Член 4 EU AI Act: Какво всъщност означава задължението за AI компетентност за SME

Един разговор през април

Преди две седмици имах видеоконференция с управителката на средно голяма машиностроителна компания от Шварцвалд. 280 служители, добре управляван семеен бизнес, здрави финанси. Преди девет месеца тя въведе Microsoft 365 Copilot за половината екип, плюс ChatGPT Team лиценз за инженерния отдел. Работи. Служителите са доволни, маркетинг продукцията се ускори измеримо.

Нейният въпрос по време на разговора: „Моят адвокат ми казва, че трябва да обуча хората си сега. Заради член 4. Наистина ли трябва? И какво точно?"

Честният отговор е: да, трябва. От 2 февруари 2025. Националните органи за пазарен надзор са определени от 2 август 2025 — в Германия това е Bundesnetzagentur. Глоби могат да бъдат налагани от 2 август 2026. Това, което член 4 EU AI Act конкретно изисква от вас, е значително по-малко драматично, отколкото звучи отначало — и същевременно по-конкретно, отколкото повечето компании го прилагат в момента.

Тази статия е написана за управители и изпълнителни директори, които вече използват AI — обикновено ChatGPT, Copilot или Claude — и сега искат да разберат какво означава задължението за AI компетентност на практика. Без алармизъм, без юридически клишета, с амбицията след прочитането да знаете какво да правите.

Самопреглед за 7 минути: Къде е вашата организация по член 4? Нашият безплатен AI Check показва петте най-чести пропуска при средните компании и ви дава прагматичен план за действие.

Какво член 4 наистина изисква — и какво не

Текстът на член 4 е кратък. По същество: доставчиците и deployer-ите на AI системи предприемат мерки, за да осигурят, „в максимална степен", достатъчно ниво на AI компетентност на своя персонал и на другите лица, които работят с AI системи от тяхно име. Мерките отчитат техническата подготовка, опита, образованието и контекста, в който AI се използва.

Три точки в тази формулировка са решаващи.

Първо: вие сте в обхвата. Веднага щом вашите служители използват ChatGPT, Copilot, Claude, Gemini или друга AI система в професионален контекст — дори само за да съставят клиентски имейл — вие сте deployer по смисъла на AI Act. Прагът е нула. За разлика от някои други задължения по закона, няма изключение за SME при член 4. Единственото изключение засяга чисто частната, непрофесионална употреба — служители, използващи ChatGPT у дома, не на работа.

Второ: „в максимална степен" е отворена норма. Европейската комисия през май 2025 изрично уточни във своя FAQ за AI Literacy, че няма предписана учебна програма, няма конкретно изискване за сертифициране, няма минимален брой часове. Това, което трябва да направите, зависи от контекста: производител, използващ AI само за имейли, има различно задължение от консултантска фирма, използваща AI за клиентски препоръки. Тази отвореност е и капанът: не можете да изпълните задължението просто чрез закупуване на e-learning лиценз — обучението трябва да бъде подходящо за целта.

Трето: не е необходимо да сертифицирате нищо — но трябва да можете да докажете. Член 4 сам по себе си не изисква документация. Но когато Bundesnetzagentur ви попита през 2026 какво сте предприели, трябва да можете да покажете нещо. Само устни обучения без записи на практика не са защитими.

Какво член 4 не изисква:

• Никакви външни сертификати за вашите служители
• Никакъв еквивалент на длъжностно лице по защита на данните, специализирано за AI (това е отделен въпрос, регулиран при високорискова класификация)
• Никакво задължително тримесечно обновяване (годишна актуализация е добра практика)
• Никакво задължение да одобрявате формално всеки използван AI инструмент

Възможните санкции обаче не са пренебрежими. Нарушенията на задълженията на deployer-и — към които принадлежи член 4 — могат да бъдат санкционирани по член 99 EU AI Act с до 15 милиона евро или 3 процента от глобалния годишен оборот, в зависимост от това коя сума е по-висока. Реалистично, националните органи няма веднага да удрят с чука на средните компании — но документираните процедури ще станат входен билет при всеки тръжен процес, при всяка M&A надлежна проверка и в много въпросници за доставчици.

Петте типични пропуска в средния бизнес

През последните месеци говорих с над 30 ръководни екипа в DACH региона за член 4. В приблизително четири от пет случая се откриват едни и същи пет пропуска. Те рядко са драматични, но всичките пет са налице.

Пропуск 1: Няма пълен AI инвентар

На въпроса „Кои AI системи използват служителите ви в момента?" почти никой управител не отговаря правилно. Официалният отговор обикновено е „Copilot и ChatGPT", реалността изглежда различно: маркетингът използва Midjourney, инженерният отдел използва Claude и Cursor, продажбите имат Apollo.io с AI функции, рекрутингът използва AI функциите на LinkedIn, HR експериментира с DeepL Write, и някой в счетоводството позволява на ChatGPT да анализира отчети за разходи. Ние наричаме този феномен Shadow AI и той е значително по-разпространен в средния бизнес, отколкото IT отделът обикновено осъзнава. Без инвентар не можете да обучавате никого — защото не знаете какво да обучавате.

Пропуск 2: Няма писмена AI политика

Осем от десет средни компании нямат писмена, одобрена от ръководството политика за употреба на AI. Често имат „вътрешно усещане" — никакви клиентски данни в ChatGPT, никакъв код с IP стойност — но това не е документирано, не е комуникирано, и следователно не е използваемо за член 4. Една подходяща политика се вмества в три до пет страници, обхваща случаи на употреба, забранени входни данни, отговорности и поведение при съмнение за погрешни изходи.

Пропуск 3: Обучения без документация

Много компании са обучавали — обикновено при въвеждането на Copilot. Проблемът: няма присъствен лист, няма съдържание, няма доказателство. Ако Bundesnetzagentur поиска централно доказателство за съответствие през 2027, едно „направихме нещо през лятото на 2025" не помага с нищо. Нуждаете се от версирана обучителна документация, присъствен лист с дата и идеално тест за усвояване, чиито резултати се архивират.

Пропуск 4: Няма системно занимание с халюцинации

Вероятността служител да препрати непроверен фактически грешен AI отговор на клиент корелира тясно със зрелостта на обучението му точно по тази точка. На практика темата или изобщо не се появява, или се отбива с един слайд („AI може и да греши"). Това, което липсва, са конкретни упражнения: служителите трябва да научат как да проверяват правдоподобни AI отговори, как да проследяват източниците и как да разпознават граничните случаи. Това е единственият компонент на обучението, който прави реална разлика при инцидент.

Пропуск 5: Външни подизпълнители извън обхвата

Член 4 се прилага за „другите лица, които работят с експлоатацията и употребата на AI системи от тяхно име". Това включва вашите фрийлансъри, IT доставчиците, маркетинг агенцията — и те трябва да бъдат включени във вашите мерки за AI компетентност точно като собствените служители. В договорите с външни подизпълнители почти никога не е отразено. Кратка AI клауза в писмото за възлагане (две изречения стигат) затваря пропуска и прехвърля тежестта на доказване.

Къде стоите по тези пет пропуска? Нашият 7-минутен AI Check проверява с конкретни въпроси доколко сте подготвени за пазарния надзор от август 2026 — включително персонализиран план за действие.

Съответстващо изпълнение за четири до шест седмици

Добрата новина: усилието за средно голяма компания с 50 до 500 служители е управляемо. Реалистичен график за начално съответстващо изпълнение изглежда така.

Седмица 1 — инвентаризация и сортиране по риск. Изпратете кратко проучване до всички ръководители на отдели: кои AI инструменти фактически се използват в техния отдел, с какъв лиценз, от кого и за какви данни? Консолидирайте това в едностранична таблица. Сортирайте инструментите според това дали работят само с нечувствителни данни (нисък риск) или потенциално обработват клиентски, служителски или IP данни (повишен риск).

Седмица 2 — съставяне и вътрешно одобрение на политиката. Подходяща политика за употреба на AI може да се запази в три до пет страници. Регулира: разрешени случаи на употреба, забранени входни данни (клиентски данни, кандидатски данни, IP, договорни тайни), процес на одобрение на нови инструменти, отговорности (например AI отговорник за всеки отдел), поведение при съмнение за халюцинация. Политиката се подписва от ръководството и се качва в интранет. Важно: тя влиза в сила едва когато всички служители са потвърдили получаването писмено.

Седмици 3 и 4 — базисно обучение за всички. Всички служители, които използват AI на работа или биха могли да го използват, преминават през 60 до 90-минутно базисно обучение. Съдържание: какво е генеративен AI технически (10 мин), кои правни рамки се прилагат (10 мин), какво може и не може да правите (15 мин), разпознаване на халюцинации с три конкретни примера от вашия бизнес (20 мин), тест с документиране (10 мин). Обучението може да бъде проведено като лайв уебинар (по-добре за по-големи екипи), като присъствен уъркшоп (по-добре за рискови функции като продажби и HR) или като качествено e-learning. Препоръчваме микс: e-learning за основите, присъствено обучение за упражнението с халюцинации.

Седмица 5 — задълбочен модул за рискови функции. Служители в продажби, HR, право, съответствие, финанси и продуктово развитие допълнително получават двучасов задълбочен модул с функционално-специфични случаи на употреба. Конкретното отраслово разглеждане се изплаща тук — и именно тук помага външното съдействие, защото вътрешните обучители обикновено нямат необходимия пазарен преглед, за да разграничат например AI скрининг на кандидати от приоритизация на кандидати по правилно правен начин.

Седмица 6 — финализиране на договорите и документацията. Допълнете стандартните си договори с доставчици с кратка клауза за AI компетентност. За всяка обучителна група отворете досие: дата, присъствен лист, обучителните материали в окончателна версия, резултати от теста. Поставете напомняне за годишна актуализация. Готово.

С този подход до август 2026 не само сте формално в съответствие, но и сте намалили съществено типичните последващи проблеми (изтичания на данни, рискове при тръжни процедури, M&A находки). Общото усилие при компания с 200 души: 25 до 40 човеко-дни, разпределени за шест седмици. За повечето от нашите клиенти това е значително под цената на единствен грешно отговорен клиентски въпрос чрез ChatGPT халюцинация.

Какво да направите тази седмица

Три стъпки, които са реалистични днес.

Първо: помолете трите най-важни отдела (IT, маркетинг, продажби) до края на седмицата да ви дадат ръчно написан списък на използваните AI инструменти. Ще се изненадате.

Второ: проверете дали съществува писмена AI политика. Ако да, актуална ли е? Ако не, поставете тази точка в дневния ред на следващата управителна среща.

Трето: изяснете с вашия адвокат или отговорника по съответствие дали се квалифицирате като високорисков deployer по смисъла на AI Act — определени сектори (медицина, скрининг на кандидати, кредитна оценка) носят значително по-строги задължения извън член 4. За по-широк поглед върху регулаторния пейзаж вижте нашата EU AI Act пътна карта за C-Level.

С тези три точки уредени, останалото е механично. Задължението е сериозно, но изпълнимо — и изпълнимо в нормално работно време, без да поставяте голяма програма за съответствие.

Прагматично начало: Ако искате да видите къде конкретно стои вашата компания, направете нашия AI Check. Конкретни въпроси, седем минути от вашето време, накрая персонализиран приоритетен план за действие — безплатно, без регистрация. Ако предпочитате реализацията да бъде придружена, нашите пакети AI обучение са създадени за средни европейски компании.

Член 4 е най-простото задължение в EU AI Act. Той е същевременно това, при което повечето компании ще се провалят, защото изглежда твърде маловажно. Не трябва да е така.

Източници

• EU AI Act, член 4 (AI компетентност)
• EU AI Act, член 99 (Санкции)
• Европейска комисия, „AI Literacy — Questions & Answers", Digital Strategy 2025
• Bundesnetzagentur, „Изкуствен интелект — KI-Service Desk и пазарен надзор"