EU AI Act dla MŚP — Obowiązkowy przewodnik 2026

EU AI Act (rozporządzenie (UE) 2024/1689 z 13 czerwca 2024) jest pierwszą na świecie kompleksową regulacją prawną sztucznej inteligencji. Zobowiązuje wszystkie firmy, które wykorzystują, rozwijają lub wprowadzają do obrotu systemy AI w UE — niezależnie od ich wielkości lub siedziby. Oznacza to: nawet zakład rzemieślniczy z 12 pracownikami w Kempten podlega EU AI Act, jeśli korzysta z narzędzi AI. Definicja (bezpośrednio, art. 3 EU AI Act): System AI to system maszynowy, który na podstawie zestawu danych wejściowych generuje wyniki, takie jak prognozy, rekomendacje, decyzje lub treści, które mogą wpływać na środowiska fizyczne lub wirtualne. W praktyce oznacza to: ChatGPT, chatboty AI na własnej stronie internetowej, zautomatyzowane filtry rekrutacyjne, kontrole kredytowe wspomagane AI oraz inteligentny monitoring wideo — wszystko to mieści się w tej definicji. Kogo to dotyczy? Zgodnie z art. 2 EU AI Act rozporządzenie ma zastosowanie do: — Dostawców (producentów/twórców systemów AI, również w państwach trzecich, jeśli system jest używany w UE) — Operatorów (firm, które wykorzystują systemy AI w swojej działalności — większość MŚP) — Importerów i dystrybutorów systemów AI — Osób, których dotyczy (nie są zobowiązane do zgodności, ale są zdefiniowane jako przedmiot ochrony) Zgodnie z badaniem Bitkom z 2025 roku, 64% niemieckich MŚP nie wie, że dotyczy ich EU AI Act. Tymczasem według Statista (2025) 47% średnich przedsiębiorstw w Niemczech już korzysta z co najmniej jednego narzędzia AI w działalności operacyjnej — od chatbotów AI przez zautomatyzowane oprogramowanie księgowe po narzędzia HR wspomagane AI. Szczególnie krytyczne: rozporządzenie nie różnicuje według wielkości firmy. Startup składający się z 3 osób, który stosuje wysokiego ryzyka klasyfikator AI do rekrutacji, ma takie same obowiązki w zakresie zgodności jak korporacja. Wymagania są stopniowane wyłącznie według ryzyka systemu AI, a nie wielkości firmy. Dlaczego EU AI Act jest istotny już teraz? Ustawa wchodzi w życie etapami. Pierwsza duża fala nadeszła 2 lutego 2025 wraz z zakazami dotyczącymi niedopuszczalnego ryzyka. 2 sierpnia 2026 wchodzą w życie kluczowe obowiązki dotyczące wysokiego ryzyka — to termin, na który średnie firmy muszą się przygotować już dziś. Według Komisji Europejskiej (2025) szacunkowo 15 000 MŚP w Niemczech jest bezpośrednio dotkniętych wymogami wysokiego ryzyka. ZEW (Centrum Leibniza ds. Europejskich Badań Ekonomicznych) szacuje w badaniu z 2024 roku, że jednorazowe koszty zgodności dla średniej firmy mogą wynosić od 50 000 do 400 000 EUR, w zależności od liczby i klasy ryzyka stosowanych systemów AI. Wczesne przygotowanie pozwala zaoszczędzić znaczne koszty — kto rozpoczyna dopiero w 2026 roku, zapłaci więcej.

Sercem EU AI Act jest podejście oparte na ryzyku: im wyższe ryzyko systemu AI dla praw podstawowych i bezpieczeństwa, tym surowsze wymagania. Istnieją cztery klasy ryzyka. 1. Niedopuszczalne ryzyko (zakazane systemy AI) — art. 5 EU AI Act Te systemy AI są zakazane od 2 lutego 2025. Żadna firma nie może ich stosować: — Scoring społeczny przez organy państwowe (znany z Chin) — Biometryczna inwigilacja w czasie rzeczywistym w przestrzeni publicznej przez władze (z wąskimi wyjątkami) — Manipulacja podprogowa zachowaniem, która szkodzi ludziom — Wykorzystywanie słabości (wiek, niepełnosprawność) do wpływania na zachowanie — Rozpoznawanie emocji w miejscu pracy i w placówkach edukacyjnych (z nielicznymi wyjątkami) — Systemy AI do profilowania osób na podstawie cech chronionych Szczególnie istotne dla MŚP: kto stosuje analizę nastroju lub emocji wspomaganą AI u pracowników, musi ją natychmiast wyłączyć. 2. Systemy AI wysokiego ryzyka — art. 6, załącznik III EU AI Act Systemy wysokiego ryzyka mogą być nadal stosowane, ale podlegają surowym wymogom. Są wymienione w załączniku III AI Act. Istotne obszary wysokiego ryzyka dla MŚP: — HR i zarządzanie kadrami: systemy do automatycznej preselekcji kandydatów, oceny wydajności AI, AI do rekomendacji wynagrodzeń. Dotyczy każdej średniej firmy stosującej AI w pracy HR. — Udzielanie kredytów: kontrole zdolności kredytowej i scoring kredytowy wspomagane AI. Istotne dla fintechów i firm z narzędziami finansowymi AI. — Edukacja i szkolenia: systemy AI do oceny uczących się lub decyzji o przyjęciu. Istotne dla firm szkoleniowych. — Infrastruktura krytyczna pod względem bezpieczeństwa: AI w zaopatrzeniu w wodę, energetyce, transporcie. — Wymiar sprawiedliwości i administracja: AI wspierająca decyzje w postępowaniach prawnych. — Kategoryzacja biometryczna: systemy kategoryzujące osoby według cech takich jak rasa, narodowość, poglądy polityczne. Obowiązki operatorów wysokiego ryzyka: sporządzenie dokumentacji technicznej, przeprowadzenie oceny zgodności, naniesienie oznakowania CE (przez dostawców), wdrożenie systemu zarządzania ryzykiem, zapewnienie przejrzystości wobec użytkowników, zagwarantowanie nadzoru ludzkiego, obowiązek zgłaszania w przypadku poważnych incydentów. 3. Systemy AI o ograniczonym ryzyku — art. 50 EU AI Act Ta klasa obejmuje systemy AI o niskim, ale realnym potencjale oszustwa. Głównym obowiązkiem jest przejrzystość: — Chatboty muszą ujawnić, że użytkownik komunikuje się z AI — Deepfakes i media syntetyczne muszą być oznaczone jako wygenerowane przez AI — Teksty generowane przez AI o charakterze informacyjnym (wiadomości, komunikacja urzędowa) muszą być oznaczone Dla większości MŚP jest to najistotniejsza klasa: kto stosuje chatbot AI na stronie internetowej, musi zapewnić, by użytkownicy wiedzieli, że rozmawiają z AI. To proste w implementacji, ale jest już sprawdzane przez organ nadzorczy. 4. Minimalne ryzyko — brak szczególnych obowiązków Większość wszystkich aplikacji AI mieści się w tej kategorii: filtry antyspamowe, postacie AI w grach, prosta AI do obróbki obrazów, algorytmy rekomendacji bez krytycznego kontekstu. Tutaj nie ma obowiązków zgodności — jedynie dobrowolne kodeksy postępowania. Praktyczna zasada dla MŚP: Najpierw sprawdź, czy stosujesz AI w obszarach HR, kredyty, edukacja lub infrastruktura krytyczna. Jeśli tak, prawdopodobnie znajdujesz się w obszarze wysokiego ryzyka. Jeśli używasz AI tylko do marketingu, obsługi klienta lub generowania tekstu, najczęściej jesteś w obszarze ograniczonego lub minimalnego ryzyka.

EU AI Act wchodzi w życie etapowo. Najważniejsze daty dla Państwa firmy w skrócie: 1 sierpnia 2024 — Wejście w życie Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024. Wraz z tym rozpoczął się oficjalny okres wdrożenia. 2 lutego 2025 — Obowiązują zakazy dotyczące niedopuszczalnego ryzyka Od 2 lutego 2025 (6 miesięcy po wejściu w życie) wszystkie zakazane praktyki AI wymienione w art. 5 są nielegalne. Firmy, które nadal eksploatują systemy o niedopuszczalnym ryzyku — takie jak rozpoznawanie emocji w miejscu pracy lub manipulacyjna reklama AI — działają od tej daty niezgodnie z prawem i ryzykują natychmiastowe kary. 2 sierpnia 2025 — Obowiązki GPAI i struktura organów Od 2 sierpnia 2025 (12 miesięcy po wejściu w życie) obowiązują przepisy dotyczące modeli AI ogólnego zastosowania (General Purpose AI, GPAI), takich jak GPT-4, Claude czy Gemini. Dostawcy tych modeli muszą udostępnić dokumentację techniczną, opublikować zasady dotyczące praw autorskich i podjąć dodatkowe środki bezpieczeństwa w przypadku ryzyk systemowych. Dla MŚP jako użytkowników tych modeli oznacza to: można korzystać tylko z modeli GPAI od dostawców, którzy spełniają nowe wymogi zgodności. Niezgodne LLM należy od tej daty stosować z ostrożnością. Jednocześnie krajowe organy nadzoru rynku stają się operacyjne. 2 sierpnia 2026 — Krytyczny termin dla większości MŚP Od 2 sierpnia 2026 (24 miesiące po wejściu w życie) obowiązują w pełni wszystkie wymogi EU AI Act — w tym rozległe obowiązki wysokiego ryzyka z art. 6 i nast. Dla operatorów systemów AI wysokiego ryzyka oznacza to: — Pełna dokumentacja techniczna musi być dostępna — Ocena zgodności musi być zakończona — System zarządzania ryzykiem musi być wdrożony i udokumentowany — Nadzór ludzki musi być instytucjonalnie zakorzeniony — Obowiązki przejrzystości i informacyjne wobec użytkowników muszą być spełnione — Obowiązki zgłaszania incydentów krajowemu organowi muszą być ustanowione Ważne: Dla systemów wysokiego ryzyka w już regulowanych obszarach (oznakowanie CE według innych dyrektyw) obowiązuje przedłużony okres przejściowy do 2 sierpnia 2027. 2 sierpnia 2027 — Ostatni termin przejściowy Do 2 sierpnia 2027 dostawcy i operatorzy systemów AI wysokiego ryzyka, którzy już podlegają procedurom oznakowania CE według innych dyrektyw harmonizacyjnych (np. wyroby medyczne, pojazdy), mają czas na spełnienie nowych wymogów AI Act. Dla wszystkich pozostałych: pełna zgodność była obowiązkowa już od sierpnia 2026. Zalecenie dla MŚP: Zacznijcie Państwo już teraz od inwentaryzacji AI (jakie narzędzia AI stosuję?), klasyfikacji ryzyka i budowania dokumentacji zgodności. Kto rozpocznie dopiero wiosną 2026, nie zdoła realnie dotrzymać sierpniowego terminu.

EU AI Act przewiduje jeden z najsurowszych systemów kar w europejskim prawie gospodarczym. Kary są stopniowane według rodzaju i wagi naruszenia (art. 99 EU AI Act): Najwyższy poziom: do 35 mln EUR lub 7% globalnego rocznego obrotu Ten pułap kar dotyczy naruszeń zakazów z art. 5 (zakazane praktyki AI) oraz poważnych naruszeń wymogów ochrony danych AI Act. Dla MŚP z rocznym obrotem 10 mln EUR oznacza to: kary do 700 000 EUR są możliwe — już przy jednym udowodnionym naruszeniu. Średni poziom: do 15 mln EUR lub 3% rocznego obrotu Ten pułap dotyczy naruszeń wymogów wysokiego ryzyka (brak zarządzania ryzykiem, brak dokumentacji, niespełnione obowiązki przejrzystości). Jest to obszar, który dotknie większość MŚP. Najniższy poziom: do 7,5 mln EUR lub 1% rocznego obrotu Za fałszywe lub wprowadzające w błąd informacje przekazywane organom, np. przy ocenie zgodności. Reguła szczególna dla MŚP i startupów: Art. 99 ust. 6 EU AI Act przewiduje, że przy ustalaniu kar uwzględnia się proporcjonalność, a dla MŚP i startupów obowiązuje niższa z dwóch wartości (bezwzględny limit górny lub procentowy udział obrotu). To pewna poduszka ochronna — ale nie list otwartego pola. Prywatne roszczenia odszkodowawcze: Oprócz kar administracyjnych osoby poszkodowane mogą dochodzić odszkodowania na podstawie art. 82 RODO (a w przyszłości na podstawie krajowego prawa odpowiedzialności AI). EU AI Liability Act (jeszcze w przygotowaniu, stan na maj 2026) jeszcze rozszerzy te możliwości procesowe. Egzekucja administracyjna: Każde państwo członkowskie UE musi wyznaczyć krajowy organ nadzoru rynku ds. AI. W Niemczech rolę tę prawdopodobnie przejmie Bundesnetzagentur (decyzja oczekiwana w Federalnym Ministerstwie ds. Cyfryzacji i Transportu). Organ otrzymuje rozległe uprawnienia śledcze i egzekucyjne — w tym audyty bez zapowiedzi. Szkoda reputacyjna: Oprócz sankcji finansowych naruszenia AI Act grożą znaczną szkodą reputacyjną. EU AI Act przewiduje europejską bazę danych, w której systemy wysokiego ryzyka i incydenty są publicznie dostępne. Wpis z powodu naruszenia zgodności jest szkodliwy dla działalności firm B2B.

Droga do zgodności z EU AI Act nie jest projektem jednorazowym, lecz strukturyzowanym procesem. Oto sprawdzone podejście 6-fazowe dla średnich firm: Faza 1: Sporządzenie inwentaryzacji AI (tygodnie 1–2) Zacznijcie Państwo od pełnej inwentaryzacji wszystkich stosowanych systemów AI. Brzmi to trywialnie, ale takie nie jest: wiele MŚP nie docenia liczby narzędzi AI w użyciu. Typowe martwe punkty to funkcje AI w standardowym oprogramowaniu (np. scoring AI w HubSpot, asystent pisania AI w Microsoft 365, automatyczna priorytetyzacja w systemie helpdesk). Stwórzcie tabelę zawierającą: nazwę narzędzia, dostawcę, cel użycia, dotknięty dział, liczbę osób objętych i wstępną kategorię ryzyka. Według badania McKinseya (2024) 73% firm uważających się za „mało intensywne pod względem AI” po systematycznej inwentaryzacji zidentyfikowało ponad 15 pojedynczych funkcji AI. Faza 2: Klasyfikacja ryzyka (tygodnie 3–4) Zaklasyfikujcie każdy zidentyfikowany system AI według czterech klas ryzyka EU AI Act. Pracujcie przy tym z konkretnym tekstem załącznika III rozporządzenia oraz wytycznymi Komisji Europejskiej (aktualny stan: akt delegowany dotyczący systemów wysokiego ryzyka, październik 2024). W przypadku niejasności co do klasyfikacji zaleca się konsultację z prawnikiem specjalizującym się w prawie AI. Faza 3: Analiza luk i ustalenie priorytetów (tygodnie 5–6) Dla każdego systemu wysokiego ryzyka: sprawdźcie aktualny stan zgodności wobec wymogów art. 9–15 EU AI Act. Typowe luki w MŚP: — Brak dokumentacji technicznej — Brak formalnego systemu zarządzania ryzykiem — Brak zdefiniowanej odpowiedzialności (AI Officer lub równoważny) — Brak dokumentacji przejrzystości użytkownika — Brak zdefiniowanych procesów eskalacji w przypadku błędów AI Faza 4: Wdrożenie środków technicznych i organizacyjnych (miesiące 2–5) Wdrożenie zidentyfikowanych środków według priorytetu. Sprawdzone w praktyce środki natychmiastowe: — Polityka zarządzania AI (AI Governance Policy): wewnętrzna dyrektywa dotycząca użycia AI (szablon dostępny w Wito AI) — Wyznaczenie AI Officera: co najmniej jedna osoba na poziomie zarządczym ponosząca odpowiedzialność za zgodność — Dokumentacja techniczna: dla każdego systemu wysokiego ryzyka sporządzić dokumentację wymaganą przez AI Act — Procesy nadzoru ludzkiego: zdefiniować, jak i przez kogo decyzje AI są weryfikowane — Wskazania dotyczące przejrzystości: oznaczyć wszystkie punkty kontaktu użytkownika z AI Faza 5: Ocena zgodności (miesiąc 5–6) Dla systemów wysokiego ryzyka, które sami Państwo opracowujecie lub istotnie modyfikujecie: przeprowadzić formalną ocenę zgodności według art. 43 EU AI Act (w wielu przypadkach możliwą jako samoocena). Dla systemów wysokiego ryzyka, które Państwo jedynie stosujecie jako operator: sprawdźcie deklarację zgodności dostawcy i upewnijcie się, że dostawca jest zgodny z art. 16 EU AI Act. Faza 6: Bieżące monitorowanie i zarządzanie incydentami (od miesiąca 7) Zgodność nie jest projektem jednorazowym. Wdróżcie: — Coroczny przegląd inwentaryzacji AI — Rejestrowanie decyzji AI (w zakresie technicznie możliwym) — Proces eskalacji dla incydentów AI z łańcuchem zgłoszeń do przyszłego organu krajowego — Regularne szkolenia dla pracowników obsługujących systemy AI — Śledzenie aktualizacji: AI Act jest dalej rozwijany przez akty delegowane Typowy nakład dla średniej firmy: Według Bundesverband IT-Mittelstand (BITMi, 2025) MŚP zatrudniające 50–249 pracowników potrzebują średnio 120–280 godzin na pierwszą dokumentację zgodności. Przy zewnętrznym wsparciu nakład ten redukuje się do 40–80 godzin.

Wiele MŚP pyta: „Jesteśmy już zgodni z RODO — czy to nie wystarczy?” Jasna odpowiedź: Nie. RODO i EU AI Act są komplementarnymi, ale samodzielnymi ramami regulacyjnymi o różnym zakresie. RODO (od 2018): Reguluje ochronę danych osobowych. Skupia się na minimalizacji danych, ograniczeniu celu, prawach osób, których dane dotyczą (dostęp, usunięcie, sprzeciw). Ma zastosowanie do każdej operacji przetwarzania danych osobowych — z AI lub bez. EU AI Act (od 2025/2026): Reguluje stosowanie systemów AI według ich poziomu ryzyka. Skupia się na przejrzystości, nadzorze ludzkim, dokumentacji i ocenie zgodności. Ma zastosowanie do systemów AI — nawet jeśli nie przetwarzają danych osobowych. Nakładania się: Dla systemów AI przetwarzających dane osobowe OBA akty obowiązują jednocześnie. Narzędzie HR AI do selekcji kandydatów jest jednocześnie istotne z punktu widzenia RODO (przetwarzanie danych kandydatów) i AI Act (klasyfikacja wysokiego ryzyka). Obowiązki zgodności sumują się, nie zastępują się wzajemnie. Kluczowe różnice w skrócie: — RODO ma zastosowanie do wszystkich przetwarzań danych, AI Act tylko do systemów AI — RODO nie ma podejścia produktowego, AI Act jest powiązany z produktem — Kary RODO: do 4% rocznego globalnego obrotu; AI Act: do 7% (zakazane praktyki) lub 3% (wysokie ryzyko) — Odpowiedzialność RODO leży po stronie administratora danych, AI Act rozróżnia dostawcę i operatora Praktyczna wskazówka: Wykorzystajcie Państwo istniejącą dokumentację RODO jako podstawę. Wiele elementów — ocena skutków dla ochrony danych (DPIA), rejestr czynności przetwarzania, techniczne środki bezpieczeństwa — można ponownie wykorzystać i uzupełnić dla AI Act, zamiast zaczynać od zera.

Wito AI to pełnoserwisowa agencja cyfrowa i AI z naciskiem na średnie firmy. Towarzyszymy MŚP we wszystkich sześciu fazach zgodności — od pierwszej inwentaryzacji po bieżące monitorowanie. Co konkretnie dostarczamy: — Bezpłatny Digitalisierungs-Check: nasza ocena oparta na sieci (ass.wito.ai) identyfikuje w 3 minuty Państwa obecne wykorzystanie AI i daje pierwszą ocenę istotności AI Act. 100% bezpłatna, bez konieczności rejestracji. — Inwentaryzacja AI i klasyfikacja ryzyka: wspólnie z Państwem sporządzamy pełną listę wszystkich systemów AI i klasyfikujemy je według EU AI Act. — Dokumentacja zgodności: dokumentacje techniczne, polityka zarządzania AI, system zarządzania ryzykiem według art. 9 EU AI Act — wszystko z jednego źródła. — Szkolenia dla Państwa zespołu: praktyczne warsztaty dotyczące podstaw EU AI Act, klasyfikacji ryzyka i bieżącego utrzymania zgodności. — Bieżący model CDOaaS: jako zewnętrzny Chief Digital Officer towarzyszymy Państwa firmie długoterminowo i utrzymujemy Państwa zgodność na bieżąco wobec zmian regulacyjnych. Dlaczego Wito AI? Łączymy techniczną wiedzę z zakresu AI z prawniczym rozumieniem zgodności. Nasz zespół towarzyszył już ponad 40 średnim firmom w zgodności z RODO i AI. Nie mówimy prawniczym żargonem — przekładamy wymogi regulacyjne na pragmatyczne działania firmowe. Dzięki modelowi CDOaaS od 990 EUR/miesiąc małe i średnie przedsiębiorstwa otrzymują zewnętrznego eksperta, który traktuje zgodność jako temat stały — a nie jednorazowy projekt.