Opóźnienie dotyczące systemów wysokiego ryzyka w AI Act nie jest odroczeniem
UE przesunęła terminy dotyczące systemów wysokiego ryzyka na grudzień 2027 i sierpień 2028. Powód, dla którego to zrobiono, powinien zmienić sposób, w jaki to interpretujesz: to ostrzeżenie dotyczące zakresu, a nie luz dla Twojego harmonogramu.

18 czerwca 2026 r. Parlament Europejski i Rada osiągnęły polityczne porozumienie w sprawie pakietu Digital Omnibus on AI, który wprowadza zmiany do Aktu w sprawie SI (rozporządzenie (UE) 2024/1689). Nagłówek mówi o opóźnieniu. Zasady dotyczące systemów wysokiego ryzyka w obszarach takich jak biometria, infrastruktura krytyczna, zatrudnienie i migracja będą teraz obowiązywać od 2 grudnia 2027 r., a zasady dotyczące systemów SI zintegrowanych z regulowanymi produktami, takimi jak windy czy zabawki, od 2 sierpnia 2028 r. (Komisja Europejska, "UE uzgadnia uproszczenie przepisów dotyczących SI", 2026-05-07). W przeciwnym razie większość regulacji miała wejść w życie już 2 sierpnia 2026 r., a systemy wysokiego ryzyka zintegrowane z regulowanymi produktami miały obowiązywać od 2 sierpnia 2027 r. (strona Komisji Europejskiej poświęcona ramom regulacyjnym AI Act). Zatem zegar dla samodzielnych systemów wysokiego ryzyka przesunął się o około szesnaście miesięcy, a ścieżka dla produktów zintegrowanych zyskała dodatkowe dwanaście.
Porozumienie nie jest jeszcze prawem. Zostało zawarte między współustawodawcami, ale nie zostało formalnie przyjęte ani opublikowane w Dzienniku Urzędowym. Kierunek zmian jest jednak na tyle ustalony, że można się nim kierować — i właśnie tutaj zespoły popełnią błąd.
Błąd polega na traktowaniu szesnastu miesięcy jako odroczenia. Tak nie jest. Opóźnienie mówi Ci trzy rzeczy, a tylko jedna z nich brzmi: "masz więcej czasu". Pozostałe dwie dotyczą tego, co przesunęło się wraz z terminem oraz dlaczego termin został przesunięty. Przeczytaj najpierw te dwie, a obraz się odwróci.
Przeczytaj, co tak naprawdę się przesunęło, a nie tylko datę
Termin dla systemów wysokiego ryzyka został przesunięty. Części AI Act, które już obowiązują, nie.
Praktyki zakazane zgodnie z artykułem 5 obowiązują od 2 lutego 2025 r., wraz z obowiązkami dotyczącymi kompetencji w zakresie SI. Zasady dotyczące governance oraz obowiązki dotyczące modeli ogólnego przeznaczenia (GPAI) obowiązują od 2 sierpnia 2025 r. (strona Komisji Europejskiej poświęcona ramom regulacyjnym AI Act). Żaden z tych terminów nie został zmieniony przez pakiet omnibus. Jeśli Twoja organizacja korzysta z modelu ogólnego przeznaczenia lub obsługuje cokolwiek, co dotyka zakazanych praktyk, Twoje obowiązki obowiązują już od prawie roku. Porozumienie z 7 maja wprowadza również nowy zakaz, a nie go usuwa: zakaz systemów SI służących do generowania niekonsensualnych obrazów intymnych, tzw. nudification apps (Komisja Europejska, 2026-05-07). Kierunek zmian w zakresie natychmiast obowiązujących przepisów jest addytywny, a nie subiektywny.
Opóźnienie jest więc wąskie. Dotyczy jednego poziomu reżimu — klasyfikacji systemów wysokiego ryzyka i ich obowiązków zgodności — pozostawiając zakazy i obowiązki GPAI dokładnie tam, gdzie były. Zespół, który usłyszy "AI Act został opóźniony" i wstrzyma cały program governance AI, błędnie odczytał celowaną zmianę terminu jako ogólną amnestię. To pierwsza pułapka.
Przeczytaj, dlaczego termin został przesunięty — powód jest ostrzeżeniem
Termin nie został przesunięty, ponieważ obowiązki okazały się łatwe. Został przesunięty, aby zsynchronizować wdrożenie z gotowością standardów technicznych i narzędzi wsparcia dla systemów wysokiego ryzyka, które w pierwotnym harmonogramie nie były jeszcze gotowe (Komisja Europejska, 2026-05-07). Zharmonizowane standardy, według których mają działać dostawcy systemów wysokiego ryzyka, wciąż są w trakcie opracowywania.
Zastanów się, co to oznacza dla zakresu. Nie dostajesz ukończonego podręcznika przepisów plus dodatkowego czasu na ich wdrożenie. Dostajesz dodatkowy czas właśnie dlatego, że podręcznik wciąż jest nieukończony. Praca polegająca na klasyfikacji systemów, mapowaniu ich obowiązków oraz budowaniu praktyk zarządzania ryzykiem i governance danych musi teraz odbywać się w oparciu o ruchomy cel. To trudniejsze, a nie łatwiejsze, niż dostosowanie się do ustalonego standardu. Zespoły, które potraktują 2 grudnia 2027 r. jako "powrócimy do tego za rok", w końcu 2027 r. staną przed tym samym niesklasyfikowanym problemem, który mają dzisiaj — z mniejszym zapasem czasu i standardem, który dopiero co przestał się zmieniać.
Szczerze mówiąc, opóźnienie jest przeciwieństwem komfortu. Regulator mówi Ci, że kluczowy szczegół wciąż jest pisany, a powód, dla którego dano Ci więcej czasu, jest powodem, dla którego powinieneś zacząć trwałe, niezależne od standardu prace już teraz: inwentaryzację miejsc, w których SI występuje w Twoich produktach i procesach, obronną klasyfikację każdego zastosowania względem kategorii załącznika III oraz praktyki zarządzania ryzykiem i danymi, których każda wersja ostatecznego standardu będzie wymagać. Nic z tego nie zależy od ostatecznego sformułowania ostatniego punktu.
Nie myl tego opóźnienia z innym pakietem omnibus
W Brukseli krąży drugi pakiet o podobnej nazwie, a pomieszanie ich jest kolejną pułapką. Szerzej zakrojony Digital Omnibus proponuje uproszczenie przepisów GDPR i powiązanych regulacji dotyczących danych cyfrowych, a jedna z proponowanych zmian zawęziłaby definicję danych osobowych, ograniczając zakres ochrony.
Ten pakiet nie został jeszcze przyjęty. To kontrowersyjna propozycja, a organy egzekwujące GDPR stanowczo się jej sprzeciwiają. W Wspólnej opinii 2/2026 (przyjętej 10 lutego 2026 r.) Europejska Rada Ochrony Danych (EDPB) oraz Europejski Inspektor Ochrony Danych (EDPS) wezwały współustawodawców do niewprowadzania proponowanej zmiany w definicji danych osobowych, ostrzegając, że doprowadziłoby to do znacznego zawężenia pojęcia danych osobowych (EDPB i EDPS, Wspólna opinia 2/2026, przyjęta 2026-02-10). Ich przesłanie było takie, że uproszczenie nie powinno ograniczać ochrony, którą GDPR ma zapewnić.
Lekcją dla praktyków jest oddzielenie tych dwóch ścieżek w planowaniu. Opóźnienie dotyczące AI Act jest bliskie przyjęcia i możesz polegać na nowych terminach. "Uproszczenie" GDPR to projekt, który Twoje własne organy nadzorcze kwestionują, a wcześniejsze ograniczanie rejestrów przetwarzania lub praktyk DPIA w oparciu o niego byłoby planowaniem w oparciu o klauzulę, która może nie przetrwać. Nie dekompletuj zgodności w oparciu o projekt. Poczekaj na ostateczny tekst.
Zasada, którą warto zachować
Gdy regulator opóźnia wprowadzenie przepisu, data jest najmniej informacyjną częścią komunikatu. Zanim zaczniesz modyfikować swój harmonogram, przeczytaj pozostałe dwie kwestie: co nie przesunęło się wraz z terminem oraz dlaczego termin został przesunięty. W tym przypadku zakazy i obowiązki GPAI nie zostały przesunięte, a zegar dla systemów wysokiego ryzyka przesunięto, ponieważ standard nie był gotowy. Razem te dwie kwestie zmieniają szesnastomiesięczne opóźnienie z powodu spowolnienia pracy w powód, aby zacząć części działań, które nigdy nie zależały od terminu.
Jeśli Twoim najbliższym zadaniem jest mało efektowna część tej pracy — mapowanie miejsc, w których SI występuje w Twoim środowisku, oraz klasyfikacja każdego zastosowania względem kategorii załącznika III i wynikających z nich obowiązków — to właśnie trwałe, niezależne od standardu prace warto wykonać teraz. To rodzaj krzyżowego odniesienia, do którego ISMS Copilot został stworzony, aby przyspieszyć. Termin został przesunięty. Praca — nie.
Powiązane artykuły

AI a RODO: Automatyzacja transferów danych poza EOG
Automatyzuj mapowanie, monitorowanie i dokumentowanie transferów danych poza EOG z wykorzystaniem AI – ostateczne decyzje pozostają w gestii zespołów prawnych.

Najlepsze praktyki przygotowania do audytów wieloobszarowych
Centralizuj kontrole, mapuj wymagania pokrywające się i automatyzuj gromadzenie dowodów, aby skrócić czas i koszty audytów w wielu ramach zgodności.

Top 10 platformów GRC z funkcjami raportowania AI
Platformy GRC zasilane AI redukują ręczną pracę związaną z compliance poprzez automatyczne gromadzenie dowodów, mapowanie międzyramkowe oraz szybsze raportowanie audytowe.
