Honnan tudom, hogy az AI rendszerünk magas kockázatú-e?

Két útvonalon lehet magas kockázatú a rendszer. (1) Article 6(1): ha az AI rendszer a 2024/1689 Annex I-ben felsorolt uniós termékbiztonsági szabályozás (orvostechnikai eszköz, járműbiztonság, gépek, játékok stb.) hatálya alá tartozó termékbe beépített biztonsági komponens. (2) Article 6(2) + Annex III: a nyolc kategória egyikébe tartozik — biometrikus azonosítás, kritikus infrastruktúra, oktatás, foglalkoztatás/HR, alapvető szolgáltatások (hitelbírálat, biztosítás, segélyezés, sürgősségi triázs), bűnüldözés, migráció/határőrség, igazságszolgáltatás és demokratikus folyamatok. Ha gyanús a besorolás, dokumentált gap-elemzést kell végezni — ez a 24 lépéses ellenőrzőlistánk első tétele.

Mekkora a maximális bírság a megfelelés elmulasztásáért?

Az Article 99 háromszintű bírságkeretet ír elő. Tiltott AI gyakorlat (Article 5): legfeljebb 35 millió EUR vagy az éves globális árbevétel 7%-a, amelyik a magasabb. Magas kockázatú AI nem-megfelelés (Article 16, 22-24, 26, 31, 33-34, 50): legfeljebb 15 millió EUR vagy 3%. Hatóságnak adott pontatlan tájékoztatás: 7,5 millió EUR vagy 1%. KKV-knál a százalék és az abszolút összeg közül az alacsonyabbat alkalmazzák — ez kis cégeknek érdemi enyhítés, de nem mentesít.

Mi a FRIA és mikor kötelező?

A FRIA (Fundamental Rights Impact Assessment, Article 27) az alapvető jogokra gyakorolt hatás vizsgálata, amelyet a magas kockázatú AI használata ELŐTT kell elvégezni. Kötelező az olyan deployer-ek számára, akik (a) közjogi szerv vagy magán alapvető szolgáltatást nyújtó szervezet, és (b) Annex III hatókörében használnak AI-t. A FRIA tartalmazza: a használati cél leírása, érintett személyek köre, a használat kockázatai, az emberi felügyelet módja, panaszkezelési eljárás, a károk elhárításának terve. Az eredményt a piacfelügyeleti hatósághoz kell bejelenteni.

Mi a teendő egy GPAI (általános célú AI) modellel?

Article 53 szerint minden GPAI szolgáltató köteles: (1) műszaki dokumentációt készíteni; (2) downstream integrátorok tájékoztatását biztosítani; (3) szerzői jogi politikát fenntartani (uniós szerzői jog tiszteletben tartása); (4) a tanítóanyagról kellően részletes összefoglalót közzétenni. A „rendszerszintű kockázattal járó” GPAI (10^25 FLOP feletti tréning, vagy az AI Office által kijelölt model) Article 55 alapján további kötelezettségeket kap: adversarial testing, súlyos incidensek bejelentése, kiberbiztonsági védelem. Ezek a kötelezettségek 2025. augusztus 2. óta alkalmazandók.

Magyarországon ki a felügyeleti hatóság?

A nemzeti AI hatóság kijelölésére a tagállamoknak Article 70 szerint van határidejük. 2026. május 4-én a magyar kormányrendelet még nem jelent meg a piacfelügyeleti hatóság(ok) kijelöléséről, így a hivatalos felügyelet egyelőre az NMHH, NAIH, MNB és más szektor-felügyeletek között oszlik meg az adott AI rendszer alkalmazási területe szerint. Az EU szintű AI Office (Article 64-69) a Bizottság DG CNECT alá tartozik és a GPAI-modellek felügyeletét közvetlenül látja el. Mi a magyar gap-helyzetre tekintettel az EU Bizottság útmutatásait alkalmazzuk default-ként, és követjük a hazai rendelet-megjelenést.

Mennyi időbe és pénzbe kerül a megfelelési projekt?

Egyetlen magas kockázatú AI rendszer Annex III gap-elemzése + dokumentációs csomag (műszaki dokumentáció Annex IV, FRIA, használati utasítás, post-market monitoring terv): 4-6 hét, 5-12 millió Ft. Ha a CE-megfelelőségi értékelés is szükséges, és az adott rendszer Notified Body audit-tal jár, +8-16 hét és +8-25 millió Ft a Notified Body díja és a tanúsítási projekt. Több AI rendszerre vagy GPAI integrátor szerepre 15-50 millió Ft, 3-6 hónap. Pontos árajánlatot 30 perces scoping call után adunk; a fenti AppForge-ranges, a Notified Body díjak külön tételek.

Mit tegyek MOST, ha nincs még kész compliance programom?

(1) AI inventory: készítsd el a használt AI rendszerek listáját (pl. ChatGPT pluginok, beépített Copilot, custom ML model, beszállítói AI komponens). (2) Risk-classify: minden tételt sorold a 4 kategória (tiltott / magas / korlátozott / minimális) egyikébe. (3) Gap-assess: a magas kockázatúakra futtass dokumentált gap-elemzést Annex IV szerint. (4) Roadmap: prioritás 2026.08.02-i határidőre. (5) AI literacy: tedd kötelezővé az AI képzést azoknak, akik AI-rendszereket használnak (Article 4 — már most alkalmazandó). Egy 30 perces ingyenes scoping call után konkrét cselekvési tervet adunk projekt-ár-sávval.

Reg. 2024/1689 · Annex III · 2026.08.02 határidő

EU AI Act magas kockázatú ellenőrzőlista 24 lépésben — 2026.08.02-i határidőre

Az AI Act (Regulation (EU) 2024/1689) magas kockázatú (Annex III) AI rendszereire 2026. augusztus 2-án válik alkalmazandóvá a teljes kötelezettségrendszer (Article 113). Ez az ellenőrzőlista a hivatalos uniós forrásokból dolgozott, magyar szempontok mentén — pontos cikkhivatkozásokkal, határidőkkel és bírság-szintekkel. Frissítve: 2026-05-04.

Kérek ingyenes AI Act gap-auditot

30 perc konzultáció

TL;DR

A magas kockázatú AI rendszerekre vonatkozó kötelezettségek 2026. augusztus 2-án válnak alkalmazandóvá (Article 113), kivéve a szabályozott termékbe ágyazott AI-t (Art. 6(1)) — annak a határideje 2027. augusztus 2.
Bírság-felső határ tiltott gyakorlatra: 35 M EUR vagy 7% globális árbevétel (Article 99(3)). Magas kockázatú nem-megfelelésre 15 M EUR vagy 3%.
A 8 magas kockázatú kategória (Annex III) magában foglalja a hitelbírálatot, biztosítási kockázat-értékelést, foglalkoztatási / HR rendszereket, oktatási scoring-ot — sok magyar KKV érintett, de nem tudja.
Article 4 (AI literacy) és Article 5 (tiltott gyakorlatok) már most alkalmazandóak — 2025-02-02 óta.
Az alábbi 24 lépéses checklist a hivatalos uniós forrásokból vezetjük le (források a lap alján).

Kinek készült ez a checklist

Neked való, ha…

· hitelbírálatban, biztosításban, HR-ben vagy egészségügyben használtok AI-t
· van termékben futó AI komponens (orvostech, jármű, gép)
· GPAI modellt integráltatok, akár OpenAI, Anthropic vagy nyílt LLM
· KKV vagytok és nem tudtok rá nagy compliance keretet

Nem neked való, ha…

· csak nyilvános ChatGPT-t használtok közvetlenül, AI-t nem építetek termékbe
· már van Notified Body-jal aláírt CE-tanúsítványod 2026.08.02-i hatállyal

Hivatalos időtervek (Article 113)

Forrás: artificialintelligenceact.eu/implementation-timeline és EUR-Lex 2024/1689.

Dátum	Cikk	Mi válik alkalmazandóvá
2024-08-01	Art. 113	Hatályba lépés (alkalmazás még nincs)
2025-02-02	Art. 113(a), 4, 5	Tiltott AI gyakorlatok és AI literacy kötelezettség
2025-08-02	Art. 113(b), Ch. III §4, Ch. V, VII, 78, 99, 100	Notified bodies, GPAI kötelezettségek, kormányzás, bírságok
2026-08-02	Art. 113 (általános)	Magas kockázatú AI (Art. 6(2), Annex III) teljes kötelezettsége
2027-08-02	Art. 6(1)	Annex I szabályozott termékbe ágyazott AI
2026-02-02	Art. 6(5), 72(3)	Bizottsági iránymutatások az Art. 6 alkalmazására
2026-08-02	Art. 57(1)	AI regulatory sandbox-ok operatív elindulása

A 4 kockázati kategória

Elfogadhatatlan (Art. 5) — TILTOTT

Pl. social scoring közhatóság részéről, valós idejű biometrikus azonosítás bűnüldözésben, érzelem-felismerés munkahelyen és oktatásban, súlyozott manipulatív technikák. Hatályos: 2025-02-02.

Magas kockázatú (Art. 6, Annex III)

Szigorú kötelezettségek: kockázatkezelés (Art. 9), adatkormányzás (Art. 10), műszaki dokumentáció (Art. 11), naplózás (Art. 12), átláthatóság (Art. 13), emberi felügyelet (Art. 14), pontosság és robusztusság (Art. 15), megfelelőségértékelés (Art. 43), CE-jelölés. Alkalmazandó 2026-08-02-től.

Korlátozott (Art. 50) — átláthatóság

Chatbot tájékoztatás kötelezettsége (Art. 50(1)), AI által generált tartalom gépileg olvasható jelölése (Art. 50(2)), érzelem-/biometriai felismerés érintett tájékoztatása (Art. 50(3)), deepfake-jelölés (Art. 50(4)).

Minimális — nincs kötelezettség

Játékok, spamszűrők, ajánlórendszerek többsége. Önkéntes magatartási kódexek (Art. 95) javasoltak, de nincs hatósági előírás.

Annex III — a 8 magas kockázatú kategória

Ha az AI rendszered az alábbi listából bármelyikbe tartozik, magas kockázatú a 2024/1689 Article 6(2) szerint, és a 2026.08.02-i határidőre teljes Annex IV műszaki dokumentációval, FRIA-val (Art. 27) és CE-megfelelőségi értékeléssel kell rendelkeznie.

Annex III pont 1
Biometria
Távoli biometrikus azonosítás (nem tiltott esetekben), érzelem-felismerés, biometrikus kategorizálás. Tiltott gyakorlatok az Article 5-ben.
Annex III pont 2
Kritikus infrastruktúra
Digitális infrastruktúra, közlekedés, víz, gáz, fűtés, áramellátás biztonsági komponense.
Annex III pont 3
Oktatás és szakképzés
Felvételi, vizsgaeredmény, plágium-detektálás, képzés-elosztás.
Annex III pont 4
Foglalkoztatás és HR
Toborzás (CV-szűrés), előléptetés, feladat-allokáció, monitoring, elbocsátási döntések.
Annex III pont 5
Alapvető szolgáltatások
Hitelbírálat, biztosítási árazás, állami/magán szociális ellátás jogosultság, sürgősségi triázs (911 / 112 dispatch).
Annex III pont 6
Bűnüldözés
Bűnözési kockázat-becslés, bizonyíték értékelés, profilalkotás, hazugságvizsgálat AI-jal.
Annex III pont 7
Migráció és határőrség
Vízum-igénylés, menedékjogi ügyek, biometrikus határátlépés, kockázat-becslés.
Annex III pont 8
Igazságszolgáltatás és demokrácia
Tényértelmezés bíró/ügyész munkájában, választási befolyás-detektálás.

Forrás: artificialintelligenceact.eu/high-level-summary.

Article 50 — átláthatóság (korlátozott kockázatúak)

Ha nem magas kockázatú a rendszered, akkor is lehet kötelezettséged. Az Article 50 négy bekezdése a következőket írja elő (paragraph 5 szerint mindegyiket „az első interakció vagy expozíció időpontjára” biztosítani kell):

Art. 50(1) — chatbot disclosure: a felhasználót tájékoztatni kell arról, hogy AI rendszerrel kommunikál, kivéve ha ez „észszerűen jól tájékozott természetes személy számára nyilvánvaló”.
Art. 50(2) — AI-generált tartalom jelölése: szintetikus hang, kép, videó, szöveg gépi olvasható jelölést kap (pl. C2PA, watermark).
Art. 50(3) — érzelem/biometriai disclosure: az érzelem-felismerés vagy biometriai kategorizáció alanyait tájékoztatni kell, GDPR-megfeleléssel együtt.
Art. 50(4) — deepfake címkézés: a deployer köteles a manipulált / generált tartalmat egyértelműen jelölni. Művészi és bűnüldözési mentesség korlátozott körben.

Forrás: artificialintelligenceact.eu/article/50.

GPAI kötelezettségek — Article 53–55

Minden GPAI szolgáltató (Art. 53)

Műszaki dokumentáció (Annex XI)
Downstream integrátorok tájékoztatása (Annex XII)
Szerzői jogi megfelelőségi politika (uniós copyright, opt-out tiszteletben tartása)
A tanítóanyagról „kellően részletes” összefoglaló közzététele

Rendszerszintű kockázatú GPAI (Art. 55) — additional

Adversarial testing (red-teaming) dokumentálva
Súlyos incidensek bejelentése AI Office felé
Fokozott kiberbiztonsági védelem
Modell-szintű kockázatértékelés és -mérséklés (a 10²⁵ FLOP küszöb felett vagy az AI Office döntése alapján)

GPAI kötelezettségek 2025. augusztus 2. óta alkalmazandók.

Article 99 — bírság-szintek

Maximum	Mire	Cikk
35 M EUR vagy 7%	Tiltott AI gyakorlatok (Art. 5)	Art. 99(3)
15 M EUR vagy 3%	Provider/representative/importer/distributor/deployer/ transparency kötelezettségek (Art. 16, 22-24, 26, 31, 33-34, 50)	Art. 99(4)
7,5 M EUR vagy 1%	Pontatlan/téves információ szolgáltatása notified body-knak vagy hatóságnak	Art. 99(5)

KKV és start-up esetén az alacsonyabb (százalék vagy abszolút) érték érvényes — Art. 99(6). A „vagy magasabb” elv a többi entitásnál.

Forrás: artificialintelligenceact.eu/article/99.

A 24 lépéses ellenőrzőlista

Sorrendben végrehajtható lista; minden lépés mellé feltüntettük a kapcsolódó cikket és a tipikus határidőt 2026.08.02-i go-live-ra visszafelé számolva.

01.
AI inventory készítése
Lista minden használt vagy tervezett AI rendszerről (saját, beszállítói, GPAI integráció).
Art. 3 (definíciók)
T-12 hó
02.
Risk-classification minden tételre
Tiltott / magas / korlátozott / minimális besorolás.
Art. 5–6, Annex III
T-12 hó
03.
Provider vs. deployer szerep tisztázása
Sok cég mindkét szerepet betölti — eltérő kötelezettségek.
Art. 3(3), 3(4)
T-12 hó
04.
AI literacy program (kötelező már most)
Munkavállalói képzés mindenkinek, aki AI-t használ.
Art. 4 — már alkalmazandó
Folyamatos
05.
Gap-elemzés Annex IV szerint
Műszaki dokumentációhoz hiányzó elemek listája.
Annex IV
T-10 hó
06.
Risk Management System (Art. 9)
Iteratív kockázatkezelési folyamat dokumentálva.
Art. 9
T-9 hó
07.
Adatkormányzás (Art. 10)
Tréning, validáció, teszt adathalmazok minőség, bias, reprezentativitás dokumentálva.
Art. 10
T-9 hó
08.
Műszaki dokumentáció elkészítése
Annex IV teljes csomag.
Art. 11, Annex IV
T-7 hó
09.
Naplózás (logging) bevezetése
Automatikus event log a rendszer teljes életciklusára.
Art. 12
T-7 hó
10.
Átláthatósági információk a deployer-nek
Használati utasítás (instructions for use).
Art. 13
T-6 hó
11.
Emberi felügyelet (human oversight)
Override-mechanizmus, monitorozás, kiképzett ember a hurokban.
Art. 14
T-6 hó
12.
Pontosság, robusztusság, kiberbiztonság
Mérési pipeline + threshold-ok dokumentálva.
Art. 15
T-5 hó
13.
Quality Management System (provider-eknek)
ISO 9001-szerű QMS az AI-folyamatokra.
Art. 17
T-5 hó
14.
FRIA (deployer közjogi/lényeges szerv)
Alapvető jogok hatás-értékelése a használat ELŐTT.
Art. 27
T-4 hó
15.
Article 50 átláthatósági implementáció
Chatbot disclosure, generated content marking, deepfake jelölés.
Art. 50(1)–(4)
T-4 hó
16.
Conformity Assessment Procedure
Belső kontroll vagy notified body audit (Annex VI/VII).
Art. 43, Annex VI–VII
T-3 hó
17.
EU Declaration of Conformity (DoC)
Aláírt EU DoC dokumentum.
Art. 47
T-3 hó
18.
CE-jelölés a rendszerre / dokumentációra
Fizikai és/vagy digitális jelölés a kíséretben.
Art. 48
T-3 hó
19.
Regisztráció az EU AI Database-be
Article 71 szerinti központi nyilvántartás.
Art. 71
T-2 hó
20.
Post-Market Monitoring (PMM) terv
Élesedés utáni proaktív megfigyelési rendszer.
Art. 72
T-2 hó
21.
Incident reporting eljárás
Súlyos AI incidens 15 napon belüli bejelentése (Article 73).
Art. 73
T-2 hó
22.
Beszállítói AI komponens szerződés-frissítés
Provider/deployer közötti felelősség-megosztás dokumentálva.
Art. 25 (importer), 27 (FRIA)
T-2 hó
23.
Belső audit + tabletop exercise
Próbaaudit a hatósági ellenőrzés szimulálására.
—
T-1 hó
24.
Élesedés 2026-08-02 + folyamatos megfelelés
Évente review, dokumentum-frissítés, képzés-megújítás.
Art. 72(1)
Folyamatos

Magyar kontextus 2026 májusában

Az Article 70 szerinti tagállami piacfelügyeleti hatóság(ok) kijelölésére vonatkozó kormányrendelet 2026 májusában még nem jelent meg. Addig is alkalmazandó: az Article 4 (AI literacy), az Article 5 (tiltott gyakorlatok), és a Chapter V GPAI rendelkezések. A magas kockázatú AI-ra a 2026.08.02-i határidő nem tolódik el. Az EU AI Office (a Bizottság DG CNECT alá) egyes ügyekben közvetlen joghatóságot gyakorol — különösen a GPAI modelleknél.

Mit tegyünk akkor, ha a magyar hatóság még nincs kijelölve? Dokumentáljuk a megfelelést a hivatalos uniós forrásokra (EUR-Lex 2024/1689, Bizottsági guidance) hivatkozva. Ha a kormányrendelet megjelenik, a már meglévő dokumentációt a hatósági elvárásokhoz igazítjuk — ez a saját AppForge-projekt-flow-nk.

Mibe kerül egy megfelelőségi projekt

Az alábbi sávok a saját, dokumentált projekt-tartományaink (lásd /pricing.md). Notified Body díja külön tétel — az NB lista a Bizottság hivatalos NANDO adatbázisában.

· Egyetlen rendszer Annex III gap-audit + dokumentációs csomag: 4-6 hét, 5-12 millió Ft
· Notified Body audit-előkészítés (ha 3rd party conformity assessment kell): +8-16 hét, +8-25 millió Ft (NB-díj plusz)
· Több AI rendszer / teljes program (3-6 rendszer, AI literacy roll-out): 3-6 hónap, 15-50 millió Ft
· GPAI integrátor / downstream provider csomag: 4-8 hét, 3-9 millió Ft
· Folyamatos compliance retainer (PMM, dokumentum-frissítés, incident-response): havi 0,3-1,2 millió Ft

Beszéljünk személyesen az iroda mellett

Amikor egy 35 M EUR-os bírság-szintű kockázat van a kérdés mögött, a 30 perces scoping call mindig megéri. Hív minket a +36 30 098 0767 telefonon, írj a balint@appforge.hu címre, vagy gyere be személyesen.

Budapesti iroda: 1054 Budapest, Szabadság tér 7. (Bank Center), 1. emelet 112. iroda · H–P 9:00–18:00 előzetes egyeztetéssel.

Hivatalos források

Frissítve: 2026-05-04. Az oldal nem helyettesíti a jogi tanácsadást. Konkrét kötelezettség-elemzéshez kérj scoping call-t.

GYIK

EU AI Act — gyakori kérdések

A 2024/1689 rendelet magas kockázatú (Annex III) AI rendszerekre vonatkozó szabályai 2026. augusztus 2-án válnak alkalmazandóvá (Article 113). Egyetlen kivétel: a már szabályozott termékekbe (Annex I, pl. orvostechnikai eszközök, járművek) beágyazott AI az Article 6(1) szerint 2027. augusztus 2-ig kap haladékot. A teljes rendelet 2024. augusztus 1-én lépett hatályba; a tiltott AI gyakorlatokra (Article 5) és az AI literacy kötelezettségre (Article 4) már 2025. február 2. óta számolni kell.

Kapcsolódó megoldások

Kapcsolódó témák

Az EU AI Act ritkán önálló projekt — a NIS2-vel és a vertikális AI-megoldásainkkal együtt érdemes nézni.

Indítsuk el a 2026.08.02-i határidőre az auditot

30 perces scoping call alatt feltérképezzük a magas kockázatú AI rendszereiteket és pontos ár-időbecslést adunk a megfelelési projektre.

Kérek AI Act gap-auditot →30 perc ingyenes konzultáció