Brak przygotowania do AI Act zwykle nie kończy się „tylko papierologią”. Najczęściej skutkuje wstrzymaniem projektów AI, chaosem decyzyjnym, ryzykiem reputacyjnym i realnymi kosztami compliance w trybie awaryjnym.
Poniżej znajduje się praktyczna road mapa dla przedsiębiorców, która pokazuje, co już obowiązuje, co wejdzie w życie jako kolejne kroki oraz jak ułożyć działania w firmie w czasie tak, aby nie obudzić się w sierpniu 2026 r. z krytycznymi brakami.
Kontekst: AI Act wchodzi etapami
AI Act jest rozporządzeniem UE wdrażanym stopniowo. Kluczowe daty to:
- 2 lutego 2025 r. – zaczęły obowiązywać m.in. zakazy praktyk zakazanych oraz wymóg AI literacy (kompetencji/świadomości AI w organizacjach).
- 2 sierpnia 2025 r. – zaczęły być stosowane m.in. regulacje dot. modeli AI ogólnego przeznaczenia (GPAI), elementów zarządzania (governance) oraz kar.
- 2 sierpnia 2026 r. – główna data: od tego dnia większość wymogów AI Act zaczyna obowiązywać w pełnym zakresie.
- 2 sierpnia 2027 r. – dodatkowy termin m.in. dla części systemów wysokiego ryzyka zintegrowanych z produktami regulowanymi sektorowo.
Road mapa w skrócie: oś czasu i priorytety
Poniższa tabela jest „mapą sterującą” wdrożeniem. W praktyce najlepiej potraktować ją jak plan projektu na 12–18 miesięcy, z właścicielami zadań i mierzalnymi rezultatami.
| Termin graniczny | Co to oznacza dla firmy | Co zrobić praktycznie (rezultat) |
|---|---|---|
| Już obowiązuje (od 2.02.2025) | Zakaz praktyk zakazanych + AI literacy | Inwentaryzacja użyć AI, szybki screening „zakazane”, program kompetencji AI dla ról biznesowych i IT |
| Już obowiązuje (od 2.08.2025) | Wymogi dot. GPAI, governance, kary, część mechanizmów nadzoru | Polityka AI, ład korporacyjny (role, decyzje, rejestry), ocena dostawców i umów (w tym dostawcy modeli) |
| Do 30.06.2026 (rekomendowany kamień milowy) | Czas na uporządkowanie portfela AI przed „twardą datą” 2.08.2026 | Klasyfikacja systemów (minimalne/ograniczone/wysokie ryzyko), plan dostosowania, dokumentacja, procesy kontroli zmian |
| 2.08.2026 | Start szerokiego stosowania AI Act | Gotowe procedury: ocena ryzyka, nadzór człowieka, przejrzystość, obsługa incydentów, audytowalna dokumentacja |
| 2.08.2027 | Dodatkowy termin dla części high-risk w produktach regulowanych | Domknięcie zgodności dla rozwiązań w produktach/obszarach sektorowych, pełne dowody zgodności i integracja z compliance produktowym |
Etap 1: „Stan na dziś” – co przedsiębiorca powinien mieć wdrożone już teraz
Dziś jest 25 lutego 2026 r., więc pierwsze dwa kamienie milowe są już za nami. To oznacza, że organizacja powinna działać w trybie zgodnym z poniższymi wymaganiami, a jeśli tak nie jest – należy potraktować to jako pilny plan naprawczy.
1) Szybki przegląd praktyk zakazanych
Od 2 lutego 2025 r. obowiązuje zakaz wprowadzania do użycia i na rynek szczególnie niebezpiecznych praktyk zakazanych, a naruszenia mogą wiązać się z bardzo wysokimi progami kar administracyjnych.
W praktyce firmowej nie chodzi o to, czy „mamy AI”, tylko czy któreś użycie AI podpada pod obszary niedozwolone. Działanie minimalne:
- spisać procesy, w których AI wpływa na decyzje wobec ludzi (klienci, pracownicy, użytkownicy),
- zidentyfikować zastosowania biometrii, profilowania wrażliwych cech lub masowej inwigilacji,
- od razu wycofać lub przebudować rozwiązania budzące ryzyko zakazu.
Rezultat: krótki raport „screening praktyk zakazanych” + decyzje zarządcze.
2) AI literacy jako obowiązek organizacyjny
Wprost wskazywany jest wymóg edukacji i świadomości AI (AI literacy) jako element wdrażany już od pierwszej fali.
Najlepsza praktyka wdrożeniowa (z projektów szkoleniowych, które realizujemy) polega na dopasowaniu kompetencji do ról:
- zarząd i dyrektorzy: ryzyka, odpowiedzialność, decyzje inwestycyjne, zasady użycia,
- HR / prawny / compliance: procedury, dokumentacja, ocena dostawców, incydenty,
- operacje i właściciele procesów: bezpieczne użycie narzędzi, kryteria jakości, kontrola błędów,
- IT / data / security: architektura, monitoring, kontrola dostępu, logowanie, MLOps/LLMOps.
Rezultat: program szkoleniowy + potwierdzenie przeszkolenia kluczowych ról.
3) Governance i dostawcy (w tym modele ogólnego przeznaczenia)
Od 2 sierpnia 2025 r. zaczęły być stosowane m.in. przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI), zarządzania i kar.
Nawet jeśli firma nie trenuje własnych modeli, zwykle korzysta z modeli dostawców (w narzędziach SaaS, asystentach, automatyzacjach). Działanie minimalne:
- lista dostawców AI i narzędzi (kto, do czego, na jakich danych),
- zasady zakupowe: kiedy wolno wdrożyć narzędzie AI i kto to zatwierdza,
- aktualizacja umów: obowiązki informacyjne, bezpieczeństwo danych, podwykonawcy, audytowalność.
Rezultat: rejestr dostawców i narzędzi + standard oceny dostawcy AI.
Etap 2: Marzec–czerwiec 2026 – uporządkowanie portfela AI i klasyfikacja ryzyka
To etap, który w praktyce najbardziej „ustawia” firmę pod sierpień 2026. Bez niego wdrożenie jest chaotyczne.
1) Inwentaryzacja systemów AI i „mapa użyć”
W wielu firmach AI jest już w:
- CRM i automatyzacji sprzedaży,
- rekrutacji i HR,
- analityce ryzyka (np. scoringi),
- obsłudze klienta (chat, e-mail, voice),
- kontroli jakości i bezpieczeństwie.
Rezultat: mapa użyć AI (proces → narzędzie/model → dane wejściowe → decyzja → ryzyko → właściciel).
2) Klasyfikacja: minimalne, ograniczone, wysokie ryzyko
Z perspektywy road mapy najważniejsze jest szybkie rozdzielenie:
- zastosowań „niskiego ryzyka” (łatwe do opanowania polityką i szkoleniami),
- zastosowań „ograniczonego ryzyka” (wymagających przejrzystości i zasad komunikacji),
- zastosowań „wysokiego ryzyka” (najdroższych w dostosowaniu, wymagających rygorów i dowodów).
Rezultat: lista systemów z przypisaną kategorią i planem dostosowania.
3) Ustalenie ról: dostawca vs podmiot wdrażający/użytkownik
W wielu projektach wdrożeniowych kluczowy błąd polega na założeniu, że „dostawca załatwia zgodność”. W praktyce część obowiązków zostaje po stronie organizacji, która wdraża AI w procesach i danych.
Rezultat: macierz odpowiedzialności (RACI) dla AI: biznes, IT, prawny, security, data owner.
Etap 3: Lipiec 2026 – gotowość operacyjna przed 2 sierpnia 2026 r.
2 sierpnia 2026 r. to moment, w którym większość zasad AI Act zaczyna obowiązywać szeroko.
Na tym etapie celem nie jest „idealna dokumentacja”, tylko gotowość operacyjna: procesy, które działają w firmie codziennie.
1) Polityka AI i standardy użycia
Minimalny pakiet:
- dozwolone i niedozwolone zastosowania AI,
- zasady pracy na danych (w tym danych osobowych i tajemnicy przedsiębiorstwa),
- wymagania dot. weryfikacji wyników AI (kiedy musi być kontrola człowieka),
- zasady wdrażania nowych narzędzi (ścieżka akceptacji).
Rezultat: polityka AI + instrukcje dla zespołów.
2) Dokumentacja i audytowalność
Nawet proste automatyzacje wymagają „śladu decyzyjnego”. W praktyce oznacza to:
- opis celu systemu i kontekstu biznesowego,
- opis danych wejściowych i ograniczeń,
- kryteria jakości i sposób testowania,
- logowanie i możliwość odtworzenia, jak system działał w danym czasie.
Rezultat: karta systemu AI (template) + repozytorium dokumentacji.
3) Proces obsługi incydentów i zmian
AI zmienia się przez dane, promptowanie, aktualizacje modeli, zmiany dostawców. Bez procesu zmian zgodność „ucieka” z miesiąca na miesiąc.
Rezultat: procedura incydentów + procedura change management dla systemów AI.
Etap 4: Sierpień 2026 – sierpień 2027 – domknięcie zgodności dla systemów wysokiego ryzyka i obszarów sektorowych
W harmonogramie pojawia się 2 sierpnia 2027 r. jako dodatkowy termin dla części systemów wysokiego ryzyka zintegrowanych z produktami regulowanymi sektorowo.
To etap, w którym firmy najczęściej muszą połączyć AI compliance z:
- compliance produktowym,
- zarządzaniem jakością,
- cyberbezpieczeństwem,
- dokumentacją w łańcuchu dostaw.
Rezultat: pełny „pakiet dowodowy” zgodności dla systemów high-risk oraz ich integracji z produktami/usługami regulowanymi.
Minimalny plan projektu wdrożenia AI Act w firmie (praktyczny check-list)
Poniżej lista zadań, które dobrze układają wdrożenie w realnym biznesie:
- Rejestr AI w firmie (narzędzia, modele, procesy, właściciele).
- Screening praktyk zakazanych i decyzje o wycofaniu/przebudowie.
- Program AI literacy dopasowany do ról.
- Polityka AI + zasady zakupowe i wdrożeniowe.
- Klasyfikacja ryzyka systemów i priorytety dostosowań.
- Standard dokumentacji (karty systemów AI) i repozytorium dowodów.
- Proces change management i obsługi incydentów dla AI.
- Ocena dostawców AI i uporządkowanie umów (SaaS, modele, integratorzy).
- Przygotowanie do wymogów szerokiego stosowania od 2.08.2026 r.
- Plan domknięcia dla systemów high-risk do 2.08.2027 r. tam, gdzie dotyczy.
Podsumowanie
AI Act nie jest jednorazowym „wdrożeniem dokumentów”, tylko zmianą sposobu, w jaki firma wdraża, kupuje i używa rozwiązań AI. Ponieważ regulacja wchodzi etapami, najlepszy efekt daje podejście roadmapowe: najpierw szybkie usunięcie obszarów zakazanych i podniesienie kompetencji (to już obowiązuje), potem governance i porządek w dostawcach, a następnie domknięcie procesów, dokumentacji i audytowalności przed 2 sierpnia 2026 r.
W projektach wdrożeniowych i szkoleniowych, które realizujemy, kluczowe jest połączenie prawa z operacją: proste procedury, jasne role, rejestry i kompetencje zespołów. To pozwala rozwijać AI w firmie bez zatrzymywania innowacji i bez wchodzenia w ryzykowne skróty.
