Harmonogram stosowania AI Act jest kluczem do priorytetyzacji prac compliance. Większość firm, z którymi rozmawiamy, traktuje 2 sierpnia 2026 r. jako „datę startu", tymczasem część obowiązków obowiązuje już od 2 lutego 2025 r., a sankcje za zakazane praktyki — od 2 sierpnia 2025 r. Ten artykuł to mapa wszystkich dat z aktu, w jednym miejscu, z odniesieniem do konkretnych przepisów.
Dla pełnego omówienia kontekstu rozporządzenia warto zacząć od AI Act 2024/1689 — przewodnik dla firm.
Kiedy AI Act wszedł w życie?
AI Act wszedł w życie 1 sierpnia 2024 r. — dwadzieścia dni po publikacji w Dzienniku Urzędowym UE 12 lipca 2024 r. (art. 113 zd. 1).
Wejście w życie nie oznacza jednak, że wszystkie przepisy zaczęły być stosowane. Rozporządzenie zawiera własne reguły rozpoczęcia stosowania, ustanawiające pięć kluczowych dat: 2 lutego 2025 r., 2 sierpnia 2025 r., 2 sierpnia 2026 r. i 2 sierpnia 2027 r. — plus dodatkowe reguły przejściowe dla modeli GPAI z art. 111.
Co obowiązuje od 2 lutego 2025 r.?
Od 2 lutego 2025 r. stosuje się rozdział I (przepisy ogólne, w tym definicje i kompetencje w zakresie AI) oraz rozdział II (zakazane praktyki).
Z art. 113 lit. a wynika, że pierwszą datą stosowania objęte są:
- Rozdział I — przepisy ogólne — w tym art. 1 (przedmiot), art. 2 (zakres stosowania), art. 3 (definicje, w tym definicja systemu AI z pkt 1) oraz art. 4 — kompetencje w zakresie AI, czyli wymóg zapewnienia odpowiedniego poziomu „AI literacy" wśród personelu i osób korzystających z systemów AI w imieniu firmy.
- Rozdział II — zakazane praktyki — czyli art. 5 wprowadzający zakaz m.in. systemów manipulacyjnych, scoringu społecznego, scrapingu wizerunków twarzy z internetu i CCTV, niektórych systemów rozpoznawania emocji w pracy i edukacji oraz większości systemów kategoryzacji biometrycznej według wrażliwych atrybutów.
Wszystkie firmy, niezależnie od ryzyka systemu AI, mają obowiązek wdrożyć politykę kompetencji w zakresie AI od tej daty. Detale rozwijamy w AI literacy — art. 4 AI Act i Zakazane praktyki AI (art. 5).
Co obowiązuje od 2 sierpnia 2025 r.?
Druga data wprowadza obowiązki dla modeli AI ogólnego przeznaczenia, governance unijne, system kar oraz przepisy o jednostkach notyfikowanych.
Z art. 113 lit. b stosuje się od tej daty:
- Rozdział III sekcja 4 — organy notyfikujące i jednostki notyfikowane (art. 28 i nast.).
- Rozdział V — obowiązki dla dostawców modeli AI ogólnego przeznaczenia (art. 51-56), w tym obowiązek powiadomienia Komisji o spełnieniu progu 10²⁵ FLOPs (art. 52 ust. 1).
- Rozdział VII — governance: Urząd ds. AI (AI Office), Rada ds. AI, panel naukowy, krajowe organy nadzoru rynku.
- Rozdział XII — kary (art. 99-100), z wyjątkiem art. 101 dotyczącego sankcji wobec dostawców GPAI.
- Art. 78 — poufność.
Tym samym od 2 sierpnia 2025 r. krajowe organy mogą nakładać administracyjne kary pieniężne za naruszenie zakazu z art. 5, mimo że stosowanie pozostałych obowiązków rozpocznie się rok później. Pełne omówienie w Kary i nadzór w AI Act (art. 99-101).
Reżim GPAI omawiamy w GPAI w AI Act (art. 51-56).
Co obowiązuje od 2 sierpnia 2026 r.?
Trzecia data to faktyczny start większości obowiązków rozporządzenia — w tym dla systemów wysokiego ryzyka z załącznika III, transparentności i FRIA.
Z art. 113 zd. 2 wynika, że od 2 sierpnia 2026 r. stosuje się całe rozporządzenie, z wyjątkami określonymi w art. 113 lit. a, b i c. Praktyczna konsekwencja:
- Art. 6 ust. 2 + załącznik III — pełna lista 8 obszarów high-risk (biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług, ściganie, migracja, wymiar sprawiedliwości i procesy demokratyczne) zaczyna obowiązywać.
- Sekcja 2 rozdziału III — wymogi dla systemów wysokiego ryzyka: zarządzanie ryzykiem (art. 9), data governance (art. 10), dokumentacja techniczna (art. 11), zapis zdarzeń (art. 12), transparentność (art. 13), nadzór człowieka (art. 14), dokładność i cyberbezpieczeństwo (art. 15).
- Sekcja 3 rozdziału III — obowiązki operatorów: dostawców (art. 16-21), upoważnionych przedstawicieli (art. 22), importerów (art. 23), dystrybutorów (art. 24) i deployerów (art. 26), w tym FRIA z art. 27.
- Art. 50 — obowiązki transparentności (chatboty, deepfake, syntetyczne treści).
- Rozdział VIII — baza danych UE dla systemów AI wysokiego ryzyka (art. 71).
- Rozdział X — kodeksy postępowania.
- Art. 101 — sankcje wobec dostawców GPAI.
Pełne omówienie obowiązków providera i deployera znajdziesz w Obowiązki dostawcy systemu AI wysokiego ryzyka i Obowiązki deployera i FRIA (art. 26-27).
Co zaczyna obowiązywać od 2 sierpnia 2027 r.?
Ostatnia data dotyczy systemów AI wysokiego ryzyka będących elementem produktów z załącznika I oraz GPAI wprowadzonych do obrotu przed 2 sierpnia 2025 r.
Z art. 113 lit. c stosuje się od tej daty art. 6 ust. 1 i odpowiadające mu obowiązki. Art. 6 ust. 1 dotyczy systemów AI, które są związanym z bezpieczeństwem elementem produktu objętego unijnym prawodawstwem harmonizacyjnym z załącznika I (np. zabawki, urządzenia medyczne, wyroby medyczne IVD, maszyny, lotnictwo, motoryzacja, rolnictwo, urządzenia ciśnieniowe). Klasyfikację tej grupy systemów rozwijamy w Systemy AI wysokiego ryzyka (art. 6 + zał. III).
Z art. 111 ust. 3 wynika przepis przejściowy dla GPAI: dostawcy modeli AI ogólnego przeznaczenia, które zostały wprowadzone do obrotu przed 2 sierpnia 2025 r., podejmują niezbędne kroki w celu spełnienia obowiązków z rozporządzenia w terminie do 2 sierpnia 2027 r. Tym samym istniejące modele GPAI dostają dwa lata na dostosowanie.
Pełna tabela — kalendarz AI Act 2024-2027
| Data | Co zaczyna obowiązywać | Podstawa prawna |
|---|---|---|
| 12 lipca 2024 r. | Publikacja w Dzienniku Urzędowym UE | — |
| 1 sierpnia 2024 r. | Wejście rozporządzenia w życie | art. 113 zd. 1 |
| 2 lutego 2025 r. | Rozdział I (przepisy ogólne, art. 4 — kompetencje w zakresie AI) i rozdział II (zakazane praktyki — art. 5) | art. 113 lit. a |
| 2 sierpnia 2025 r. | Rozdział III sekcja 4 (jednostki notyfikowane), rozdział V (GPAI), rozdział VII (governance — Urząd ds. AI), rozdział XII (kary) z wyjątkiem art. 101, art. 78 | art. 113 lit. b |
| 2 sierpnia 2026 r. | Pozostałe przepisy rozporządzenia, w tym obowiązki dla systemów wysokiego ryzyka z załącznika III, transparentność z art. 50, FRIA z art. 27, art. 101 | art. 113 zd. 2 |
| 2 sierpnia 2027 r. | Art. 6 ust. 1 — high-risk AI w produktach z załącznika I; obowiązki dla GPAI wprowadzonych do obrotu przed 2 sierpnia 2025 r. | art. 113 lit. c, art. 111 ust. 3 |
Jakie wytyczne i akty wykonawcze są dopiero w drodze?
AI Act przewiduje serię aktów delegowanych, wykonawczych i wytycznych Komisji, które uzupełnią rozporządzenie.
Kluczowe terminy do monitorowania:
- 2 lutego 2026 r. — wytyczne praktyczne do art. 6 dotyczące klasyfikacji wysokiego ryzyka, w tym kompleksowy wykaz przykładów (art. 6 ust. 5).
- Code of Practice dla GPAI — opracowywany przez Urząd ds. AI (art. 56). Zatwierdzenie przez Komisję wpłynie na zakres obowiązków dostawców modeli.
- Kodeksy praktyk dotyczące oznaczania treści syntetycznych (art. 50 ust. 7).
- Akty delegowane do art. 7 — zmiany załącznika III (lista high-risk).
- Akty delegowane do art. 51 ust. 3 — modyfikacja progu 10²⁵ FLOPs i kryteriów dla GPAI z ryzykiem systemowym.
Jaki harmonogram działań rekomendujemy firmom?
Z naszego doświadczenia firmy w 2026 r. powinny mieć już zakończoną inwentaryzację systemów AI i klasyfikację ryzyka, a aktualnie skupiać się na dokumentacji technicznej i procesach.
Praktyczna ścieżka, którą prowadzimy z klientami:
- Q1-Q2 2025 — inwentaryzacja systemów AI, polityka kompetencji w zakresie AI (art. 4), audyt zakazanych praktyk (art. 5), aktualizacja kontraktów z dostawcami modeli.
- Q3-Q4 2025 — przygotowanie do reżimu GPAI (jeśli firma rozwija model lub jest jego integratorem), aktualizacja klauzul w umowach SaaS, monitorowanie kar (od 2 sierpnia 2025 r.).
- Q1-Q2 2026 — pełne wdrożenie obowiązków dla high-risk z załącznika III: system zarządzania ryzykiem, dokumentacja techniczna, FRIA dla deployerów, polityka transparentności (chatbot, deepfake), rejestracja w bazie danych UE.
- Q3 2026 — start stosowania większości przepisów (2 sierpnia 2026 r.).
- 2027 — finalizacja obowiązków dla high-risk w produktach z załącznika I (np. urządzenia medyczne) oraz dostosowanie GPAI z okresu przed 2 sierpnia 2025 r.
Jak możemy Ci pomóc?
W Legal Geek prowadzimy projekty AI Act w trzech wariantach. Audyt AI Act ustala, gdzie dziś stoi firma — z mapą obowiązków, ról i terminów. Wdrożenie obejmuje przygotowanie kompletu dokumentów (system zarządzania ryzykiem, dokumentacja techniczna, FRIA, polityka kompetencji w zakresie AI, klauzule kontraktowe). Szkolenia dla zarządu, compliance i zespołów produktowych prowadzimy w wersji dwugodzinnej i całodniowej. Chcę pomocy z AI Act!
Co dalej w cyklu?
- AI Act 2024/1689 — przewodnik dla firm — hub: AI Act dla firm
- Zakazane praktyki AI (art. 5) — zakazane praktyki z art. 5 (od 2 lutego 2025 r.)
- GPAI w AI Act (art. 51-56) — GPAI (od 2 sierpnia 2025 r.)
- Systemy AI wysokiego ryzyka (art. 6 + zał. III) — high-risk (od 2 sierpnia 2026 r./2027 r.)
- Kary i nadzór w AI Act (art. 99-101) — kary i nadzór
Źródła
- Rozporządzenie (UE) 2024/1689 — art. 113 (EUR-Lex)
- Rozporządzenie (UE) 2024/1689 — art. 111 (przepisy przejściowe)
- Komisja Europejska — strona AI Act
