90% Lietuvos įmonių nepasiruošusios ES DI aktui: praktinis atitikties planas
90% Lietuvos institucijų dar nepasiruošusios naujiems dirbtinio intelekto (DI) reikalavimams — ir laikrodis tiksi. 2026 m. rugpjūčio 2 d. įsigalioja pagrindiniai ES DI akto reikalavimai, o baudos siekia iki €35 mln. arba 7% metinės apyvartos. Tai ne tolima ateitis — tai mažiau nei šeši mėnesiai.
Šis straipsnis — ne teisinė analizė, o praktinis veiksmų planas: ką tiksliai daryti, kokia tvarka ir per kiek laiko. Jei ieškote išsamios ES DI akto apžvalgos — rizikos kategorijų, terminų, baudų struktūros — rekomenduojame mūsų ES DI akto vadovą Lietuvos verslui. Šiame straipsnyje koncentruojamės į veiksmus.
Kokie ES DI akto terminai svarbūs 2026 metais?
Svarbiausias terminas — 2026 m. rugpjūčio 2 d., kai įsigalioja reikalavimai didelės rizikos DI sistemoms: privaloma atitikties vertinimas, rizikos valdymo sistema, žmogaus priežiūra ir duomenų kokybės užtikrinimas.
| Data | Kas įsigalioja | Kam aktualu |
|---|---|---|
| 2025-02-02 | Draudžiamos DI praktikos | Visi |
| 2025-08-02 | GPAIS modelių reikalavimai | DI kūrėjai |
| 2026-08-02 | Didelės rizikos DI sistemos | Dauguma verslo DI naudotojų |
| 2027-08-02 | Visi likę reikalavimai | Visi DI naudotojai |
Svarbu žinoti: Net jei jūsų įmonė tik NAUDOJA DI (neprogramuoja), jūs esate „DI sistemos diegėjas" (deployer) pagal ES DI aktą ir turite atitikti tam tikrus reikalavimus. Tai apima ir SaaS įrankius — ChatGPT, Copilot, CRM su DI funkcijomis.
Kaip sužinoti, ar mūsų DI sistema yra „didelės rizikos"?
DI sistema laikoma didelės rizikos, jei ji naudojama vienoje iš 8 sričių: biometrinė identifikacija, kritinė infrastruktūra, švietimas, įdarbinimas, esminės paslaugos, teisėsauga, migracija arba teisingumo administravimas. Dauguma verslo DI sprendimų — pokalbių robotai, analitika, automatizavimas — patenka į ribotos arba minimalios rizikos kategoriją.
| Rizikos lygis | Pavyzdžiai | Reikalavimai |
|---|---|---|
| Nepriimtina rizika (draudžiama) | Socialinis kreditas, manipuliatyvus DI | Draudžiama nuo 2025-02 |
| Didelė rizika | DI įdarbinime, kreditų vertinime, medicininėje diagnostikoje | Pilna atitiktis nuo 2026-08 |
| Ribota rizika | Pokalbių robotai, turinio generavimas | Skaidrumo pareiga (informuoti, kad tai DI) |
| Minimali rizika | Duomenų analitika, vidinė automatizacija, rekomendacijos | Jokių specifinių reikalavimų |
Ką tai reiškia praktiškai? Dauguma tipinių verslo DI sprendimų — pokalbių robotai klientų aptarnavime, pardavimų analitika, dokumentų apdorojimas, vidinė automatizacija — patenka į ribotos arba minimalios rizikos kategorijas. Jei naudojate DI šiose srityse, pagrindinė pareiga — informuoti vartotojus, kad jie bendrauja su DI sistema. Tačiau jei naudojate DI darbuotojų atrankai, kreditingumo vertinimui ar kitose jautriose srityse — jūsų sistema yra didelės rizikos, ir reikalavimai žymiai griežtesni.
Ką konkrečiai reikia padaryti iki 2026 m. rugpjūčio?
Keturi pagrindiniai žingsniai: inventorizuoti visas naudojamas DI sistemas, klasifikuoti jas pagal rizikos lygį, didelės rizikos sistemoms įdiegti rizikos valdymą ir žmogaus priežiūrą, dokumentuoti atitiktį.
1. DI inventorizacija (1–2 savaitės)
Surašykite visas DI sistemas, kurias naudojate — ir tas, kurios atrodo „nereikšmingos". Daugelis įmonių naudoja daugiau DI nei mano.
Įtraukite: ChatGPT ir kitus DI asistentus, „Copilot" tipo įrankius, CRM ir ERP su DI funkcijomis, analitikos platformas, el. pašto filtrus, rekomenduojamas sistemas.
Kiekvienai sistemai užpildykite:
| Sistema | Paskirtis | Tiekėjas | Duomenų tipai | Rizikos kategorija |
|---|---|---|---|---|
| Pvz.: ChatGPT | Vidinė komunikacija, tekstų rengimas | OpenAI | Vidiniai dokumentai | Minimali |
| Pvz.: DI CV filtras | Kandidatų atranka | Tiekėjas X | Asmens duomenys | Didelė |
2. Rizikos klasifikacija (1 savaitė)
Kiekvienai sistemai nustatykite rizikos kategoriją pagal aukščiau pateiktą lentelę. Trys klausimai, kurie padeda:
- Ar sistema priima sprendimus, turinčius įtaką žmonių teisėms? Jei taip — didelė rizika.
- Ar sistema veikia jautrioje srityje (įdarbinimas, finansai, švietimas, teisėsauga)? Jei taip — didelė rizika.
- Ar vartotojai žino, kad bendrauja su DI? Jei ne — bent ribota rizika, reikia skaidrumo.
Dauguma Lietuvos įmonių pastebės, kad jų DI sistemos patenka į minimalios arba ribotos rizikos kategorijas. Tai gera žinia — reikalavimai čia minimalūs.
3. Atitikties priemonės (2–8 savaitės)
Priemonės priklauso nuo rizikos kategorijos:
- Minimali rizika — jokių specifinių veiksmų, tik bendrasis DI raštingumas (jau galioja).
- Ribota rizika — pridėkite informavimą, kad naudojamas DI. Pokalbių robotui — aiški žinutė „bendraujate su DI asistentu". DI sugeneruotam turiniui — atitinkamas žymėjimas.
- Didelė rizika — rizikos valdymo sistema, duomenų kokybės valdymas, žmogaus priežiūros mechanizmas, techninė dokumentacija, atitikties vertinimas.
4. Dokumentacija ir auditas (nuolat)
Užfiksuokite visus sprendimus ir procesus. Net jei šiandien audito nėra — dokumentavimo kultūra apsaugo jus ateityje. Fiksuokite: kokias DI sistemas naudojate, kodėl, kaip užtikrinate žmogaus priežiūrą, kokie duomenys naudojami.
Kas yra Lietuvos DI smėlio dėžė ir kaip ji padeda?
Lietuvos DI reguliavimo smėlio dėžė — tai Inovacijų agentūros kuriama aplinka, kurioje įmonės gali testuoti savo DI sprendimus ir gauti ekspertų konsultacijas dėl ES DI akto atitikties prieš oficialų diegimą. Prioritetas teikiamas mažoms ir vidutinėms įmonėms.
Praktiškai tai reiškia:
- Individualios konsultacijos — ekspertai padės klasifikuoti jūsų DI sistemas pagal rizikos kategorijas ir nurodys, kokių priemonių reikia.
- Testavimo aplinka — galimybė testuoti DI sprendimus realiomis sąlygomis prieš pateikiant rinkai.
- Skaičiavimo ištekliai — prieiga prie infrastruktūros DI produktams kurti ir tobulinti.
- Kaina: nemokama — tai valstybės finansuojama programa (€7,5 mln. skirta smėlio dėžei ir reguliacinei pagalbai).
Per trejus metus planuojama aptarnauti apie 60 įmonių per 5 programos ciklus. Vietų skaičius ribotas, todėl kreiptis verta kuo anksčiau.
Svarbu žinoti: Smėlio dėžė leidžia testuoti DI sprendimus saugioje aplinkoje ir gauti atitikties rekomendacijas PRIEŠ investuojant į pilną diegimą. Tai ypač naudinga įmonėms, kurios dar tik planuoja DI projektus.
Apie visas DI finansavimo galimybes — įskaitant iki €70 000 paramą DI diegimui — rašėme čia.
Kokios baudos gresia už ES DI akto pažeidimą?
Baudos už ES DI akto pažeidimus siekia iki €35 mln. arba 7% metinės pasaulinės apyvartos (kas didesnis) už draudžiamų praktikų naudojimą. Didelės rizikos sistemų pažeidimams — iki €15 mln. arba 3% apyvartos. MVĮ taikomos proporcingesnės baudos.
| Pažeidimo tipas | Maksimali bauda | MVĮ nuolaida |
|---|---|---|
| Draudžiamos DI praktikos | €35 mln. / 7% apyvartos | Proporcinga |
| Didelės rizikos reikalavimai | €15 mln. / 3% apyvartos | Proporcinga |
| Klaidinga informacija | €7,5 mln. / 1% apyvartos | Proporcinga |
Realistiškai — pirmaisiais metais tikrinimų bus nedaug, ir institucijos greičiausiai koncentruosis į švietimą, o ne baudas. Tačiau dokumentuota atitiktis apsaugo jus bet kuriuo atveju: jei klientas, darbuotojas ar konkurentas pateikia skundą — turėsite ką parodyti.
Ar mūsų DI tiekėjas atsakingas už atitiktį?
Ne — ES DI aktas nustato pareigas ir DI tiekėjui (provider), ir diegėjui (deployer). Net jei perkate DI sprendimą iš trečiosios šalies, jūs kaip diegėjas privalote užtikrinti, kad jis naudojamas pagal paskirtį, vykdoma žmogaus priežiūra ir laikomasi skaidrumo reikalavimų.
Tiekėjas atsako už tai, kad sistema atitinka techninius reikalavimus, pateikia dokumentaciją ir atlieka atitikties vertinimą. Diegėjas (jūs) atsako už tai, kad sistema naudojama pagal paskirtį, vartotojai informuojami ir veikia žmogaus priežiūra.
5 klausimai, kuriuos turėtumėte užduoti savo DI tiekėjui:
- Ar sistema klasifikuota pagal ES DI aktą? Tiekėjas turi žinoti, kokiai rizikos kategorijai priklauso jo produktas.
- Ar pateikiate techninę dokumentaciją? Didelės rizikos sistemoms tai privaloma.
- Ar yra žmogaus priežiūros mechanizmas? Kaip galima stebėti ir koreguoti sistemos sprendimus?
- Kaip valdomi duomenys ir jų kokybė? Ar duomenys atitinka BDAR ir DI akto reikalavimus?
- Ar galite padėti su atitikties dokumentacija? Geras tiekėjas padeda, o ne palieka jus vienus.
Jei jūsų tiekėjas negali atsakyti į šiuos klausimus — tai rimtas signalas svarstyti alternatyvas.
6 mėnesių veiksmų planas (iki 2026 m. rugpjūčio)
Per 6 mėnesius iki termino galima pilnai pasiruošti. Štai konkretus planas:
| Mėnuo | Veiksmas | Trukmė |
|---|---|---|
| 1 (kovas) | DI sistemų inventorizacija | 1–2 sav. |
| 2 (balandis) | Rizikos kategorijų nustatymas | 1 sav. |
| 3–4 (gegužė–birželis) | Atitikties priemonių diegimas | 2–8 sav. |
| 5 (liepa) | Dokumentacijos paruošimas | 2 sav. |
| 6 (rugpjūtis) | Vidinis auditas ir koregavimai | 1–2 sav. |
Dauguma Lietuvos įmonių, kurių DI sistemos patenka į minimalios arba ribotos rizikos kategorijas, realiai gali pasiruošti per 2–4 savaites. Pilnas 6 mėnesių planas aktualus toms įmonėms, kurios turi didelės rizikos DI sistemų — pavyzdžiui, DI personalo atrankoje ar kreditingumo vertinime.
Apibendrinimas
ES DI aktas nėra kliūtis verslui — tai struktūra, kuri padeda naudoti DI atsakingai. Dauguma Lietuvos įmonių jau atitinka didžiąją dalį reikalavimų net to nežinodamos — ypač jei naudoja DI tik vidinei automatizacijai, analitikai ar klientų aptarnavimui.
Svarbiausia — neignoruoti. 90% Lietuvos institucijų dar nepasiruošusios ne todėl, kad reikalavimai per sudėtingi, o todėl, kad dar nepradėjo. Pradėti galima šiandien: surašykite, kokias DI sistemas naudojate, ir klasifikuokite jas pagal riziką. Tai užtrunka dieną, o ne mėnesį.
Norite įvertinti, ar jūsų DI sistemos atitinka ES DI akto reikalavimus? Susisiekite su WiseMonks komanda — nemokamos konsultacijos metu padėsime inventorizuoti jūsų DI sistemas, nustatyti rizikos kategorijas ir paruošti veiksmų planą.