Nowe unijne przepisy o sztucznej inteligencji nie dotyczą tylko firm technologicznych. Operatorzy sieci energetycznych, wodociągów, systemów transportowych i infrastruktury cyfrowej znaleźli się w centrum regulacji jako jeden z obszarów obarczonych najwyższym ryzykiem. Co to oznacza w praktyce i od kiedy?
Czym jest AI Act?
AI Act (Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Unia Europejska przyjęła je w czerwcu 2024 roku. Obowiązuje bezpośrednio we wszystkich państwach członkowskich, w Polsce od 1 sierpnia 2024 roku, bez potrzeby osobnej polskiej ustawy.
Podstawowa logika AI Act jest prosta: im większe ryzyko, tym surowsze wymagania. Rozporządzenie dzieli systemy AI na cztery kategorie — od całkowicie zakazanych, przez wysokie ryzyko, po minimalne ryzyko, gdzie nie ma dodatkowych obowiązków.
Operatorzy infrastruktury krytycznej znaleźli się w kategorii wysokiego ryzyka, co oznacza, że systemy AI stosowane w zarządzaniu bezpieczeństwem tych obiektów są dozwolone, ale podlegają ścisłym wymaganiom.
Dlaczego infrastruktura krytyczna jest w centrum regulacji?
Załącznik III do AI Act wprost wymienia jako systemy wysokiego ryzyka te, które pełnią funkcje związane z bezpieczeństwem w procesach zarządzania i eksploatacji:
- infrastruktury cyfrowej
- ruchu drogowego
- zaopatrzenia w wodę, gaz, ciepło i energię elektryczną
Logika regulatora jest oczywista: błąd algorytmu sterującego siecią energetyczną lub systemem wodociągowym może mieć skutki dla zdrowia i życia tysięcy ludzi w skali nieporównywalnej z błędem algorytmu rekomendującego filmy. Dlatego właśnie te obszary wymagają szczególnych zabezpieczeń.
Warto jednak od razu zaznaczyć ważne rozróżnienie: nie każdy system AI używany przez operatora IK automatycznie staje się systemem wysokiego ryzyka. Kryterium jest funkcja, jaką pełni. Jeśli system AI ma istotny wpływ na decyzje operacyjne w obszarze bezpieczeństwa, podlega pełnemu reżimowi. Jeśli służy np. do optymalizacji harmonogramów pracy biurowej czy obsługi korespondencji – nie.
Dwie role: dostawca i operator. Która dotyczy przedsiebiorstwa?
AI Act rozróżnia dwie kluczowe role, które determinują zakres obowiązków:
Dostawca (ang. provider) to podmiot, który projektuje i wytwarza system AI oraz wprowadza go na rynek. Na dostawcach spoczywa największy ciężar obowiązków: dokumentacja techniczna, ocena zgodności, rejestracja w unijnej bazie danych.
Podmiot stosujący (ang. deployer) to firma lub instytucja, która korzysta z gotowego systemu AI w swojej działalności, na przykład operator sieci energetycznej używający platformy zarządzania siecią z wbudowanymi algorytmami AI dostarczonymi przez zewnętrznego producenta.
Większość operatorów IK będzie występować właśnie jako deployer i tu pojawia się częste nieporozumienie: rola deployera nie zwalnia z obowiązków. AI Act nakłada na podmioty stosujące odrębny, konkretny zestaw wymogów.
Co musi zapewnić operator jako podmiot stosujący?
Jeśli korzystasz z systemu AI wysokiego ryzyka w zarządzaniu infrastrukturą krytyczną, AI Act nakłada następujące obowiązki:
Stosowanie systemu zgodnie z przeznaczeniem. System należy eksploatować wyłącznie w sposób określony przez dostawcę w instrukcji użytkowania. Zastosowanie systemu do celów, dla których nie był zaprojektowany, przenosi część odpowiedzialności na operatora.
Zapewnienie nadzoru ludzkiego. To jeden z kluczowych wymogów. System musi być eksploatowany w sposób, który umożliwia wyznaczonemu pracownikowi skuteczną interwencję – zawieszenie działania AI, nadpisanie jej decyzji lub zatrzymanie systemu. Nie może być sytuacji, w której algorytm podejmuje krytyczne decyzje operacyjne bez żadnej możliwości ludzkiej korekty.
Monitorowanie i zgłaszanie incydentów. Operator ma obowiązek aktywnie śledzić działanie systemu w toku eksploatacji. Jeśli system zachowa się nieprawidłowo lub spowoduje poważny incydent, należy zgłosić to do krajowego organu nadzoru (w Polsce będzie nim KRiBSI, czyli Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji) oraz do dostawcy systemu.
Prowadzenie dzienników zdarzeń. Systemy AI wysokiego ryzyka mają obowiązek automatycznego rejestrowania zdarzeń. Operator powinien przechowywać te logi przez okres wskazany przez dostawcę lub przepisy sektorowe, będą podstawą ewentualnego audytu lub postępowania wyjaśniającego po incydencie.
Ocena skutków dla praw podstawowych. Przed wdrożeniem systemu AI w obszarach dotykających praw obywateli lub bezpieczeństwa publicznego operator powinien przeprowadzić ocenę potencjalnych skutków. To wymóg szczególnie istotny dla operatorów świadczących usługi o charakterze publicznym.
Ważna kwestia: czy twój system na pewno jest „wysokiego ryzyka”?
AI Act przewiduje mechanizm samooceny, który może być istotny dla operatorów IK. System AI wymieniony w Załączniku III nie musi być automatycznie traktowany jako wysokiego ryzyka, jeśli spełnione są łącznie dwa warunki:
- nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych
- nie ma istotnego wpływu na wynik procesu decyzyjnego
Jeśli operator uzna, że jego system spełnia te kryteria, może udokumentować tę ocenę i zarejestrować ją w unijnej bazie danych HRAI, korzystając tym samym z uproszczonego reżimu. Decyzja ta może jednak zostać zakwestionowana przez KRiBSI w toku kontroli.
W przypadku wątpliwości co do kwalifikacji konkretnego systemu polska ustawa o systemach sztucznej inteligencji (procedowana aktualnie w Sejmie jako druk nr 2443) przewiduje możliwość złożenia wniosku o opinię indywidualną KRiBSI, za opłatą 150 zł, z gwarantowaną odpowiedzią w ciągu 30 dni. Jeśli Komisja nie odpowie w terminie, wniosek uznaje się za uwzględniony zgodnie ze stanowiskiem wnioskodawcy.
Nakładające się regulacje: AI Act nie działa w próżni
Operatorzy IK funkcjonują już w gęstym środowisku regulacyjnym: dyrektywa NIS2, ustawa o krajowym systemie cyberbezpieczeństwa, regulacje sektorowe dla energetyki, transportu czy gospodarki wodnej. AI Act nakłada się na te przepisy, nie zastępując żadnego z nich.
Szczególną uwagę należy zwrócić na sytuację, gdy system AI jest jednocześnie elementem bezpieczeństwa produktu objętego unijnymi regulacjami sektorowymi (tzw. Załącznik I do AI Act -obejmuje m.in. maszyny przemysłowe, systemy kolejowe, urządzenia ciśnieniowe). W takim przypadku zastosowanie może znajdować zarówno Załącznik I, jak i Załącznik III, a termin wdrożenia obowiązków jest inny i dłuższy.
Warto też pamiętać, że tam gdzie systemy AI przetwarzają dane osobowe (np. dane pracowników, dane o użytkownikach sieci), równolegle obowiązuje RODO. Wymagania obu rozporządzeń należy spełniać łącznie.
Harmonogram: kiedy i co zaczyna obowiązywać?
To jeden z bardziej skomplikowanych aspektów AI Act bo przepisy wchodzą w życie etapami, a harmonogram uległ ostatnio istotnej zmianie.
Od 2 lutego 2025 r. – obowiązują zakazy stosowania systemów AI uznanych za niedopuszczalne (art. 5 AI Act). Dla operatorów IK ma to znaczenie przede wszystkim w kontekście systemów monitorowania pracowników czy rozpoznawania emocji w miejscu pracy.
Od 2 sierpnia 2025 r. – obowiązują przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI) oraz zasady dotyczące krajowych organów nadzoru. KRiBSI powinna była działać już od tej daty, ale tu mamy opóźnienie, ustawa jest dopiero w Sejmie.
Od 2 sierpnia 2026 r. – KRiBSI uzyska pełne uprawnienia do prowadzenia kontroli i nakładania kar. Od tej daty egzekwowanie przepisów AI Act w Polsce staje się realne. Jednocześnie wchodzą w życie obowiązki przejrzystości dla podmiotów stosujących (art. 50 AI Act).
Od 2 grudnia 2027 r. – wchodzą w życie pełne obowiązki dla systemów wysokiego ryzyka z Załącznika III, w tym dla systemów AI stosowanych w infrastrukturze krytycznej. To kluczowa data dla większości operatorów IK. Termin wynika z prowizorycznego porozumienia politycznego Parlamentu Europejskiego i Rady UE osiągniętego 7 maja 2026 roku w ramach pakietu Digital Omnibus, które przesuwa pierwotny termin z 2 sierpnia 2026 roku. Porozumienie wymaga jeszcze formalnego przyjęcia -do czasu jego adopcji formalnie obowiązuje pierwotna data 2 sierpnia 2026 roku.
Od 2 sierpnia 2028 r. — obowiązki dla systemów AI będących komponentami bezpieczeństwa produktów objętych unijnymi regulacjami sektorowymi (Załącznik I).
Przesunięcie terminów nie oznacza braku działań. Dokumentacja, klasyfikacja systemów i wdrożenie nadzoru ludzkiego wymagają czasu, a KRiBSI będzie mogła kontrolować te przygotowania już od 2026 roku.
Od czego zacząć?
Dla operatora IK, który dopiero zaczyna analizować swoje obowiązki wynikające z AI Act, rekomendowany punkt wyjścia to:
Inwentaryzacja systemów AI. Przegląd wszystkich używanych narzędzi, zarówno własnych, jak i dostarczanych przez zewnętrznych dostawców (w tym platform SaaS i rozwiązań chmurowych) pod kątem tego, czy i w jakim zakresie pełnią funkcje decyzyjne związane z bezpieczeństwem operacji.
Klasyfikacja ryzyka. Dla każdego zidentyfikowanego systemu AI ocena, czy kwalifikuje się jako system wysokiego ryzyka z udokumentowaniem tej oceny niezależnie od wyniku.
Weryfikacja umów z dostawcami. Sprawdzenie, czy istniejące kontrakty rozdzielają obowiązki AI Act między stronami, w szczególności czy dostawca zapewnia dokumentację techniczną, instrukcję użytkowania i mechanizmy logowania zdarzeń wymagane przepisami.
Przegląd pod kątem nadzoru ludzkiego. Ocena, czy obecne procedury operacyjne rzeczywiście umożliwiają pracownikom skuteczną interwencję wobec decyzji podejmowanych przez systemy AI.
W przypadku wątpliwości co do klasyfikacji konkretnego systemu – skorzystanie z opinii indywidualnej KRiBSI (gdy organ zostanie powołany) lub wcześniej z porady prawnej specjalizującej się w prawie AI.
Podsumowanie
AI Act nie jest regulacją skierowaną wyłącznie do firm technologicznych. Operatorzy infrastruktury krytycznej są jej bezpośrednimi adresatami – jako podmioty stosujące systemy AI w obszarach, gdzie błąd algorytmu może mieć konsekwencje dla bezpieczeństwa publicznego.
Zakres obowiązków zależy od funkcji systemu AI, nie od jego nazwy ani technologii. Rola deployera nie zwalnia z odpowiedzialności, AI Act nakłada konkretne wymagania po stronie operatora. Pełne obowiązki dla systemów wysokiego ryzyka w IK wchodzą w życie 2 grudnia 2027 roku, ale egzekwowanie przepisów przez KRiBSI zaczyna się już w 2026 roku. Inwentaryzacja i klasyfikacja systemów AI to zadanie na teraz, nie na 2027 rok.
Źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. (AI Act) — tekst rozporządzenia, w szczególności art. 6, Załącznik III (systemy wysokiego ryzyka) oraz art. 26 (obowiązki podmiotów stosujących) https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689
- Druk sejmowy nr 2443 — projekt ustawy o systemach sztucznej inteligencji (Sejm X kadencji, 9 kwietnia 2026 r.), w szczególności art. 8–17 (opinie indywidualne KRiBSI) https://orka.sejm.gov.pl/Druki10ka.nsf/0/E07DAD85D1A530FFC1258DDB003C02D1/$File/2443.pdf
- Rada UE — prowizoryczne porozumienie polityczne w sprawie Digital Omnibus on AI (7 maja 2026 r.) — przesunięcie terminów dla systemów wysokiego ryzyka do 2 grudnia 2027 r. (Załącznik III) i 2 sierpnia 2028 r. (Załącznik I) https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- Parlament Europejski — Legislative Train Schedule: Digital Omnibus on AI — historia i stan negocjacji https://www.europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai
- Portal Gov.pl / Ministerstwo Cyfryzacji — komunikat o przyjęciu projektu ustawy o systemach sztucznej inteligencji przez Radę Ministrów (31.03.2026) https://www.gov.pl/web/cyfryzacja/koniec-ery-nieuchwytnych-algorytmow–projekt-ustawy-o-systemach-sztucznej-inteligencji-przyjety-przez-rade-ministrow
Stan prawny: maj 2026.
Harmonogram AI Act może ulec zmianie w wyniku trwających negocjacji pakietu Digital Omnibus na poziomie unijnym oraz prac legislacyjnych nad polską ustawą wykonawczą.