Drogi Czytelniku,
W środę Parlament Europejski stosunkiem głosów 569 do 45 przyjął stanowisko negocjacyjne w sprawie nowelizacji AI Act. Dziewięć miesięcy po wejściu rozporządzenia w życie. Wiele nagłówków oznajmiło: termin Compliance dla systemów AI wysokiego ryzyka przesunięto o szesnaście miesięcy.
Te nagłówki są przedwczesne. Parlament zagłosował za otwarciem negocjacji trójstronnych, a nie za uchwaleniem prawa. Omnibus to propozycja. Oryginalne terminy pozostają prawnie wiążące do momentu publikacji ostatecznego tekstu. Parlament i Rada uzgodniły, co chcą negocjować — nie to, co się wydarzy.
🎬 Wolisz wideo? Nagrałem szersze wprowadzenie do nowelizacji AI Act jeszcze przed głosowaniem PE. Główne przesłanie się nie zmieniło — głosowanie je wzmocniło. Obejrzyj na YouTube →
Tempo mówi samo za siebie#
Digital Omnibus przeszedł drogę od propozycji Komisji (listopad 2025) do przyjęcia stanowisk negocjacyjnych przez obu współlegislatorów w cztery miesiące. Dla kontekstu: GDPR zajęło cztery lata. Sam AI Act — trzy. Jak na standardy UE, to tempo jest nadzwyczajne.
Impulsem nie były kwestie techniczne. Raport Draghiego (wrzesień 2024) wezwał do „radykalnego uproszczenia" regulacji unijnych, wskazując na dwudziestoprocentowy wzrost kosztów zarządzania danymi w europejskich firmach. Von der Leyen odpowiedziała poleceniem cięcia obciążeń administracyjnych o 25% — o 35% dla MŚP. Od stycznia 2025 roku Komisja uruchomiła sześć pakietów omnibusowych obejmujących zrównoważony rozwój, inwestycje, cyfryzację, rolnictwo, obronność i przemysł chemiczny. Ponad połowa produkcji legislacyjnej Komisji w 2026 roku jest ogłaszana jako uproszczenia.
AI Omnibus to jeden element szerszego Digital Omnibus, który dotyka również GDPR, ePrivacy, NIS2, DORA i dyrektywy o odporności podmiotów krytycznych. Uchyla wprost cztery rozporządzenia. AI Act nie jest nowelizowany w izolacji. Jest nowelizowany w ramach programu politycznego mającego obniżyć koszty europejskiej regulacji dla przemysłu.
To kontekst, który ma znaczenie dla tego, co dalej.
Co współlegislatorzy proponują zmienić#
Termin. Systemy wysokiego ryzyka z Załącznika III (biometria, zatrudnienie, scoring kredytowy, edukacja, organy ścigania, migracja) miałyby zostać przesunięte z 2 sierpnia 2026 na 2 grudnia 2027. Systemy z Załącznika I (AI w produktach regulowanych) — na 2 sierpnia 2028. Zarówno Parlament, jak i Rada odrzuciły pierwotny mechanizm Komisji — warunkowy wyzwalacz uzależniony od gotowości standardów — i zaproponowały zamiast tego sztywne daty.
Zakres dla produktów regulowanych. Parlament proponuje usunięcie Sekcji A Załącznika I, przenosząc rozporządzenie o wyrobach medycznych, rozporządzenie maszynowe i rozporządzenie IVD do Sekcji B. AI wbudowana w produkty regulowane byłaby oceniana przede wszystkim na podstawie legislacji sektorowej, nie AI Act. Dla podmiotów wdrażających oprogramowanie — banków, ubezpieczycieli, działów HR — nie zmieniłoby się nic.
Nowy zakaz. Art. 5 ust. 1 lit. h) zakazałby systemów AI generujących intymne obrazy bez zgody. Bezpośredni impuls to incydent z Grokiem: 4,4 miliona obrazów w dziewięć dni, w tym 1,8 miliona zseksualizowanych obrazów kobiet i 23 000 obrazów dzieci. Proponowana kara: 150 mln zł lub 7% globalnego obrotu. Obaj współlegislatorzy to przyjęli — to element, który najprawdopodobniej przejdzie przez negocjacje bez zmian.
Ochrona MŚP. Oba stanowiska rozszerzają uproszczoną ścieżkę Compliance na „małe średnie przedsiębiorstwa" — łagodząc ostry próg przy 250 pracownikach.
Czego Komisja chciała, ale nie dostała#
Komisja zaproponowała zniesienie obowiązku rejestracji systemów AI w unijnej bazie, gdy dostawcy sami oceniają swoje systemy jako niebędące wysokiego ryzyka. Obaj współlegislatorzy powiedzieli: nie.
Komisja zaproponowała złagodzenie progu przetwarzania danych przy wykrywaniu biasu — z „ściśle niezbędne" na „niezbędne" — i rozszerzenie go na wszystkie systemy AI. Parlament i Rada przywróciły „ściśle niezbędne" i ograniczyły rozszerzenie do przypadków wyjątkowych.
Komisja zaproponowała całkowite usunięcie obowiązku AI literacy dla dostawców i podmiotów wdrażających, przenosząc odpowiedzialność na Komisję i państwa członkowskie poprzez środki niewiążące. Parlament się sprzeciwił, przywracając ten obowiązek — choć w łagodniejszej formie niż w oryginalnym rozporządzeniu („wspieranie poprawy" zamiast „zapewnienie"). Rada pozostała bliżej lżejszego podejścia Komisji. To dziś najostrzejsza rozbieżność negocjacyjna: kto odpowiada za gotowość pracowników do pracy z AI — firmy czy rządy?
Schemat jest wyraźny: EDPB i EDPS opublikowały Joint Opinion 1/2026 w styczniu, krytycznie oceniając rozluźnienie. Omnibus, który wyłoni się z negocjacji, będzie bardziej zachowawczy, niż Komisja zamierzała.
Co się nie zmieniło#
Obowiązki podmiotów wdrażających z art. 26 — wszystkie trzynaście — bez zmian. Domeny wysokiego ryzyka z Załącznika III — wszystkie osiem — bez zmian. Praktyki zakazane z art. 5 — rozszerzone, nie ograniczone. Struktura kar — bez zmian. Obowiązek rejestracji — pozostaje.
Jeśli twój system AI scoruje wnioski kredytowe, filtruje CV, zarządza infrastrukturą energetyczną lub wspiera decyzje organów ścigania, żadne z wymagań nie zmieniłoby się w ramach Omnibusa. Dostałbyś tylko więcej czasu.
Luka infrastrukturalna#
„Europa reguluje szybciej, niż jest w stanie wdrożyć." Ta obserwacja, z cyberprawo.org, to najcelniejsze zdanie napisane o tym głosowaniu.
Nie opublikowano zharmonizowanych standardów. CEN/CENELEC nie dotrzymał terminu dostarczenia na 2025 rok. Najwcześniejsza realistyczna dostępność to Q4 2026. Bez standardów firmy nie mogą wykazać zgodności przez domniemanie — nawet te, które chcą być zgodne, nie mają uznanej ścieżki, żeby to zrobić.
Tylko osiem z dwudziestu siedmiu państw członkowskich wyznaczyło organy właściwe ds. AI Act. Termin upłynął w sierpniu 2025. Dziewiętnaście jest spóźnionych o siedem miesięcy.
Polski kontekst: ustawa wdrażająca (projekt UC71) wciąż jest w fazie projektu. Proponowanym organem nadzoru jest KRiBSI — nowy urząd, nie UODO. UODO publicznie skrytykowało sprowadzenie swojej roli do doradczej. KRiBSI jeszcze nie funkcjonuje. Nie opublikowano polskojęzycznych wytycznych klasyfikacji z Załącznika III. Wydłużenie terminów kupuje czas, ale czas bez infrastruktury to dłuższy pas startowy do tej samej ściany.
Jeszcze jeden szczegół. Omnibus to jeszcze nie prawo. Negocjacje się nie rozpoczęły. Jeśli trzy instytucje nie osiągną porozumienia i nie opublikują ostatecznego tekstu w Dzienniku Urzędowym przed 2 sierpnia 2026, oryginalne terminy zaczynają obowiązywać natychmiast. OneTrust nazwał wstrzymanie prac nad Compliance „kosztownym hazardem". Hogan Lovells zalecił kontynuowanie przygotowań. Podejście AiActo wydaje się najrozsądniejsze: „Przygotowuj się, jakby sierpień 2026 był realny; planuj, jakby grudzień 2027 był prawdopodobną datą egzekwowania."
Druga fala, której nikt nie obserwuje#
Digital Fitness Check — drugi etap programu upraszczania — zamknął konsultacje publiczne 11 marca. Obejmuje GDPR, AI Act, Data Act, NIS2, DSA, DMA i prawo ochrony konsumentów. Ponad 100 ustaw, 270 regulatorów. Raport Komisji jest spodziewany w Q1 2027, z propozycjami legislacyjnymi w latach 2027-2028.
Bird & Bird już nazwało Omnibus „AI Act 2.0". AI Act obowiązywał ledwie rok, zanim zaproponowano istotne nowelizacje. To nie jest jednorazowa korekta. Ciągła nowelizacja staje się normą.
Pytania dla zarządów#
1. Czy wasz dział prawny zaktualizował analizę klasyfikacji AI Act — i czy sprawdził, czy zmieniły się też obowiązki? Jeśli notatka od prawników wymienia tylko nową datę, jest niekompletna. Ryzyko nie polega na przegapieniu terminu. Polega na pomyleniu przesunięcia harmonogramu z redukcją wymagań.
2. Które z waszych systemów AI podlegają Załącznikowi III? Omnibus nie zmienia listy kategorii. Jeśli nie potraficie odpowiedzieć na to pytanie dzisiaj, termin jest nieistotny. Nie jesteście spóźnieni z Compliance. Nie zaczęliście.
3. Czy ktoś w waszej organizacji traktuje Omnibus jako powód do zwolnienia tempa? Deloitte podaje, że tylko 18% europejskich firm czuje się dobrze przygotowanych do AI Governance. Parlament i Rada odrzuciły próby uproszczenia ze strony Komisji. Sygnał polityczny jest odwrotny do rozluźnienia. Organizacje, które wykorzystają przedłużenie na budowanie, będą gotowe. Te, które wykorzystają je na czekanie, staną przed tym samym chaosem w grudniu 2027, przed którym miały stanąć w sierpniu 2026.
Zachowaj równowagę, Krzysztof
Źródła:
- Propozycja Komisji Europejskiej: COM(2025)0836 — EUR-Lex
- Tekst przyjęty przez Parlament Europejski: TA-10-2026-0098
- Mandat negocjacyjny Rady: ST-7322-2026-INIT (13 marca 2026)
- Wspólna Opinia EDPB/EDPS 1/2026 (20 stycznia 2026)
- cyberprawo.org: „Digital Omnibus — AI Act dostaje pierwszy lifting" (26 marca 2026)
- Badanie gotowości do AI Governance, Deloitte (2026)
- Tracker standardów CEN/CENELEC JTC 21: ai-act-standards.com