Europska je komisija 7. srpnja 2026. predstavila Akcijski plan EU-a za kibersigurnost i umjetnu inteligenciju, neobvezujuću Komunikaciju (IP/26/1544) koja objedinjuje AI Act, Cyber Resilience Act, direktivu NIS2 i pravila o kibersigurnosti iz direktive RED u jedinstveni operativni plan za timove zadužene za sukladnost povezanih proizvoda. Plan se objavljuje 26 dana prije nego što obveze iz AI Acta za umjetnu inteligenciju opće namjene (GPAI) i većina odredbi za visokorizične sustave postanu provedive 2. kolovoza 2026. te naznačuje gdje će ENISA, Ured za umjetnu inteligenciju i Zajednički istraživački centar (JRC) usmjeriti svoje nadzorne i ispitne kapacitete do 2027.

Za proizvođače radijske, telekomunikacijske i električne opreme koji se već prilagođavaju zahtjevima kibersigurnosti iz članka 3.3.(d)-(f) direktive RED prema aktu Delegated Regulation (EU) 2022/30 i usklađenoj normi EN 18031, Akcijski plan predstavlja signal za budućnost, a ne novu pravnu obvezu. Timovima za ocjenjivanje sukladnosti jasno ukazuje na to koje će kontrole vezane uz umjetnu inteligenciju, kanale evaluacije i infrastrukturu za sigurno testiranje nadzorna tijela koristiti od 2026. do 2027. te u što Komisija očekuje da će industrija sada ulagati.

Što Akcijski plan zapravo mijenja u pogledu sukladnosti povezanih proizvoda

Ova Komunikacija ne uvodi nikakva nova obvezujuća pravila. Njezina je težina operativna: obvezuje Komisiju, agenciju ENISA i JRC na isporuku četiri konkretna rješenja koje bi timovi za sukladnost povezanih proizvoda trebali pratiti i, gdje je to primjenjivo, integrirati u svoje programe pripreme za AI Act i CRA.

  • Kapacitet EU-a za evaluaciju kibersigurnosti umjetne inteligencije, uspostavljen putem namjenskog poziva, a očekuje se da će postati operativan 2027. Služit će kao temelj za neovisne procjene naprednih modela i njihovih rizika koje provodi Ured za umjetnu inteligenciju, čime se nadopunjuje GPAI Code of Practice koji postaje obvezujući 2. kolovoza 2026.
  • Europski plan (Blueprint) agencije ENISA za strukturirani pristup naprednim mogućnostima umjetne inteligencije, koji javnim i privatnim europskim organizacijama pruža transparentne uvjete za korištenje najsposobnijih modela u slučajevima primjene u kibersigurnosti.
  • Sigurna JRC-ENISA platforma za testiranje kibersigurnosti umjetne inteligencije, uključujući simulirana okruženja, usmjerena na operatere u kritičnim sektorima (financije, energetika, zdravstvo, promet, javna uprava).
  • EU Grand Challenge za primjenu umjetne inteligencije u kibersigurnosti, uz partnerstva pod vodstvom agencije ENISA između nadležnih tijela, tvrtki i zajednica otvorenog koda, što uključuje i kampanju za osiguravanje kritičnog softvera otvorenog koda.

Ništa od navedenog ne zamjenjuje ocjenjivanje sukladnosti za oznaku CE u okviru direktive RED ili akta CRA. Riječ je o kapacitetima javnog sektora na koje će se nadzorna tijela oslanjati pri procjeni funkcija temeljenih na umjetnoj inteligenciji unutar povezanih proizvoda te u koje se dobavljači mogu dobrovoljno uključiti prije nego što obveze stupe na snagu.

Tko je obuhvaćen i u kojem roku

Voditelji sukladnosti i menadžeri za kibersigurnost proizvoda kod proizvođača radijske, telekomunikacijske i povezane električne opreme u EU-u primarna su industrijska publika, uz ključne i važne subjekte obuhvaćene direktivom NIS2. Obvezujući rokovi na koje se Akcijski plan odnosi ostaju nepromijenjeni, ali su usko grupirani:

DatumObveza na snaziInstrument
2. kolovoza 2026.Obveze za GPAI i većina odredbi AI Acta za visokorizične sustave postaju provedivi; očekuje se sukladnost s okvirom GPAI Code of PracticeRegulation (EU) 2024/1689 (AI Act)
2. kolovoza 2026.Kibersigurnosni zahtjevi iz članka 3.3.(d)-(f) direktive RED već su primjenjivi od 1. kolovoza 2025.; pretpostavke sukladnosti putem norme EN 18031RED Delegated Regulation (EU) 2022/30
Kraj 2027.Cyber Resilience Act u potpunosti primjenjiv: sigurnost od faze dizajna, izvješćivanje o ranjivostima i incidentima, sukladnost i oznaka CE za proizvode s digitalnim elementimaRegulation (EU) 2024/2847 (CRA)
2027.Kapacitet EU-a za evaluaciju kibersigurnosti umjetne inteligencije postaje operativanObveza iz Akcijskog plana (neobvezujuća)

Za dobavljača radijskih ili povezanih uređaja koji na tržište EU-a stavlja funkciju temeljenu na umjetnoj inteligenciji, praktičan redoslijed je sljedeći: sukladnost s AI Actom za visokorizičnu komponentu od 2. kolovoza 2026., kibersigurnosna sukladnost u okviru direktive RED za radijsko sučelje koja je već na snazi te sukladnost u okviru CRA za digitalne elemente proizvoda do kraja 2027. Akcijski plan ne pomiče te datume, već jasno određuje koja će tijela EU-a biti na raspolaganju za podršku na svakoj od tih razina.

Što bi timovi za sukladnost trebali učiniti sada

Kao prvo, potrebno je mapirati svaku funkciju temeljenu na umjetnoj inteligenciji u vašem portfelju radijskih, telekomunikacijskih ili električnih proizvoda prema razinama rizika iz AI Acta te bitnim kibersigurnosnim zahtjevima iz članka 3.3.(d)-(f) direktive RED. Kada je funkcija klasificirana kao visokorizična, ocjena sukladnosti i dokumentacija o upravljanju rizicima moraju biti spremni prije 2. kolovoza 2026., a ne nakon toga. Drugo, važno je rano pripremiti dokumentaciju za CRA: procesi izvješćivanja o ranjivostima i incidentima, softverska specifikacija materijala (SBOM) i dokazi o sigurnosti od faze dizajna bit će predmet provjere u sklopu primjene CRA u prosincu 2027., a Ured za umjetnu inteligenciju i platforma za testiranje agencije ENISA bit će u poziciji tražiti te dokaze za komponente koje uključuju umjetnu inteligenciju. Treće, pratite Blueprint agencije ENISA i poziv za kapacitet EU-a za evaluaciju dok prelaze iz faze obveze u konkretne isporuke te razmotrite ranu suradnju s vašim laboratorijem za ispitivanje ili prijavljenim tijelom, jer će kapaciteti u razdoblju prije 2027. biti ograničeni.

Neprestano praćenje po jurisdikcijama koje nudi Obsidian omogućuje trenutni uvid u komunikacije Komisije, smjernice agencije ENISA i ažuriranja usklađenih normi čim se objave. Zahvaljujući tome, tim za sukladnost povezanih proizvoda može svako novo rješenje integrirati u svoju dokumentaciju o spremnosti bez potrebe za ručnim ponavljanjem svakodnevnih provjera.

Iskoristite ovo praćenje u stvarnom vremenu

Cyber Resilience Act reporting dutiesUživo
Monitor the CRA reporting milestone for the radio, telecom and electrical equipment industry.
Svaki sat Email 7 vijesti
Ovaj je zadatak praćenja uživo otkrio vijest koju čitate.
Aktivirajte ovo praćenje besplatno

Sljedeći koraci za voditelje sukladnosti: potvrdite status sukladnosti s AI Actom do 2. kolovoza 2026. za svaku visokorizičnu funkciju, informirajte svoje prijavljeno tijelo i partnera za kibersigurnosno testiranje o četiri konkretna rješenja iz Akcijskog plana te uvrstite rok iz CRA za prosinac 2027. u preglede planova razvoja proizvoda već sada, a ne nakon ljetne stanke.