Какие требования для этого процесса?

Требования зависят от юрисдикции. WCR Consulting подбирает оптимальный пакет документов.

Сколько времени занимает этот процесс?

Сроки зависят от сложности задачи. WCR Consulting обеспечивает оперативное сопровождение.

Нужна ли юридическая помощь?

Да, юридическое сопровождение снижает риски. WCR Consulting имеет практический опыт.

Как WCR Consulting помогает с этим?

WCR Consulting оказывает полный спектр услуг: консультация, анализ, документы и сопровождение до результата.

EU AI Act в 2026: что уже применяется и что нужно сделать бизнесу

Q: Что такое «EU AI Act в 2026: что уже применяется и что нужно сделать бизнесу»?

«EU AI Act в 2026: что уже применяется и что нужно сделать бизнесу» — тема данной статьи. WCR Consulting готово оказать юридическое сопровождение.

📋 6 разделов · ~8 мин чтения

EU AI Act в 2026: что уже применяется и что нужно сделать бизнесу

Практический разбор для IT и AI-компаний, работающих на EU-рынке. Что вступило в силу, кого касается и какие действия нужны прямо сейчас.

EU AI Act · 2026 Prohibited AI High-Risk Systems GPAI Models

📑 Содержание

1Почему важно именно сейчас
2Хронология вступления в силу
3Кого касается AI Act
4Четыре уровня риска
5Что нужно сделать прямо сейчас
6Следующий шаг

1. Почему важно именно сейчас

EU AI Act — это не декларация о намерениях. В 2026 году регулирование применяется в полном объёме: запрещённые практики под запретом, обязательства для GPAI-моделей действуют, а для систем высокого риска наступает финальный дедлайн. Штрафы — до €35 млн или 7% мирового оборота.

Для IT и AI-компаний, работающих на EU-рынке, 2026 год — это уже не «период подготовки», а период проверок и ответственности. Тем, кто ещё не начал приводить системы в соответствие, времени осталось критически мало.

€35M

или 7% оборота — максимальный штраф

волны вступления в силу: 2025–2026

Aug 2026

дедлайн для систем высокого риска

✅

Февраль 2025

Prohibited AI Practices — вступили в силу

Запрет на социальный скоринг граждан, манипулятивные AI-системы, биометрическую классификацию по чувствительным признакам, real-time remote biometric identification в публичных местах. Нарушители уже могут получить штраф.

✅

Август 2025

GPAI (General Purpose AI) модели — вступили в силу

Обязательства для провайдеров больших языковых и мультимодальных моделей (GPT-класс, Gemini, Claude, Llama и аналоги). Transparency requirements, документация, уведомление downstream-провайдеров. Для моделей с «системным риском» — дополнительный аудит.

🔴

Август 2026 · Дедлайн

High-Risk AI Systems — финальный срок

Системы высокого риска в сферах здравоохранения, образования, занятости, критической инфраструктуры, правосудия обязаны соответствовать полному пакету требований: технической документации, оценке рисков, human oversight, регистрации в EU-базе.

⏳

Постоянно

Limited & Minimal Risk — бессрочно

Обязательства прозрачности для чат-ботов и deepfake-систем действуют без переходного периода. Minimal risk систем обязательных требований нет, но отраслевые кодексы поведения уже действуют.

⚖️ AI Act по механизму действия — как GDPR: экстерриториален. Если ваша AI-система используется людьми в ЕС — требования применяются к вам, независимо от того, где зарегистрирована ваша компания. Офис в СНГ не освобождает от ответственности.

2. Кого касается AI Act

AI Act применяется к любой компании, которая разрабатывает, развёртывает или использует AI-системы на территории ЕС или в отношении лиц в ЕС. Принцип тот же, что у GDPR: место регистрации компании не имеет значения.

🏗️

Provider (Провайдер / Разработчик)

Компания, которая создаёт AI-систему — собственную или для третьих лиц — и выводит её на рынок ЕС или в эксплуатацию.

SaaS-компании с AI-функциями для EU-клиентов
Стартапы, встраивающие AI в продукт
Компании, дообучающие open-source модели

🔧

Deployer (Оператор / Пользователь)

Компания, которая использует AI-систему провайдера в своих бизнес-процессах на территории ЕС.

HR-системы с AI-скринингом резюме
Медицинские платформы с AI-диагностикой
Банки с AI-скорингом кредитных заявок

🌐

GPAI Model Provider

Компании, разрабатывающие большие базовые модели общего назначения (LLM, мультимодальные модели) с доступом для EU-пользователей.

OpenAI, Anthropic, Google, Meta — все под AI Act
Европейские и не-европейские компании без исключений
Open-source модели — частичные исключения

🌍 Экстерриториальность — как у GDPR

Попадаете под AI Act, если:

Ваша AI-система доступна пользователям в ЕС — неважно, где расположены серверы и где зарегистрирована компания. Достаточно того, что EU-резидент может взаимодействовать с вашим продуктом. Компания из СНГ с EU-клиентами — в периметре AI Act.

Механизм применения:

Регуляторы стран ЕС (national competent authorities) уполномочены проверять иностранные компании. Для внеевропейских провайдеров обязательно назначить EU-представителя (authorized representative) — аналогично GDPR Art. 27.

ℹ️ Не охвачено AI Act: AI-системы, используемые исключительно в военных и национальных целях (отдельное регулирование), а также AI-системы в сугубо личных некоммерческих целях. Научные исследования имеют ограниченные исключения.

→ Полный обзор требований AI Act для вашего типа компании: AI Act compliance — анализ и сопровождение

3. Четыре уровня риска

AI Act классифицирует все AI-системы по четырём уровням риска. От уровня зависит объём ваших обязательств — от нулевых до полного запрета. Первый шаг для любой компании — определить, в какую категорию попадает ваш продукт.

🚫 Запрещено

Unacceptable Risk — полный запрет

Системы, несовместимые с европейскими ценностями и правами человека. Запрет действует с февраля 2025 года. Никаких переходных периодов нет.

Социальный скоринг граждан Манипулятивные системы Real-time биометрия в публичных местах Классификация по расе / политическим взглядам AI для предсказания преступлений по личности

Штраф: до €35M или 7% оборота

⚠️ Высокий риск

High Risk — полный compliance-пакет

Системы, влияющие на ключевые решения в жизни людей. Обязателен: технический файл, оценка соответствия, регистрация в EU-базе, human oversight, логирование, transparency для пользователей. Дедлайн августа 2026 — финальный срок для всех High Risk систем.

AI-скоринг при найме (HR) Медицинская диагностика Кредитный скоринг AI в системах образования Критическая инфраструктура Правосудие / миграция

Штраф: до €15M или 3% оборота

💬 Огранич. риск

Limited Risk — обязательства прозрачности

Системы, которые взаимодействуют с людьми. Основное требование: раскрытие факта взаимодействия с AI. Пользователь должен знать, что общается с AI, а не с человеком. Для deepfake-контента — маркировка обязательна.

Чат-боты и виртуальные ассистенты AI, генерирующий текст / изображения Deepfake и синтетический контент

Без штрафа за нарушение прозрачности — но репутационный риск

✅ Мин. риск

Minimal Risk — обязательных требований нет

Большинство коммерческих AI-приложений: рекомендательные системы, AI в играх, спам-фильтры, инструменты оптимизации контента. Обязательных требований нет, но действуют добровольные кодексы поведения. Для GPAI open-source моделей — частичные исключения из более строгих категорий.

AI-рекомендации (e-commerce, стриминг) Фильтры контента AI-ассистенты для личных задач Игровые AI-системы

Штрафов нет — добровольный compliance

→ Не знаете, к какой категории относится ваша система? Оценка рисков AI-системы — услуга WCR

4. Что нужно сделать прямо сейчас

Конкретный список действий — от немедленных до тех, на которые есть несколько месяцев. Начните с аудита: без понимания категории риска вашей системы остальные шаги не имеют смысла.

🔴 Срочно — до августа 2026

Классифицируйте все ваши AI-системы по уровню риска

Составьте реестр AI-систем в компании. Для каждой — определите категорию: prohibited / high-risk / limited / minimal. Без этого невозможно понять объём обязательств. Это отправная точка всего AI Act compliance.

🔴 Срочно

Проверьте, нет ли у вас prohibited practices

Если в вашем продукте есть функции, попадающие под запрет (социальный скоринг, манипулятивные механики, real-time биометрия в публичных местах) — их нужно было убрать ещё до февраля 2025. Если не убрали — это действующее нарушение.

🔴 Уже нарушение, если не сделано

Для High Risk систем: подготовьте технический файл

Обязательная техническая документация включает: описание системы и её назначения, данные для обучения и тестирования, метрики точности и ограничения, меры human oversight, план мониторинга после вывода на рынок. Дедлайн — август 2026.

⏳ Дедлайн: август 2026

Для High Risk: проведите оценку соответствия и зарегистрируйтесь

Для большинства High Risk систем оценка соответствия проводится самостоятельно (self-assessment), для некоторых (биометрия, критическая инфраструктура) — обязателен нотифицированный орган. После — регистрация в EU Database of AI Systems.

⏳ Дедлайн: август 2026

Для чат-ботов и генеративного AI: настройте disclosure

Любой чат-бот, AI-генератор текста или изображений обязан явно информировать пользователя о том, что он взаимодействует с AI. Deepfake-контент должен быть размечен. Это требование действует уже сейчас.

✅ Должно быть сделано уже

Назначьте EU-представителя (для внеевропейских компаний)

Если компания находится за пределами ЕС, но AI-система доступна EU-пользователям — обязательно назначить authorized representative в ЕС. Это юридическое лицо или физическое лицо, через которое коммуницируют с регулятором.

⏳ Необходимо до начала активности в ЕС

🤖 Если вы используете GPAI-модели (GPT, Claude, Gemini и др.)

Убедитесь, что провайдер модели предоставил необходимую документацию (summary of training data, usage policy)

Если дообучаете модель на своих данных — вы становитесь провайдером и берёте на себя часть обязательств

Проверьте, не попадает ли ваше использование GPAI-модели в High Risk сценарий (автоматизированное принятие решений)

Включите AI-системы в реестр и укажите используемые базовые модели — регулятор может запросить эту информацию

💡 AI Act compliance — не разовая задача. После августа 2026 системы высокого риска обязаны проходить периодический мониторинг и обновлять документацию при существенных изменениях системы. Лучше выстроить процесс сразу, чем догонять регулятора.

5. Следующий шаг

EU AI Act — не абстрактное регулирование будущего. В 2026 году это действующий закон с работающими санкциями. Чем позже начинаете, тем дороже обходится приведение в соответствие.

🚫 Prohibited — уже действует

С февраля 2025 запрещённые практики под запретом. Если у вас есть функции социального скоринга или манипулятивного AI — это действующее нарушение, не будущий риск.

⚠️ High Risk — дедлайн август 2026

Системы в HR, медицине, образовании, финансах должны пройти оценку соответствия и быть зарегистрированы в EU Database. Технический файл — обязателен.

🌍 Экстерриториальность

Регистрация за пределами ЕС не освобождает. EU-пользователи = EU-юрисдикция. Необходим authorized representative в ЕС — как при GDPR.

Нужна помощь с AI Act compliance?

Сопровождаем IT и AI-компании от аудита систем до полного compliance-пакета. Классификация рисков, техническая документация, EU-представитель.

🔍AI Risk Audit — классификация всех AI-систем компании по уровням риска AI Act

📋Technical File — подготовка технической документации для High Risk систем

✅Conformity Assessment — сопровождение self-assessment или работа с нотифицированным органом

🌍EU Representative — назначение authorized representative для внеевропейских компаний

⚠️ Типичная ошибка: компании откладывают AI Act compliance, считая его «ещё нескорым». Дедлайн августа 2026 для High Risk систем — это уже несколько месяцев. Подготовка технического файла и оценка соответствия занимают 3–6 месяцев. Начинать нужно сейчас.

💡 Если вы также работаете с крипто-продуктами в ЕС — не забывайте о параллельном регулировании: MiCA / CASP-авторизация для крипто-компаний в ЕС →

Обсудить AI Act compliance AI Act compliance →

WCR Consulting

Contacts

Social media

WCR Consulting

Contacts

Social media