Sotva se firmy začaly vypořádávat s NIS2, je tu druhá regulační vlna: evropské nařízení o umělé inteligenci, EU AI Act. A protože „nějakou AI" dnes používá skoro každá firma — od chatbota na webu přes nástroje na nábor po automatizaci ve výrobě — týká se to mnohem širšího okruhu organizací, než si většina myslí. Dobrá zpráva je, že čas máte. Špatná je, že většina článků na internetu pracuje se zastaralými termíny.
Co se v termínech reálně změnilo (stav 2026)
AI Act platí od srpna 2024 a jeho povinnosti nábíhají po fázích. Některé už běží: zákaz vyloženě nepřijatelných praktik AI platí od února 2025, pravidla pro obecné modely AI (GPAI) od srpna 2025.
Zásadní zlom ale přinesl Digital Omnibus — balíček úprav, na kterém se evropské instituce dohodly v květnu 2026 a který Evropský parlament schválil v červnu 2026 (formální dokončení v Radě se očekává následně). Ten posouvá nejtěžší povinnosti pro vysoce rizikové systémy:
- Systémy z přílohy III (rizikové podle účelu použití — typicky AI v náboru a personalistice, scoringu a podobně): povinnosti se posouvají z 2. srpna 2026 na 2. prosince 2027.
- Systémy z přílohy I (AI zabudovaná do regulovaných výrobků — např. strojní zařízení, zdravotnické prostředky): posun z 2. srpna 2027 na 2. srpna 2028.
Pozor ale — ne vše se odkládá. Většina povinností transparentnosti platí dál od 2. srpna 2026: musíte přiznat, že komunikuje chatbot, a označovat uměle generovaný obsah (deepfakes a podobně). Povinnost vkládat strojově čitelné značení do AI obsahu (watermarking) se posouvá na 2. prosince 2026, ke stejnému datu se váže nový zákaz systémů generujících nelegální intimní obsah a CSAM.
Důležité je pochopit povahu změny: je to odklad, ne zrušení. Riziková architektura nařízení i jeho jádro zůstávají v platnosti. A jak zdůrazňují i samy instituce — odklad má dát čas na přípravu, ne na nečinnost.
Proč „máme čas, tak počkáme" nedává smysl
Posun o rok a půl svádí k odložení. Jenže ta nejtěžší část souladu se s časem nezjednoduší. Nejde o vyplnění šablony dokumentace — jde o to najít ve firmě všechny systémy s AI (nakoupené, vestavěné i vlastní), správně každý zařadit do rizikové kategorie a tento přehled průběžně udržovat, jak přibývají nové nástroje. To je organizační práce, která trvá měsíce a nezávisí na tom, kdy budou hotové technické normy. Kdo začne teď, má rok a půl na vyladění. Kdo začne na podzim 2027, má týdny.
A ještě jeden důvod: dnešní škoda způsobená AI se neřídí termíny AI Actu, ale existujícími předpisy — ochranou osobních údajů (GDPR), antidiskriminačním právem, odpovědností za výrobek. Pořádek v tom, jakou AI a jak používáte, tedy potřebujete bez ohledu na harmonogram.
Co děláme: AI Act readiness
Pomáháme firmám připravit se strukturovaně a přiměřeně, ne v panice:
- Inventarizace AI — zmapujeme všechny systémy a nástroje s AI napříč firmou, včetně těch nakoupených a vestavěných.
- Klasifikace rizika — určíme, do které kategorie každé použití spadá a jaké povinnosti se na ně vztahují (a kde nová „lehčí" pravidla pro menší a střední podniky uleví).
- Gap analýza a plán — co je potřeba doplnit a do kdy, navázané na reálné termíny.
- Nastavení governance — politiky a procesy řízení AI, které obstojí i do budoucna a dají se rozumně udržovat.
Přirozené propojení s NIS2
AI Act a kybernetická bezpečnost jsou dvě strany téže mince — řízení rizik, dokumentace, odpovědnost vedení. Pokud už řešíte soulad s NIS2, dává smysl postavit obojí na společném základu a neřešit každou regulaci zvlášť. Přesně tak k tomu přistupujeme.
Proč informatika.cz
Spojujeme znalost regulace s praktickým IT pohledem a českým kontextem. Sledujeme vývoj nařízení průběžně (včetně posunů, které ještě procházejí legislativním procesem), takže nepracujete se zastaralými termíny ani se zbytečnou byrokracií — ale s tím, co se vás reálně týká.
Používáte ve firmě AI a nevíte, co pro vás AI Act znamená? Začněte nezávaznou konzultací — pomůžeme vám zjistit, čeho se to týká a jaký je váš rozumný první krok. Kontaktujte nás.
