzialną za zgodność, która będzie nadzorować proces oceny.
  4. Przeprowadź analizę luk w odniesieniu do Artykułów 9–15 — udokumentuj bieżący stan dla każdego wymagania.
  5. Zbuduj lub zaktualizuj system zarządzania ryzykiem i udokumentuj proces.
  6. Przeprowadź audyt danych treningowych i walidacyjnych pod kątem reprezentatywności, odchyleń i kompletności.
  7. Przygotuj wszystkie 14 elementów dokumentacji technicznej wymaganych przez Załącznik IV.
  8. Wdrożenie i przetestuj mechanizmy nadzoru ludzkiego w projekcie systemu.
  9. Przeprowadź testy dokładności, solidności i adwersaryjne; udokumentuj wyniki.
  10. Sporządź unijną deklarację zgodności i zarejestruj system w bazie danych UE.

Ostatnia aktualizacja: kwiecień 2026.

Często zadawane pytania

Które systemy AI wysokiego ryzyka wymagają oceny zgodności przez stronę trzecią?

Ocena przez akredytowaną jednostkę notyfikowaną jest wymagana, gdy system AI wysokiego ryzyka jest wbudowany w produkt lub stanowi element bezpieczeństwa produktu objętego już unijnym prawodawstwem harmonizacyjnym wymienionym w Załączniku I do Aktu o AI. Obejmuje to urządzenia medyczne regulowane rozporządzeniem 2017/745, maszyny objęte dyrektywą 2006/42/WE, urządzenia radiowe regulowane dyrektywą 2014/53/UE oraz pojazdy silnikowe objęte rozporządzeniem 2018/858. Samodzielne aplikacje programowe AI — takie jak narzędzia do selekcji kandydatów HR, silniki scoringowe lub modele wykrywania oszustw — są co do zasady uprawnione do skorzystania z ścieżki samooceny zgodnie z Załącznikiem VI, pod warunkiem spełnienia wszystkich wymagań Artykułów 9–15.

Co musi zawierać dokumentacja techniczna zgodnie z Załącznikiem IV?

Załącznik IV do Aktu o AI UE wymaga 14 elementów dokumentacji technicznej. Obejmują one ogólny opis systemu i jego zamierzonego celu; szczegółowy opis komponentów, algorytmów i kluczowych decyzji projektowych; opis mechanizmów monitorowania i kontroli; środki nadzoru ludzkiego; specyfikacje techniczne obejmujące wymagania dotyczące mocy obliczeniowej; metodologię trenowania i wykorzystane zestawy danych; procedury walidacji i testowania wraz z wynikami; środki cyberbezpieczeństwa; wykaz zastosowanych norm zharmonizowanych; kopię unijnej deklaracji zgodności; plan monitorowania po wprowadzeniu na rynek; oraz streszczenie systemu zarządzania ryzykiem. Właściwe organy, w tym Urząd Ochrony Danych Osobowych (UODO) w zakresie jego kompetencji, mogą zażądać tej dokumentacji w każdym czasie, dlatego musi być ona aktualna przez cały okres eksploatacji wdrożonego systemu.

Jak długo trwa ocena zgodności na podstawie Aktu o AI UE?

Harmonogram zależy od wybranej ścieżki. Samoocena — dostępna dla większości samodzielnych systemów AI objętych Załącznikiem III — trwa zazwyczaj od trzech do sześciu miesięcy, gdy zaczyna się od zera, uwzględniając analizę luk, przygotowanie dokumentacji, wdrożenie systemu zarządzania ryzykiem, testowanie i sporządzenie deklaracji zgodności. Oceny przez jednostki notyfikowane mogą trwać dłużej, gdyż ich kolejki zapełniają się przed sierpniowym terminem 2026 r. Organizacje, które nie rozpoczną procedury do końca 2025 r., narażają się na realne ryzyko niedotrzymania terminu. Wczesne nawiązanie kontaktu z jednostką notyfikowaną, jeśli jest wymagana, jest zdecydowanie zalecane.

Źródła

  • EUR-Lex, Rozporządzenie (UE) 2024/1689 (Akt o AI), Artykuły 43–49 i Załącznik IV: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Komisja Europejska, wytyczne dotyczące wdrożenia Aktu o AI i rejestr jednostek notyfikowanych: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, narzędzia i zasoby do oceny cyberbezpieczeństwa AI: https://www.enisa.europa.eu/topics/artificial-intelligence

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Akt o AI UE: Ocena zgodności — praktyczna lista kontrolna

This article covers: Kto potrzebuje oceny zgodności, Samoocena a ocena przez stronę trzecią, 8 wymagań (Artykuły 9–15).

  • Kto potrzebuje oceny zgodności
  • Samoocena a ocena przez stronę trzecią
  • 8 wymagań (Artykuły 9–15)
  • Lista kontrolna dokumentacji technicznej (Załącznik IV)
  • Unijna deklaracja zgodności (Artykuł 47)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Akt o AI UE: Ocena zgodności — praktyczna lista kontrolna