Регламент (ЕС) 2024/1689 за изкуствения интелект (AI Act): как OpenKBS осигурява съответствие за enterprise организации

Регламент (ЕС) 2024/1689 на Европейския парламент и на Съвета (AI Act) е първият в света законодателен акт, регулиращ системите с изкуствен интелект. Регламентът влезе в сила на 1 август 2024 г. и се прилага поетапно, като пълното прилагане е от 2 август 2026 г.

За разлика от Директива (ЕС) 2022/2555 (NIS2), AI Act е регламент — прилага се директно във всички държави членки на ЕС, включително в България, без необходимост от национално транспониране.

Задължението за AI грамотност по чл. 4 от Регламента е в сила от 2 февруари 2025 г. Организациите, които ползват AI системи, вече са длъжни да осигурят достатъчно ниво на AI грамотност на своите служители.

Вграден compliance одит в OpenKBS Studio

OpenKBS Studio разполага с вграден AI Act Compliance Skill, който автоматично одитира проекта и генерира структуриран compliance доклад. Skill-ът анализира кои AI модели се ползват, класифицира ги по рискови категории съгласно Приложение III, проверява наличието на механизми за човешки надзор, проследимост и прозрачност, и изготвя документиран доклад, готов за предоставяне на регулаторни органи или вътрешен одит. Процесът се стартира с една инструкция към AI агента и не изисква допълнителна конфигурация.

Поетапно прилагане

ДатаКакво влиза в сила
1 август 2024 г.Регламентът влиза в сила
2 февруари 2025 г.Забранени AI практики (чл. 5) и задължение за AI грамотност (чл. 4)
2 август 2025 г.Правила за AI модели с общо предназначение (GPAI)
2 август 2026 г.Пълно прилагане: високорискови AI системи по Приложение III (заетост, кредити, миграция, образование), conformity assessment, прозрачност (чл. 50), санкции
2 август 2027 г.Високорискови системи по Приложение I (вградени в регулирани продукти — медицински изделия, машини, играчки)

Задължение за AI грамотност (чл. 4)

Член 4 от Регламент (ЕС) 2024/1689 задължава доставчиците и внедрителите на AI системи да предприемат мерки, осигуряващи достатъчно ниво на AI грамотност на техния персонал и на лицата, работещи с AI системи от тяхно име.

Кого засяга

Задължението обхваща:

  • служители, които ползват AI инструменти в ежедневната си работа;
  • мениджъри, вземащи решения на базата на AI резултати;
  • екипи по подбор на доставчици и технологии;
  • контрактори и аутсорснат персонал, оперираш AI от името на организацията;
  • ръководни органи с надзорни функции над AI системите.

Какво се изисква

Регламентът не предписва конкретен формат, продължителност или учебна програма. Стандартът е достатъчност спрямо ролята, като се отчитат техническите познания, опит, образование и контекстът на употреба на AI системата.

Общо (generic) обучение, което не адресира конкретните AI системи, ползвани в организацията, се счита за недостатъчно. Обучението трябва да покрива:

  • възможностите и ограниченията на конкретните AI системи;
  • рисковете, свързани с тяхната употреба;
  • критична оценка на AI резултатите;
  • етични съображения, включително предразсъдъци и справедливост;
  • процедури за докладване на инциденти.

Как се доказва съответствие

Организациите трябва да поддържат:

  • Политика за допустима употреба на AI (AI Acceptable Use Policy);
  • Политика за AI грамотност (структура на обучението, отговорности, цикъл на обновяване);
  • Записи за проведено обучение с дати, участници и съдържание;
  • Резултати от оценки, демонстриращи разбиране (не само присъствие);
  • Дневник на актуализациите на програмата.

Санкции

Член 99 от Регламента не предвижда директна глоба на ниво ЕС за нарушение на чл. 4. Задължението за AI грамотност остава правно обвързващо, а държавите членки имат правомощието да установят допълнителни санкции за неговото прилагане. Регламентът предвижда три нива глоби за други нарушения: до 35 млн. евро или 7 % от оборота за забранени практики (чл. 5); до 15 млн. евро или 3 % за нарушения на задълженията на внедрителите (чл. 26); до 7,5 млн. евро или 1 % за предоставяне на невярна информация.

Забранени AI практики (чл. 5)

В сила от 2 февруари 2025 г. са забранени осем категории AI практики:

  1. Манипулативни AI техники, причиняващи вреда;
  2. Експлоатиране на уязвимости (възраст, увреждане, социално-икономическо положение);
  3. Социално оценяване (social scoring);
  4. Прогнозиране на индивидуален риск от извършване на престъпления;
  5. Нецеленасочено събиране на лицеви изображения от интернет или видеонаблюдение;
  6. Разпознаване на емоции на работното място и в образованието;
  7. Биометрична категоризация по защитени характеристики;
  8. Биометрична идентификация в реално време на обществени места (с ограничени изключения за правоприлагане).

Точка 6 е пряко приложима за всяка организация, ползваща AI в управлението на човешките ресурси.

Високорискови AI системи (Приложение III)

Приложение III на Регламента определя осем области, в които AI системите се класифицират като високорискови:

ОбластПримери
БиометрикаДистанционна биометрична идентификация, разпознаване на емоции
Критична инфраструктураУправление на енергийни мрежи, транспорт, водоснабдяване
ОбразованиеПрием, оценяване, разпределение по групи
Заетост и управление на работнициПодбор на кандидати, CV скрининг, оценка на представянето, решения за повишение или уволнение
Достъп до основни услугиКредитен скоринг, застраховане, социални помощи
ПравоприлаганеОценка на доказателства, предиктивна полицейска дейност
Миграция и граничен контролОценка на визови заявления, наблюдение на границите
ПравосъдиеПравен анализ, предиктивни инструменти за съдебни решения

Задължения за внедрителите на високорискови системи (чл. 26)

Организации, които внедряват високорискови AI системи, са длъжни да:

  • използват системите в съответствие с инструкциите на доставчика;
  • осигурят човешки надзор от компетентни лица;
  • гарантират, че входните данни са подходящи и представителни;
  • наблюдават работата на системата и докладват сериозни инциденти;
  • съхраняват автоматично генерираните логове най-малко 6 месеца;
  • информират представителите на работниците и засегнатите работници преди внедряването;
  • за системи в областта на заетостта — уведомяват кандидатите, че AI участва в процеса на подбор.

Как OpenKBS адресира изискванията на AI Act

Проследимост на AI операциите (чл. 12, чл. 26)

OpenKBS разполага цялата AI инфраструктура на своите enterprise клиенти върху платформата, включително единен AI прокси за достъп до множество AI модели (OpenAI, Anthropic, Google).

Всяко извикване на AI модел преминава през прокси, който записва:

  • кой AI модел е използван и коя версия;
  • времева марка на заявката;
  • брой входни и изходни токени;
  • идентификатор на проекта.

Тези данни се съхраняват в инфраструктурата на клиента и са достъпни за одит. Те адресират изискванията за проследимост на резултатите (чл. 12) и за съхранение на логове (чл. 26, ал. 6).

Човешки надзор по дизайн (чл. 14, чл. 26)

Архитектурата на OpenKBS е проектирана по начин, при който AI резултатите не се изпълняват автоматично без човешка намеса. За enterprise клиенти:

  • AI системите функционират в рамките на управлявана среда с контролиран достъп;
  • За критични решения (HR, финанси, операции) се прилага workflow за одобрение — AI генерира препоръка, оторизирано лице я потвърждава или отхвърля;
  • Всяка нова версия на решението преминава през структуриран процес на преглед на сигурността преди въвеждане в продуктивна среда.

Прозрачност и маркиране на AI съдържание (чл. 50)

OpenKBS предоставя на enterprise клиентите средства за маркиране на AI-генерирано съдържание:

  • Metadata за произход — всеки AI отговор може да носи информация за модела, версията и датата на генериране;
  • Компонент за разкриване (AI Disclosure) — готов за вграждане в клиентски приложения, информиращ крайните потребители, че взаимодействат с AI или че съдържанието е генерирано от AI.

AI грамотност (чл. 4)

OpenKBS предоставя на enterprise клиентите документация и консултации относно:

  • възможностите и ограниченията на AI моделите, достъпни чрез платформата;
  • рисковете при различни категории употреба;
  • добри практики за критична оценка на AI резултати;
  • процедури за докладване на инциденти.

Тази документация може да послужи като основа за вътрешната AI Literacy програма на организацията.

Compliance доклад (чл. 11, чл. 26)

OpenKBS предоставя на enterprise клиентите специализиран skill за автоматизирано генериране на AI Act compliance доклад. Skill-ът се инсталира в OpenKBS Studio с едно натискане от секцията Skills и се активира чрез инструкция към AI агента (напр. „генерирай AI Act compliance report"). Агентът събира данните от AI прокси логовете, анализира кода на проекта и генерира структуриран доклад, съдържащ:

Инвентаризация на AI системите:

  • пълен списък на AI моделите, използвани в проекта (напр. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • версии на моделите и доставчици;
  • брой извиквания по модел за избран период;
  • общо потребление на входни и изходни токени.

Класификация на риска:

  • автоматична оценка на рисковата категория по Приложение III (високорисков, ограничен, минимален);
  • идентификация на области, попадащи в обхвата на високорисковите системи (заетост, финанси, образование);
  • препоръки за допълнителни мерки при високорисков AI.

Статус на compliance мерките:

  • наличие на AI Act Compliance Skill в проекта;
  • статус на механизмите за човешки надзор (approval workflow);
  • наличие и пълнота на логовете за проследимост;
  • статус на AI Disclosure компонента;
  • наличие на AI Acceptable Use Policy и AI Literacy Policy.

Генериран артефакт: Докладът се генерира като структуриран документ (PDF/JSON), готов за предоставяне на регулаторни органи, вътрешен одитен комитет или за архивиране като compliance артефакт. Периодичното генериране (напр. тримесечно) осигурява документирана история на AI употребата в организацията.

Забранени практики и AI Act Compliance Skill

OpenKBS включва в enterprise проектите специализиран compliance skill — набор от правила, които AI агентът зарежда автоматично. Тези правила включват:

Забранени операции:

  • Разпознаване на емоции в контекст на заетост или образование;
  • Социално оценяване на физически лица;
  • Биометрична категоризация по защитени характеристики;
  • Манипулативни техники, експлоатиращи уязвимости.

Задължителни процедури:

  • Логване на всяко AI решение с входни данни, изходни данни, модел и времева марка;
  • При решения в областите заетост, финанси, образование — спиране и изискване на потвърждение от оторизирано лице;
  • Добавяне на метаданни за AI произход към генерираното съдържание;
  • Генериране на оценка на риска при внедряване на нова AI функционалност.

Консолидация на AI веригата за доставки

Организация, ползваща AI модели от множество доставчици (OpenAI, Anthropic, Google), трябва да управлява compliance за всеки от тях поотделно — различни условия за ползване, различни политики за данни, различни нива на прозрачност.

OpenKBS консолидира достъпа до множество AI модели чрез единен прокси, разположен в EU инфраструктурата на платформата. Клиентът взаимодейства с един доставчик (OpenKBS), който управлява интеграцията с AI вендорите.

Това намалява:

  • броя на доставчиците, подлежащи на отделна оценка;
  • сложността на управление на различни политики за данни;
  • административната тежест при документиране на AI supply chain.

Инфраструктурна сигурност

AI Act не функционира изолирано — организациите, попадащи в обхвата на Директива (ЕС) 2022/2555 (NIS2), трябва да осигурят съответствие и с двата акта едновременно. OpenKBS адресира и двете рамки чрез:

  • Обособен AWS акаунт за всеки enterprise клиент — пълна изолация и възможност за прехвърляне;
  • EU Data Residency — данните се разполагат в AWS регион eu-central-1 (Франкфурт, Германия);
  • Serverless архитектура — намалена атакуема повърхност, автоматични обновления на сигурността;
  • Криптиране — TLS 1.2+ при пренос, AES-256 в покой;
  • Одитен журнал — проследяване на всички административни действия.

Подробно описание на покритието на NIS2 е достъпно в публикацията за Директива (ЕС) 2022/2555.

Обобщение: покритие на ключовите изисквания

Изискване по AI ActКак OpenKBS го адресира
AI грамотност (чл. 4)Документация, консултации и материали за AI Literacy програма
Забранени практики (чл. 5)AI Act Compliance Skill с вградени забрани
Проследимост (чл. 12)AI proxy логове: модел, версия, timestamp, проект
Човешки надзор (чл. 14, 26)Approval workflow за high-risk решения
Прозрачност (чл. 50)AI Disclosure компонент и metadata за произход
Логване (чл. 26, ал. 6)Автоматично съхранение на логове в клиентската инфраструктура
Техническа документация (чл. 11)Автоматизиран compliance доклад per project
Информиране на работници (чл. 26, ал. 7)Консултации за процедурите по уведомяване
Supply chain управлениеКонсолидиран AI прокси — един доставчик вместо множество
NIS2 + AI Act съвместноЕдинна инфраструктура, покриваща и двата акта

Следваща стъпка

Ако вашата организация ползва AI системи и трябва да осигури съответствие с Регламент (ЕС) 2024/1689, свържете се с нас за консултация относно:

  • оценка на текущата употреба на AI спрямо изискванията на Регламента;
  • класификация на AI системите по рискови категории;
  • внедряване на AI Act Compliance Skill в управляваната среда;
  • генериране на compliance доклад за регулаторни органи или вътрешен одит;
  • програма за AI грамотност на служителите.

Описаните услуги по AI Act compliance — compliance skill, одит на AI употреба, human oversight workflow и compliance доклад — са част от Enterprise плана на OpenKBS.

Настоящата публикация има информативен характер и не представлява правна консултация. За конкретни въпроси относно прилагането на Регламент (ЕС) 2024/1689 се обърнете към квалифициран юридически консултант.

Book a Strategy Call
AI ActРегламент (ЕС) 2024/1689AI грамотноствисокорисков AIcomplianceAWSenterpriseпроследимостчовешки надзор