7 lipca 2026 r. Komisja Europejska przedstawiła plan działania UE w zakresie cyberbezpieczeństwa i sztucznej inteligencji. Ten niewiążący komunikat (IP/26/1544) ujednolica wymogi wynikające z aktów AI Act i Cyber Resilience Act, dyrektywy NIS2 oraz przepisów dyrektywy RED dotyczących cyberbezpieczeństwa. Tworzy w ten sposób spójną mapę drogową dla zespołów ds. zgodności pracujących nad produktami podłączonymi do sieci. Publikacja planu ma miejsce 26 dni przed 2 sierpnia 2026 r., kiedy to zaczną obowiązywać wymogi AI Act dotyczące sztucznej inteligencji ogólnego przeznaczenia (GPAI) oraz większość przepisów dla systemów wysokiego ryzyka. Dokument wskazuje również obszary, na których agencja ENISA, AI Office oraz Joint Research Centre skoncentrują swoje działania nadzorcze i testowe do 2027 r.
Dla producentów sprzętu radiowego, telekomunikacyjnego i elektrycznego, którzy już dostosowują się do wymogów cyberbezpieczeństwa z art. 3.3(d)-(f) dyrektywy RED na podstawie rozporządzenia delegowanego (UE) 2022/30 oraz normy zharmonizowanej EN 18031, plan działania stanowi sygnał wyznaczający kierunek, a nie nowy obowiązek prawny. Dokument informuje zespoły zajmujące się oceną zgodności o tym, jakie kontrole, procedury oceny oraz bezpieczna infrastruktura testowa związana ze sztuczną inteligencją będą brane pod uwagę przez organy egzekwowania prawa na przełomie 2026 r. i 2027 r. Wskazuje też priorytetowe obszary inwestycji dla branży.
Co plan działania faktycznie zmienia w procesie oceny zgodności
Komunikat nie wprowadza nowych, wiążących przepisów. Jego rola ma charakter operacyjny: zobowiązuje Komisję, agencję ENISA oraz JRC do dostarczenia czterech konkretnych rozwiązań, które zespoły ds. zgodności powinny monitorować i w razie potrzeby uwzględnić w swoich programach przygotowań do wdrożenia aktów AI Act i CRA.
- Unijne zdolności w zakresie oceny cyberbezpieczeństwa AI, utworzone w ramach specjalnego zaproszenia do składania wniosków i planowane do uruchomienia w 2027 r. Wesprą one AI Office w zewnętrznej ocenie zaawansowanych modeli i związanych z nimi zagrożeń, uzupełniając GPAI Code of Practice, który staje się wiążący 2 sierpnia 2026 r.
- Opracowany przez ENISA europejski plan ustrukturyzowanego dostępu (Blueprint) do zaawansowanych możliwości sztucznej inteligencji, zapewniający publicznym i prywatnym organizacjom w Europie przejrzyste warunki korzystania z najbardziej wydajnych modeli na potrzeby cyberbezpieczeństwa.
- Bezpieczna platforma testowa JRC i agencji ENISA dla cyberbezpieczeństwa sztucznej inteligencji, obejmująca środowiska symulowane, skierowana do podmiotów z sektorów krytycznych (finanse, energia, zdrowie, transport i administracja publiczna).
- Inicjatywa EU Grand Challenge dotycząca AI i cyberbezpieczeństwa, a także wspierane przez ENISA partnerstwa między organami administracji, przedsiębiorstwami i społecznościami open source, w tym kampania na rzecz zabezpieczenia kluczowego oprogramowania o otwartym kodzie źródłowym.
Żadna z tych inicjatyw nie zastępuje oceny zgodności CE wymaganej na mocy dyrektywy RED lub aktu CRA. Stanowią one publiczną infrastrukturę, na której będą opierać się organy nadzorcze podczas oceny funkcji opartych na sztucznej inteligencji wbudowanych w produkty. Producenci mogą z nich korzystać dobrowolnie, jeszcze przed wejściem w życie wiążących wymogów.
Kogo dotyczą zmiany i od kiedy
Głównymi odbiorcami planu są menedżerowie ds. zgodności i cyberbezpieczeństwa produktów w europejskich firmach z branży radiowej, telekomunikacyjnej i elektrycznej, a także podmioty kluczowe i ważne w rozumieniu dyrektywy NIS2. Wiążące terminy, do których odnosi się dokument, pozostają bez zmian, jednak przypadają w krótkich odstępach czasu:
| Data | Obowiązujący wymóg | Akt prawny |
|---|---|---|
| 2 sierpnia 2026 r. | Egzekwowalne obowiązki dotyczące GPAI oraz większość przepisów AI Act dla systemów wysokiego ryzyka; oczekiwana zgodność z GPAI Code of Practice | Rozporządzenie (UE) 2024/1689 (AI Act) |
| 2 sierpnia 2026 r. | Wymogi cyberbezpieczeństwa z art. 3.3(d)-(f) dyrektywy RED mające zastosowanie od 1 sierpnia 2025 r.; domniemanie zgodności poprzez normę EN 18031 | Rozporządzenie delegowane (UE) 2022/30 (dyrektywa RED) |
| Koniec 2027 r. | Pełne stosowanie aktu Cyber Resilience Act: uwzględnianie bezpieczeństwa na etapie projektowania, zgłaszanie podatności i incydentów, ocena zgodności CE dla produktów z elementami cyfrowymi | Rozporządzenie (UE) 2024/2847 (CRA) |
| 2027 r. | Rozpoczęcie funkcjonowania unijnych zdolności oceny w zakresie cyberbezpieczeństwa AI | Zobowiązanie z planu działania (niewiążące) |
Dla producentów sprzętu radiowego lub urządzeń podłączonych do sieci, wprowadzających na rynek unijny funkcje wykorzystujące sztuczną inteligencję, harmonogram działań jest jasny: zgodność z AI Act dla komponentów wysokiego ryzyka od 2 sierpnia 2026 r., zgodność z wymogami cyberbezpieczeństwa dyrektywy RED dla interfejsów radiowych (już obowiązująca) oraz zgodność z aktem CRA dla elementów cyfrowych do końca 2027 r. Plan działania nie przesuwa tych terminów, lecz wskazuje, które organy UE będą oferować wsparcie na poszczególnych etapach wdrożenia.
Co zespoły ds. zgodności powinny zrobić już teraz
Po pierwsze należy przeanalizować wszystkie funkcje oparte na AI w oferowanych produktach radiowych, telekomunikacyjnych i elektrycznych pod kątem poziomów ryzyka z AI Act oraz zasadniczych wymogów cyberbezpieczeństwa określonych w art. 3.3(d)-(f) dyrektywy RED. Jeśli funkcja kwalifikuje się jako system wysokiego ryzyka, ocena zgodności i dokumentacja zarządzania ryzykiem muszą być gotowe przed 2 sierpnia 2026 r. Po drugie warto z odpowiednim wyprzedzeniem przygotować dokumentację dotyczącą CRA. Procesy uwzględniania bezpieczeństwa w fazie projektowania (security-by-design), wykaz materiałów oprogramowania (SBOM) oraz zgłaszanie podatności będą dokładnie weryfikowane po rozpoczęciu stosowania tego aktu w grudniu 2027 r., a nowa platforma testowa AI Office i ENISA posłuży do sprawdzania tych rozwiązań. Po trzecie należy śledzić rozwój inicjatyw takich jak Blueprint agencji ENISA oraz zaproszenia do budowy zdolności oceny na szczeblu UE. Zaleca się również wczesny kontakt z laboratoriami badawczymi lub jednostkami notyfikowanymi, ponieważ w okresie poprzedzającym 2027 r. ich zasoby będą mocno obciążone.
Narzędzia ciągłego monitorowania Obsidian śledzą komunikaty Komisji, wytyczne ENISA i aktualizacje norm zharmonizowanych w momencie ich publikacji. Pozwala to zespołom odpowiedzialnym za zgodność produktów natychmiast integrować nowe wymogi do swojej dokumentacji przygotowawczej bez konieczności ręcznego weryfikowania zmian każdego dnia.
Skorzystaj z tego monitoringu w czasie rzeczywistym
Kolejne kroki dla osób zarządzających zgodnością z przepisami: potwierdzenie stanu przygotowań na 2 sierpnia 2026 r. w zakresie wymogów AI Act dla funkcji wysokiego ryzyka, przekazanie informacji jednostce notyfikowanej i partnerowi ds. testów cyberbezpieczeństwa o czterech kluczowych elementach planu działania oraz uwzględnienie terminu grudzień 2027 r. z aktu CRA w planach rozwoju produktów jeszcze przed okresem wakacyjnym.


