EU AI Act в 2026: полное вступление в силу — что нужно знать бизнесу

1 февраля 2026 — До полного вступления в силу EU AI Act осталось 6 месяцев. 2 августа 2026 года большинство требований станут обязательными, включая правила для high-risk AI-систем. Разбираем, что это значит для бизнеса — в том числе российского.

Что такое EU AI Act

Краткая история

• Апрель 2021 — Еврокомиссия представила проект
• Декабрь 2023 — Финальное согласование
• Август 2024 — Официальное вступление в силу
• Февраль 2025 — Запреты на определённые AI-практики
• Август 2025 — Правила для GPAI (General Purpose AI)
• Август 2026 — Полное вступление в силу

Почему это важно

EU AI Act — первый в мире комплексный закон об AI. Он:

• Устанавливает обязательные требования
• Вводит штрафы до €35 млн или 7% оборота
• Применяется экстерриториально (как GDPR)

Если ваш продукт используется в ЕС — закон касается вас.

Классификация AI-систем

Четыре уровня риска

EU AI Act классифицирует AI по уровню риска:

1. Запрещённые AI (Unacceptable Risk)

• Social scoring (как в Китае)
• Манипулятивный AI, эксплуатирующий уязвимости
• Биометрическая идентификация в реальном времени (с исключениями)
• Распознавание эмоций на работе и в школах

Статус: Запрещены с февраля 2025

2. High-Risk AI

• AI в критической инфраструктуре
• AI в образовании и трудоустройстве
• AI в правоохранительных органах
• AI в миграционном контроле
• AI в здравоохранении

Статус: Строгие требования с августа 2026

3. Limited Risk AI

• Чат-боты (требуется disclosure)
• Deepfakes (требуется маркировка)
• Emotion recognition (требуется уведомление)

Статус: Требования transparency с августа 2025

4. Minimal Risk AI

• Большинство AI-приложений
• Рекомендательные системы
• AI в играх

Статус: Добровольные кодексы поведения

Что меняется в августе 2026

Для High-Risk AI

Если ваш AI классифицируется как high-risk, нужно:

1. Система управления рисками

• Идентификация и анализ рисков
• Меры по митигации
• Постоянный мониторинг

2. Data Governance

• Требования к качеству данных
• Документирование датасетов
• Проверка на предвзятость (bias)

3. Техническая документация

• Детальное описание системы
• Метрики производительности
• Ограничения и риски

4. Логирование

• Автоматическое логирование работы AI
• Хранение логов для аудита
• Traceability решений

5. Human Oversight

• Возможность человеческого вмешательства
• Интерпретируемость решений
• Механизмы остановки

6. Conformity Assessment

• Внутренняя или внешняя оценка соответствия
• CE-маркировка
• Регистрация в EU Database

Для GPAI (General Purpose AI)

OpenAI, Anthropic, Google и другие провайдеры LLM должны:

Базовые требования (с августа 2025):

• Техническая документация
• Compliance с авторским правом
• Публикация training data summaries

Для "systemic risk" моделей:

• Model evaluation
• Adversarial testing
• Incident reporting
• Кибербезопасность

Кого это касается

Прямое применение

EU AI Act применяется к:

1. Провайдерам — кто разрабатывает и размещает AI на рынке ЕС
2. Deployers — кто использует AI-системы в ЕС
3. Импортёрам — кто ввозит AI в ЕС
4. Дистрибьюторам — кто распространяет AI в ЕС

Экстерриториальность

Как GDPR, закон применяется если:

• Ваш AI используется в ЕС
• Output AI влияет на людей в ЕС
• Вы таргетируете европейский рынок

Пример: Российская компания делает чат-бота для клиентского сервиса. Клиенты из ЕС используют его. Компания подпадает под EU AI Act.

Российские компании

Применимость

EU AI Act может касаться российских компаний, если:

1. Продукт доступен пользователям в ЕС
2. AI обрабатывает данные граждан ЕС
3. Есть дочерние компании или представительства в ЕС

Практические сценарии

Сценарий 1: SaaS с AI-функциями Если ваш SaaS с AI доступен в ЕС — закон применяется.

Сценарий 2: AI API Если API используется клиентами из ЕС — закон применяется к клиентам (deployers), но может затрагивать и вас.

Сценарий 3: Внутренний AI AI только для внутреннего использования в России — закон не применяется.

Что делать

1. Аудит — проверьте, есть ли у вас пользователи/клиенты в ЕС
2. Классификация — определите уровень риска вашего AI
3. Gap Analysis — сравните текущее состояние с требованиями
4. Roadmap — спланируйте приведение в соответствие

Практическое руководство

Шаг 1: Определите, применяется ли закон

Ответьте на вопросы:

• Есть ли пользователи в ЕС?
• Обрабатываются ли данные граждан ЕС?
• Размещаете ли AI-продукт на рынке ЕС?

Если хотя бы один ответ "да" — закон применяется.

Шаг 2: Классифицируйте AI

Определите категорию риска:

┌─ Запрещённый AI? 
│  └─ Да → СТОП: нельзя использовать в ЕС
│
├─ High-Risk AI? (критическая инфраструктура, HR, здравоохранение)
│  └─ Да → Полные требования compliance
│
├─ GPAI (LLM, foundation model)?
│  └─ Да → Требования transparency + документация
│
└─ Остальное → Minimal/Limited Risk → Добровольные рекомендации

Шаг 3: Подготовьте документацию

Для high-risk AI нужно:

1. Risk Management System documentation
2. Data governance records
3. Technical documentation (архитектура, метрики, ограничения)
4. Instructions for use
5. EU Declaration of Conformity

Шаг 4: Внедрите процессы

• Human oversight механизмы
• Logging системы
• Incident response план
• Regular audits

Шаг 5: Пройдите Conformity Assessment

Для большинства high-risk AI:

• Self-assessment достаточно
• Для biometric AI — внешний аудит

Штрафы и enforcement

Размер штрафов

Кто контролирует

• AI Office (европейский уровень) — для GPAI
• National authorities — для остального AI
• Market surveillance — проверки и расследования

Связь с GDPR

Пересечения

EU AI Act и GDPR работают вместе:

• AI обрабатывает персональные данные → GDPR применяется
• AI принимает автоматизированные решения → статья 22 GDPR
• Data quality требования AI Act дополняют GDPR

Практика

Если у вас уже есть GDPR compliance:

• Data governance частично покрыт
• Documentation practices переиспользуются
• DPO может взять на себя AI compliance

Временная линия

Что уже действует (февраль 2025)

• ✅ Запрет на social scoring
• ✅ Запрет на манипулятивный AI
• ✅ Запрет на emotion recognition в школах/работе

Что начнёт действовать (август 2026)

• ⏳ Полные требования для high-risk AI
• ⏳ Conformity assessment обязателен
• ⏳ Logging и мониторинг обязательны
• ⏳ CE-маркировка обязательна

Что позже (2027+)

• 📅 Некоторые legacy systems получают отсрочку до 2027
• 📅 Machine-readable marking для AI-контента — февраль 2027

Заключение

EU AI Act — это новая реальность для AI-индустрии. Как GDPR изменил работу с данными, AI Act изменит работу с искусственным интеллектом.

Ключевые выводы:

1. Август 2026 — дедлайн для high-risk AI compliance
2. Экстерриториальность — касается всех, кто работает с ЕС
3. Штрафы серьёзные — до 7% мирового оборота
4. Начните сейчас — 6 месяцев на подготовку
5. Используйте GDPR опыт — много пересечений

Не игнорируйте закон — лучше подготовиться заранее, чем платить штрафы.

---

Нужна помощь с AI compliance? Подписывайтесь на @AI_and_zarubejka — разбираем регулирование и практику!