Закон ЄС про ШІ: терміни відповідності до 2027

Закон ЄС про ШІ не набирає чинності в один день. Він застосовується поетапно між 2024 і 2027 роками, і кожен етап вмикає окремий набір обовʼязків для організацій, які створюють або використовують системи ШІ в Європі.

Два з цих етапів уже діють. Наступний, режим високого ризику, настає 2 серпня 2026 року, і саме це робить найближчі місяці тим вікном, проти якого зараз працює більшість команд із відповідності.

Графік Закону ЄС про ШІ — це поетапний розклад, який вводить у дію Регламент (ЄС) 2024/1689 між 2024 і 2027 роками. Закон набрав чинності 1 серпня 2024 року. Заборонені практики й обовʼязки щодо грамотності ШІ застосовуються з 2 лютого 2025 року, правила щодо ШІ загального призначення — з 2 серпня 2025 року, а обовʼязки для систем високого ризику — з 2 серпня 2026 року.

Дати закріплені в самому регламенті, тож вони діють однаково в усіх 27 державах-членах. Таблиця нижче — найшвидший спосіб побачити, який обовʼязок вмикається коли.

Дата	Що застосовується	Кого стосується	Найвищий рівень штрафу
1 серп. 2024	Регламент набирає чинності	Усі в межах дії	Ще не підлягає виконанню
2 лют. 2025	Заборонені практики (Стаття 5) і грамотність ШІ (Стаття 4)	Кожен постачальник і впроваджувач	€35 млн або 7% обороту
2 серп. 2025	Правила щодо ШІ загального призначення, управління і штрафи (Стаття 99)	Постачальники GPAI, органи	€15 млн або 3% обороту
2 серп. 2026	Обовʼязки для систем високого ризику з Додатка III і більшість решти правил	Постачальники й впроваджувачі систем високого ризику	€15 млн або 3% обороту
2 серп. 2027	Системи високого ризику в складі регульованих продуктів (Додаток I)	Виробники продуктів	€15 млн або 3% обороту

Закон про штучний інтелект, формально Регламент (ЄС) 2024/1689, набрав чинності 1 серпня 2024 року. Це перший у світі горизонтальний закон про ШІ, і він регулює постачальників, впроваджувачів, імпортерів і дистрибʼюторів систем ШІ, що використовуються в Європейському Союзі.

Набрання чинності не означало негайного правозастосування. Регламент задав поетапний календар, щоб організації та національні органи мали час побудувати наглядову архітектуру й адаптувати свої системи.

Дія сягає за межі ЄС. Закон застосовується, коли результат роботи системи ШІ використовується в Союзі, що втягує в сферу дії велику частку світового ринку ШІ навіть для компаній зі штаб-квартирами в інших країнах.

Першими ввімкнулися два обовʼязки, і обидва вагомі. Заборона прихованих практик ШІ за Статтею 5 та обовʼязок щодо грамотності ШІ за Статтею 4 стали обовʼязковими до виконання з 2 лютого 2025 року.

Заборонений перелік охоплює вісім категорій, зокрема соціальний скоринг, нецільовий збір зображень облич, маніпулятивні чи експлуататорські системи та розпізнавання емоцій на робочих місцях і в школах. Їх узагалі не можна виводити на ринок ЄС, а порушення заборони тягне найвищий рівень штрафу — €35 мільйонів або 7% глобального річного обороту. Команди продукту, закупівель і юристи мають розпізнати заборонене використання ще до запуску, і саме на цьому зосереджена вправа «Заборонені практики ШІ».

Стаття 4 — це найширший обовʼязок у всьому регламенті. Вона вимагає від постачальників і впроваджувачів забезпечити достатній рівень грамотності ШІ серед персоналу й будь-кого, хто керує ШІ від їхнього імені, незалежно від рівня ризику задіяних систем.

Вправа «Основи грамотності ШІ» тренує три поведінки, яких насправді очікує стаття: критичну оцінку результатів ШІ, перевірку перед дією і дисципліновану роботу з даними. Повний розбір Статті 4 дивіться в нашому посібнику з навчання за Законом ЄС про ШІ.

Другий етап додав правила для ШІ загального призначення та механізм правозастосування для всього регламенту. З 2 серпня 2025 року стали застосовними обовʼязки щодо моделей GPAI, розділ про управління і режим штрафів за Статтею 99.

Постачальники ШІ загального призначення тепер несуть обовʼязки з документування, прозорості та авторського права, з додатковими вимогами для моделей із системним ризиком. Впроваджувачі, які будують рішення поверх цих моделей, успадковують відповідальність нижче по ланцюгу, і цей розподіл по ролях розкриває вправа «Обовʼязки моделей ШІ загального призначення (GPAI)».

Та сама дата запустила Офіс ЄС з питань ШІ всередині Європейської Комісії та зобовʼязала держави-члени призначити національні компетентні органи. Вправа «Штрафи та правозастосування Закону ЄС про ШІ» проводить через трирівневу структуру штрафів, щоб команди розуміли, який обовʼязок стоїть за яким фінансовим ризиком.

Це найближчий термін у календарі, і він найважчий. З 2 серпня 2026 року застосовуються обовʼязки для систем високого ризику, перелічених у Додатку III, а більшість решти положень регламенту стають обовʼязковими.

Додаток III охоплює вісім сфер, де ШІ є високого ризику за замовчуванням: біометрія, критична інфраструктура, освіта, працевлаштування, основні публічні та приватні послуги, правоохоронна діяльність, міграція й прикордонний контроль, а також відправлення правосуддя. Постачальники й впроваджувачі цих систем стикаються з найглибшими засобами контролю в Законі, від управління ризиками і керування даними до людського нагляду й моніторингу після виходу на ринок. Вправа «ШІ високого ризику: обовʼязки впроваджувача» перевіряє, чи готовий запуск за сімома напрямами, які аудитор перевірить першими.

Більшість підприємств є впроваджувачами кількох систем високого ризику і постачальниками кількох. Банк із моделлю кредитного скорингу, лікарня з інструментом тріажу і рекрутер, що відбирає резюме за допомогою ШІ, — усі вони в межах Додатка III, тож дата серпня 2026 року не є вузькою проблемою.

Одна категорія виходить за межі 2026 року. Системи високого ризику, вбудовані як компоненти безпеки в продукти, що вже регулюються правом ЄС і перелічені в Додатку I, мають час до 2 серпня 2027 року.

Додаток I охоплює такі продукти, як машини, медичні вироби, іграшки й транспортні засоби, де чинне право щодо безпеки продукції вже вимагає оцінки відповідності. Додатковий рік визнає, що обовʼязки щодо ШІ треба вбудувати в усталені процеси сертифікації, а не накласти зверху.

Якщо ваш ШІ — це функція всередині регульованого фізичного продукту, ваша дата — 2027 рік. Для всього в Додатку III робочим терміном залишається 2 серпня 2026 року.

Так, у багатьох випадках. Закон сягає постачальників і впроваджувачів, заснованих поза межами ЄС, коли вони виводять системи ШІ на ринок ЄС або коли результат роботи системи використовується в Союзі.

Постачальник програмного забезпечення зі США, що продає інструмент найму на основі ШІ європейським клієнтам, є постачальником у межах дії. Компанія зі штаб-квартирою поза Європою, чий ШІ генерує результати, які споживає філія в ЄС, може бути впроваджувачем у межах дії. Територіальне охоплення повторює екстериторіальну логіку, яка зробила GDPR світовим стандартом.

Організаціям поза ЄС у межах дії зазвичай потрібен уповноважений представник, заснований у Союзі. Практичний висновок простий: розташування не звільняє вас, якщо ваш ШІ торкається європейського ринку.

Єдиної навчальної програми, яку схвалює Комісія, немає, але кроки нижче відповідають тому, що шукають національні органи й аудиторські фірми в обороноздатній програмі. Кожен крок створює документацію, яка живить терміни, що ще попереду.

Крок 1: Побудуйте реєстр систем ШІ. Перелічіть кожну систему ШІ, яку ваша організація створює або використовує, хто нею володіє і яких даних вона торкається. Вправа «Управління ШІ у вашій організації» показує, як побудувати реєстр і зупинити тіньовий ШІ, перш ніж він потрапить у поле зору регулятора.

Крок 2: Класифікуйте кожну систему за рівнем ризику. Розподіліть кожен запис реєстру на заборонений, високий, обмежений чи мінімальний ризик. Рівень визначає, які обовʼязки застосовуються, а наш посібник з категорій ризику Закону ЄС про ШІ пояснює, як зробити кожне рішення.

Крок 3: Проведіть навчання з грамотності ШІ для всього персоналу. Стаття 4 уже обовʼязкова до виконання, тож це найдешевший перший крок до загальної готовності. Навчіть загальний персонал безпечному щоденному використанню, а технічним і наглядовим ролям дайте глибші модулі.

Крок 4: Призначте людський нагляд і обробку інцидентів. Назвіть людей, відповідальних за нагляд за системами високого ризику, і визначте, як персонал звітує про збої ШІ. Вправи «Звітування про інциденти ШІ» і «Відповідальне використання інструментів ШІ на роботі» відпрацьовують обидві процедури.

Крок 5: Документуйте все. Зберігайте записи про те, хто чого навчався, коли системи класифікували і які заходи нагляду діють. Органи перевіряють записи вибірково, тож документація — це і є доказ відповідності.

Закон про ШІ рідко приходить сам. Організаціям ЄС зазвичай доводиться узгоджувати його з GDPR, NIS2 та іншими рамками одночасно, і навчальний контент перетинається більше, ніж очікує більшість команд.

Рамка	Обовʼязок, повʼязаний із навчанням	Перетин із Законом про ШІ
GDPR (ЄС 2016/679)	Законна обробка, права субʼєктів даних, реагування на витоки	Керування даними, системи ШІ, що обробляють персональні дані
NIS2 (ЄС 2022/2555)	Управління кіберризиками, звітування про інциденти, навчання керівництва	Обробка інцидентів, управління, ланцюг постачання
Закон ЄС про ШІ (ЄС 2024/1689)	Грамотність ШІ, класифікація ризиків, людський нагляд	Основний набір обовʼязків

Програма навчання працівників за GDPR уже охоплює роботу з даними, від якої залежать системи ШІ високого ризику. Програма навчання за NIS2 охоплює процедури звітування про інциденти, які Закон про ШІ використовує повторно. Організації, що будують одну програму обізнаності, узгоджену через рамки, витрачають значно менше за тих, хто проводить паралельні навчання, — про цю модель ми розповідаємо в посібнику з навчання для відповідності.

Навчання RansomLeak інтерактивне, на основі сценаріїв і задокументоване у спосіб, який наглядові органи впізнають. Окремий курс із Закону ЄС про ШІ охоплює регламент, поетапний графік, чотири рівні ризику й щоденні практики, яких очікує Стаття 4, а кожен модуль експортується у SCORM для LMS, яку перевірятиме орган.

Каталог приватності та відповідності містить повний курс із Закону ЄС про ШІ поряд зі сценаріями GDPR. Каталог безпеки ШІ охоплює інʼєкції в підказки, дипфейки й маніпуляції з LLM, які проблема тіньового ШІ вводить у сферу дії. Рольові треки створюють відкалібровану, задокументовану грамотність, якої прямо вимагає регламент.

Якщо хочете побачити, як навчання на основі сценаріїв накладається на кожен термін Закону про ШІ, замовте демонстрацію з нашою командою.

Регламент набрав чинності 1 серпня 2024 року й застосовується поетапно. Заборонені практики і грамотність ШІ застосовуються з 2 лютого 2025 року, правила щодо ШІ загального призначення — з 2 серпня 2025 року, а обовʼязки для систем високого ризику з Додатка III — з 2 серпня 2026 року. Системи високого ризику, вбудовані в регульовані продукти за Додатком I, мають час до 2 серпня 2027 року. Повне застосування досягається саме на цю останню дату.

Для більшості організацій це 2 серпня 2026 року, коли застосовуються обовʼязки для систем високого ризику з Додатка III, а більшість решти положень стають обовʼязковими. Банки, лікарні, рекрутери й оператори публічних послуг, що використовують ШІ в цих сферах, стикаються з найглибшими засобами контролю в Законі на цю дату. Обовʼязок щодо грамотності ШІ за Статтею 4 уже діє, тож він має бути в роботі вже зараз.

Стаття 99 встановлює три рівні. Порушення заборонених практик сягають до €35 мільйонів або 7% глобального річного обороту. Більшість інших обовʼязків, зокрема грамотність ШІ, прозорість і обовʼязки впроваджувача, сягають до €15 мільйонів або 3%. Надання оманливої інформації органам сягає до €7,5 мільйона або 1,5%. Малі та середні підприємства сплачують меншу з двох величин, а не більшу.

Так. Обовʼязки застосовуються залежно від ролі, яку ви відіграєте, і рівня ризику ваших систем ШІ, а не від розміру компанії. Малі та середні підприємства й стартапи отримують пропорційне ставлення, зокрема нижній край діапазонів штрафів і спрощену технічну документацію, але обовʼязок щодо грамотності ШІ за Статтею 4 застосовується незалежно від чисельності персоналу.

Правозастосування здійснюється через національні компетентні органи в кожній державі-члені та Офіс ЄС з питань ШІ всередині Європейської Комісії. Офіс наглядає за ШІ загального призначення безпосередньо й координує Європейську раду зі штучного інтелекту. Національні органи здійснюють ринковий нагляд, можуть запитувати документацію і накладати штрафи за Статтею 99.

Побудуйте реєстр кожної системи ШІ, яку ви використовуєте або створюєте, класифікуйте кожну за рівнем ризику й почніть навчання з грамотності ШІ для всього персоналу. Обовʼязок щодо грамотності вже діє і створює документацію, яка живить глибші обовʼязки, що настають у 2026 і 2027 роках. Наш посібник з категорій ризику Закону ЄС про ШІ пояснює, як класифікувати кожну систему.

Закон ЄС про ШІ — це поетапний регламент, і ставлення до нього як до єдиного майбутнього терміну — найшвидший спосіб відстати. Два етапи вже обовʼязкові, режим високого ризику настає 2 серпня 2026 року, а останні системи, вбудовані в продукти, настають у 2027 році.

Робота, що задовольняє ранні етапи, водночас будує докази для пізніших. Почніть із реєстру ШІ, класифікуйте за ризиком, навчіть персонал грамотності ШІ й задокументуйте кожен крок.

Якщо ваша організація використовує ШІ в Європі й хоче навчання на основі сценаріїв, прив’язане до кожного терміну, перегляньте каталог приватності та відповідності або поспілкуйтеся з нашою командою.

• Регламент (ЄС) 2024/1689 (Закон про ШІ) — Офіційний вісник
• Європейська Комісія: Закон про ШІ
• Європейська Комісія: графік впровадження Закону про ШІ
• Офіс ЄС з питань ШІ