Оперативен чеклист за съответствие

Чл. 4 EU AI Act — 12-точковият чеклист

Какво трябва да е готово до 2 август 2026 във всяка компания, която използва ИИ. Прагматично, без паника — и без юридически съвет.

Къде сте Вие? Стартирайте AI-проверката →Към чеклиста ↓

Към 25 май 2026 · Източници: BNetzA, Bitkom v2.0, Noerr, CMS, EU AI Office, IAPP, Travers Smith

02.02.2025

Чл. 4 в сила

Задължението действа от началото на 2025

02.08.2026

Прилагане започва

Надзорни правомощия се активират

10 седмици

остават

Към 25.05.2026 до началото на прилагането

BNetzA

Централен орган (DE)

KI-MIG · KoKIVO като Service Desk

Какво всъщност казва чл. 4 — накратко

Доставчиците и внедрителите на ИИ-системи трябва да гарантират достатъчно ниво на AI компетентност за своите служители и всички лица, които работят с ИИ от тяхно име. Мярката е контекстът на употреба, предварителните познания и засегнатите лица.

В оригиналния текст:

„Доставчиците и внедрителите на ИИ-системи предприемат мерки, за да гарантират в максимална степен достатъчно ниво на AI компетентност на своя персонал и на други лица, които се занимават с управлението и използването на ИИ-системите от тяхно име.“

Член 4 от EU AI Act (официален текст)

Кой се счита за „внедрител“ (deployer)?

Всяка организация, която използва ИИ-системи под своя власт — дори ако не е построила модела. Практически примери:

Microsoft Copilot за M365 (във Вашия tenant)
ChatGPT Team / Enterprise или Claude for Work
AI-функции в CRM, HRIS, ticketing, code-асистенти
Генеративен ИИ в маркетинг- и recruiting-инструменти

Доставчикът носи задължението по чл. 4 за своите служители. Вие като внедрител го носите за Вашите служители и подизпълнители, които използват системата от Ваше име.

5-те типични пропуска — какво намираме най-често

Срез от BNetzA, Bitkom v2.0, Noerr, Travers Smith, IAPP, Delbion, Hogan Lovells.

1 · Няма инвентар (Shadow AI)

Идентифицират се само очевидните инструменти — Copilot, ChatGPT. Вграденият ИИ в CRM/HRIS/ticketing, browser-разширения и code-редактори се пропуска. Delbion: типично 5–12 нерегистрирани инструмента на компания.

2 · Универсално обучение вместо специфично за роля

„Intro to AI“ за всички. BNetzA препоръчва триетапен модел (основи · задълбочаване · специфично за роля). Travers Smith: просто четене на инструкциите за употреба не е достатъчно.

3 · Има практика — но не е документирана

IAPP: компаниите често имат добри практики, но не могат да ги докажат. Списъци на участниците липсват, модулите не са версионирани, отговорностите са разпръснати из екипите.

4 · Еднократно обучение, отметнато като „готово“

Чл. 4 имплицитно изисква текущ refresher цикъл, защото ИИ-екосистемата се променя на тримесечие. Минимум: годишно опресняване, преглед на съдържанието на 6 месеца.

5 · Забравени подизпълнители и freelancer-и

Чл. 4 обхваща и „други лица, които от Ваше име“ използват ИИ — recruiting-агенции с CV-screening, freelance разработчици с code-асистенти, маркетинг-агенции с генеративен ИИ. Hogan Lovells: third-party management е сред топ 3 стъпки.

12-точковият чеклист — оперативен, не юридически съвет

Не е одитен стандарт — а работен списък. Можете да маркирате статуса на всяка точка локално (запазено само в браузъра Ви).

0 от 12 готови0%

01 · Инвентар на ИИ-системите
Централен регистър на всички AI-инструменти — вкл. вграден ИИ в SaaS продукти, browser-разширения и code-асистенти. Обновяване поне на тримесечие.
02 · Класификация по система
Доставчик vs. внедрител, рискова категория по Анекс III, контекст на употреба, клас данни — документирани за всяка система.
03 · Матрица роля-към-система
Кой какво използва, в какъв контекст за вземане на решения, под чия власт? Картата е изрична — не в главата.
04 · Цели на обучение по роля
Базови потребители (prompting, осведоменост за рискове), power users (валидация, халюцинации, prompt injection), oversight роли (чл. 14 / чл. 26(2)), ръководство (governance, отговорност).
05 · Триетапна учебна програма (BNetzA-модел)
(а) Основи на ИИ/данни и възможности/рискове; (б) задълбочаване правно-технически по Вашата верига на стойност; (в) специфично за роля (тех · право · етика).
06 · Прегледана документация на доставчиците
Instructions for use, system cards, model cards, DPIA-/FRIA входове от Microsoft, OpenAI, Anthropic & доставчици — и хора, които могат да ги четат и разбират.
07 · AI Acceptable Use Policy
Писмена, одобрена от ръководството, комуникирана. Правила за поверителни данни, клиентски данни, забранени случаи на употреба (чл. 5), задължения за разкриване (чл. 50).
08 · Записи за обучение
Име, роля, дата, модули, часове, оценка — пазени като audit evidence. Bitkom сертификат или еквивалент са ОК; сертификация не е задължителна.
09 · Refresher ритъм
Минимум веднъж годишно. Ad hoc при значими tool-rollouts или регулаторни промени. Преглед на съдържанието на всеки 6 месеца.
10 · Договори с доставчици и подизпълнители
Клаузи, изискващи еквивалент на чл. 4 ангажимент за компетентност. Доказателства при onboarding.
11 · Канал за инциденти и ескалация
Служителите знаят как да съобщават за грешки на ИИ, халюцинации, bias или prompt-injection. Каналът е документиран, инцидентите се логват.
12 · Работнически съвет & споразумение за ИИ
Co-determination (където е приложимо, напр. §87 BetrVG в DE) за обучения и инструменти за оценка на представянето. „Споразумение за ИИ“ като референтен документ.

Бонус: 30-минутният walkthrough-тест

Източник aiactblog.nl: Може ли отговорният мениджър да обясни в рамките на 30 минути кои системи съществуват, кой ги използва, на какво е обучена всяка роля, какви пропуски остават и какво е направило ръководството? Ако да — готови сте за прилагането.

Walkthrough-тест (aiactblog.nl)

Реалност за глобите: Чл. 4 НЕ е в чл. 99

Важно уточнение, което често се налага да повтаряме: Чл. 4 не е в каталога за глоби на чл. 99. Рискът се пробива по три косвени канала.

Утежняващ фактор

Чл. 99 позволява на органите да отчитат „други утежняващи или смекчаващи обстоятелства“. Ако високорискова система (чл. 26) се провали или забранена практика (чл. 5) се промъкне, липсата на компетентност по чл. 4 ще се ползва като доказателство за системен пропуск — глобите растат.

Нарушение на дължимата грижа

Noerr и CMS: пропускът може да бъде квалифициран от германските граждански съдилища като нарушение на Sorgfaltspflicht в искове за обезщетение, трудови дела или иск на акционери след ИИ-инцидент. Давностният часовник тече от 02.02.2025.

KI-MIG (Member-State penalties)

Чл. 99(1) задължава държавите-членки да въведат допълнителни санкции. В Германия носителят е KI-MIG (кабинет 11.02.2026, първо четене 20.03.2026). Окончателният обхват на глобите все още не е финализиран.

Нефинансовите рискове — те хапят още днес

Изключване от RFP / списък с доставчици: публичният сектор и корпорациите искат доказателства по чл. 4.
D&O застраховка: липсата на документация на програмата все повече се счита за рисков фактор.
ISO 42001 / SOC 2 / годишен одит: AI governance доказателствата стават задължителни.
Триене с работническия съвет: без споразумение, разгръщането на Copilot може да бъде блокирано.

Често задавани въпроси

1. Очакват ли се глоби конкретно по чл. 4 от 2 август 2026?

Чл. 4 не е директно в каталога на чл. 99. Глоби могат да възникнат косвено: като утежняващ фактор при други нарушения на AI Act, чрез предстоящия KI-MIG в Германия, или като нарушение на дължимата грижа в гражданско производство. Репутационните и procurement-последиците действат вече сега.

2. Използваме само Microsoft Copilot — ние ли сме „внедрител“?

Да. Всеки, който използва ИИ-система продуктивно под своята власт, е внедрител по смисъла на чл. 3(4). Доставчикът (Microsoft) носи задължението за своите служители — Вие за Вашите служители и подизпълнители.

3. Достатъчно ли е еднократно обучение — отметнато и готово?

Не. BNetzA и Bitkom v2.0 изискват refresher цикъл, защото инструментите и use-case-овете се променят тримесечно. Минимум: годишно опресняване, преглед на съдържанието на 6 месеца.

4. Има ли официален сертификат?

Не. Няма задължителен сертификат за чл. 4. Bitkom сертификати, вътрешни квалификации или записи за обучение са приемливи — важна е проследимата документация: име, роля, дата, модули, оценка.

5. Трябва ли да включим външни доставчици на услуги?

Да. Чл. 4 обхваща „други лица, които от Ваше име“ оперират или използват ИИ-системи — подизпълнители, freelancer-и и външни агенции. Hogan Lovells: third-party management е сред топ 3 стъпки.

6. А Швейцария?

Швейцария няма да приеме еквивалент на EU AI Act (решение на Федералния съвет 12.02.2025). Швейцарски компании, които продават ИИ-продукти в ЕС, попадат екстериториално; чисто швейцарски deployment-и не са покрити от чл. 4 към момента.

Къде стои Вашата компания — днес?

10 въпроса, 4 минути. Получавате светофарна оценка и персонализиран PDF анализ с петте най-важни пропуска във Вашата констелация. Безплатно, без регистрация, в съответствие с GDPR.

Стартирай AI-проверката →Резервирай консултация

Анонимно до последния въпрос · без AI разходи · без скрита продажба.

Източници и първични текстове

Този чеклист не е юридически съвет. Той е оперативен работен документ на базата на публично достъпни източници (BNetzA, Bitkom, EU AI Office, IAPP, германски и международни кантори) — към 25 май 2026. За правнообвързваща оценка на Вашия конкретен случай моля консултирайте се с квалифициран юрист.