Європейський парламент підтримав позицію щодо змін до AI Act у межах Digital Omnibus — пакету спрощення цифрового регулювання ЄС. Головний сигнал для бізнесу: частина правил для high-risk AI не скасовується, але отримує новий графік застосування та більш передбачувану логіку імплементації. Європарламент проголосував за свою позицію 26 березня 2026 року: 569 голосів “за”, 45 “проти” і 23 утримались.

Для українських технологічних компаній це не пауза, а вікно для підготовки. Якщо продукт виходить на ринок ЄС, інтегрується в медичні пристрої, критичну інфраструктуру, HR, освіту, фінансовий скоринг, безпеку або оборонні рішення, AI Act уже треба враховувати в архітектурі продукту, документації, data governance і контрактах.

TL;DR

Digital Omnibus пропонує відтермінувати застосування частини правил щодо high-risk AI, бо стандарти, guidance та інституційна інфраструктура ще не готові до повноцінного запуску. Європарламент підтримує фіксовані дати: 2 грудня 2027 року для high-risk AI систем із переліку Annex III та 2 серпня 2028 року для high-risk AI, вбудованих у продукти, які регулюються секторальним законодавством ЄС.

Окремий політичний і комплаєнс-сигнал — запропонована заборона AI-систем, які створюють або змінюють реалістичні інтимні зображення чи відео ідентифікованої особи без її згоди. Виняток передбачений для систем з ефективними запобіжниками, які не дають користувачам генерувати такий контент.

Для бізнесу головне: ЄС не відмовляється від ризик-орієнтованої моделі AI Act. Він намагається зробити її більш практичною, менш дублюючою та більш прогнозованою.

1. Що таке Digital Omnibus і чому він з’явився саме зараз?

Коротка відповідь: Digital Omnibus — це спроба ЄС спростити цифрове регулювання без формального демонтажу AI Act, GDPR, Data Act та інших правил.

Європейська комісія опублікувала пропозицію Digital Omnibus on AI 19 листопада 2025 року. Вона змінює AI Act, який набрав чинності 1 серпня 2024 року, а також Regulation (EU) 2018/1139 щодо цивільної авіації. Мета — вирішити практичні проблеми імплементації та зменшити регуляторне навантаження.

Digital Omnibus є частиною ширшого пакету ЄС щодо цифрових правил: окремо розглядаються зміни до правил про data use, data protection, cybersecurity, European Business Wallets та інші інструменти цифрової політики. Європарламентський Think Tank прямо описує пакет як перший етап ширшого перегляду цифрового rulebook ЄС.

Для бізнесу це означає не “менше регулювання”, а іншу логіку compliance: менше дублювання, більше дат, більше секторальної прив’язки, більше вимоги до доказової документації.

2. Що змінюється для high-risk AI?

Коротка відповідь: застосування частини правил для high-risk AI відкладається, але Європарламент наполягає на фіксованих кінцевих датах.

Початково загальна дата застосування AI Act — 2 серпня 2026 року. Digital Omnibus визнає, що для high-risk AI є проблема готовності: гармонізовані стандарти, common specifications, guidance та національні компетентні органи можуть не бути повністю готовими до цього дедлайну.

Європарламент пропонує дві ключові дати:

Категорія AI-систем

Нова дата застосування правил

High-risk AI системи з Annex III: біометрія, критична інфраструктура, освіта, зайнятість, essential services, правоохоронна сфера, правосуддя, міграція / border management

2 грудня 2027 року

High-risk AI системи, вбудовані в продукти, що регулюються секторальним законодавством ЄС: medtech, machinery, radio equipment, toys, окремі product safety regimes

2 серпня 2028 року

Ця відстрочка не означає, що компанія може ігнорувати AI Act до 2027–2028 років. Продуктові рішення, які виходять на ринок ЄС, часто мають довгий цикл розробки, сертифікації, procurement та due diligence. Якщо compliance не закласти на етапі архітектури, його доведеться “дошивати” під час продажу, інвестиційного раунду або сертифікації.

3. Чому фіксовані дати важливі для бізнесу?

Коротка відповідь: бізнес отримує не просто “відстрочку”, а календар для планування продукту, бюджету, документації та виходу на ринок.

Початкова ідея Комісії прив’язувала застосування частини high-risk AI rules до доступності supporting measures: стандартів, common specifications та guidance. Європарламент погоджується з потребою гнучкості, але додає верхню межу: 2 грудня 2027 року та 2 серпня 2028 року.

Це важливо для board-level планування. Якщо компанія готує SaaS для HR, medtech-пристрій з AI-модулем або defense-tech рішення з компонентами автоматизованого аналізу, дедлайн має стати частиною roadmap, а не юридичною приміткою.

Контрольна точка: до середини 2026 року компанія має знати, чи її AI-система потенційно потрапляє в high-risk категорію. До 2027 року — мати gap assessment, data governance, risk management, технічну документацію та контрактну модель.

4. Заборона AI “nudifier” систем: що саме пропонує Європарламент?

Коротка відповідь: Європарламент хоче прямо заборонити AI-системи, які створюють або змінюють реалістичний інтимний контент із зображенням ідентифікованої особи без її згоди.

У тексті adopted amendments пропонується додати до Article 5 AI Act нову заборону на розміщення на ринку, введення в експлуатацію або використання AI-системи, яка створює чи змінює реалістичні зображення або відео інтимного характеру щодо ідентифікованої фізичної особи без її згоди.

Водночас Європарламент передбачає важливу межу: заборона не має застосовуватися до AI-систем, у яких є ефективні технічні й організаційні заходи безпеки для запобігання такому використанню. Це критично для легальних image/video AI tools, які можуть мати широке призначення, але потребують safety-by-design контролів.

Практичний висновок: генеративні AI-продукти мають довести не лише те, що їхній intended use є законним, а й те, що вони мають запобіжники проти очевидно шкідливого misuse.

5. Що змінюється для watermarking та маркування AI-контенту?

Коротка відповідь: для провайдерів AI-систем, які генерують синтетичний аудіо-, image-, video- або text-контент і були на ринку до 2 серпня 2026 року, Європарламент підтримує дедлайн 2 листопада 2026 року для приведення у відповідність до Article 50(2).

У adopted text Європарламент змінив перехідний період: замість 2 лютого 2027 року для таких систем фігурує 2 листопада 2026 року.

Для SaaS-компаній це означає окремий compliance-трек: навіть якщо продукт не є high-risk, але генерує синтетичний контент, треба перевірити маркування походження контенту, user interface, terms of use, API-документацію та технічну можливість ідентифікувати AI-generated outputs.

6. Пом’якшення для компаній і small mid-cap enterprises

Коротка відповідь: ЄС хоче, щоб компанії, які виросли зі статусу SME, не потрапляли одразу в режим великих корпорацій без перехідної логіки.

Digital Omnibus вводить фокус на small mid-cap enterprises — компанії, які переросли SME, але все ще мають схожі проблеми з адміністративним навантаженням. Європарламент підтримує розширення частини заходів підтримки для small-scale providers на SMCs, зберігаючи загальні цілі AI Act.

Це важливо для українських scaleups, які мають або планують європейську присутність. Компанія може бути вже не “малим стартапом”, але ще не мати compliance-команди рівня великого enterprise. Саме такі компанії найчастіше стикаються з проблемою: продукт уже продається в ЄС, а AI governance ще тримається на ad hoc рішеннях CTO, юриста й product owner.

7. Bias detection і персональні дані: де межа гнучкості?

Коротка відповідь: Digital Omnibus дає більше простору для обробки спеціальних категорій персональних даних з метою bias detection and correction, але тільки за суворих умов.

Європарламент підтримує підхід, за яким провайдери high-risk AI можуть у виняткових випадках обробляти спеціальні категорії персональних даних для виявлення та виправлення bias, якщо це строго необхідно і супроводжується safeguards. Adopted text також передбачає можливість для інших AI-систем і моделей, але не створює загального обов’язку проводити таку перевірку.

Для бізнесу це не “дозвіл використовувати чутливі дані ширше”. Це вузький legal basis із високим порогом доказування: мета, necessity test, safeguards, DPIA / risk assessment, access controls, retention limits, logging, документація рішень.

Практичний висновок: AI compliance і GDPR compliance не можна вести окремо. Для AI-продуктів, які працюють з персональними даними, потрібна єдина data governance модель.

8. Sectoral laws: що означає пом’якшення для medtech, hardware та product AI?

Коротка відповідь: якщо AI-система вже вбудована в продукт, який регулюється секторальними правилами ЄС, AI Act obligations можуть бути менш дублюючими.

Європарламент підтримує ідею зменшити дублювання між AI Act та секторальними product safety regimes. У adopted text згадуються, зокрема, medical devices, in vitro diagnostic medical devices, machinery, radio equipment, toy safety та інші режими.

Для medtech це критично. Компанії, які вже проходять MDR / IVDR-процеси, мають уникнути паралельної бюрократії, але не знімають із себе AI-ризики. На практиці це означає інтеграцію AI risk management у вже існуючу систему quality management, clinical evaluation, post-market surveillance та технічну документацію.

Для defense-tech і dual-use hardware ситуація складніша. Навіть якщо AI-компонент не продається як окремий AI SaaS, його функція, середовище використання, sectoral regulation, export control та contractual use cases можуть створити окремий compliance-ризик.

9. Як це вплине на український бізнес?

Коротка відповідь: українські компанії отримують більше часу, але не менше роботи.

Digital Omnibus може зменшити шок від AI Act для компаній, які виходять на ЄС. Але для українського бізнесу це також піднімає планку due diligence: європейські клієнти, інвестори, інтегратори й procurement-команди очікуватимуть не лише “ми compliant”, а доказовий пакет.

IT / SaaS

Для SaaS-продуктів головне питання — класифікація. Якщо система використовується в HR, освіті, фінансових рішеннях, essential services або оцінці людей, вона може наближатися до high-risk. Якщо продукт генерує контент, окремо треба перевірити transparency / marking obligations.

Дія: AI inventory, use-case mapping, data flow map, contractual AI disclosures.

Defense-tech

Для defense-tech ризик не лише в AI Act. Важливі export controls, dual-use classification, procurement requirements, cybersecurity, human oversight і контракти з державними або корпоративними замовниками.

Дія: окремий AI + export control risk assessment для кожного продуктового use case.

Medtech

Medtech-компанії отримують потенційно більш логічний перехід до AI Act через sectoral regulation. Але відстрочка до 2 серпня 2028 року не скасовує потребу інтегрувати AI-controls у MDR / IVDR документацію, QMS і post-market monitoring.

Дія: зіставити MDR / IVDR dossier з майбутніми AI Act вимогами.

Стартапи

Для стартапів Digital Omnibus — це вікно для підготовки до інвестиційного due diligence. Інвестор не чекатиме 2027 року, якщо продукт уже працює з персональними даними, автоматизованими рішеннями або regulated customers.

Дія: підготувати “AI compliance light pack”: AI policy, risk register, data map, model card / system card, human oversight principles, DPIA triggers.

10. Що робити бізнесу вже зараз

1. Провести AI inventory

Потрібно зафіксувати всі AI-компоненти: власні моделі, third-party APIs, embedded AI, internal tools, customer-facing features, automated decision-making modules.

2. Класифікувати use cases

Кожен use case треба оцінити за трьома сценаріями:

Сценарій

Що означає

Дія

Low / limited risk

Немає high-risk use case, але є transparency obligations

Перевірити маркування, disclosures, ToS

Potential high-risk

Є використання у сферах Annex III або regulated product

Провести gap assessment

Sectoral product AI

AI вбудований у medtech, machinery, radio equipment тощо

Інтегрувати AI controls у product compliance

3. Оновити data governance

AI Act не працює ізольовано від GDPR. Потрібні legal basis, data minimisation, retention, access control, DPIA logic, vendor management, bias testing protocol.

4. Перевірити контракти

У B2B SaaS і tech supply contracts мають бути прописані AI disclosures, allocation of responsibility, audit rights, incident reporting, third-party model dependencies, data processing terms.

5. Підготувати доказовий пакет

До нього мають входити risk assessment, технічна документація, model / system description, data governance note, human oversight, cybersecurity controls, post-market monitoring logic.

11. Кому варто провести AI audit

AI audit потрібен не лише high-risk компаніям. Його варто провести, якщо бізнес:

• продає AI-продукт клієнтам у ЄС;
• використовує AI у HR, освіті, фінансах, медицині, безпеці або критичних процесах;
• має AI-модулі в medtech, IoT, hardware або dual-use продуктах;
• генерує синтетичний контент для користувачів;
• обробляє персональні або спеціальні категорії даних;
• залучає інвестиції або проходить enterprise procurement;
• використовує third-party AI APIs у клієнтському продукті.

Контрольна точка: якщо sales-команда вже відповідає на security / privacy questionnaires від європейських клієнтів, AI audit потрібен не “після закону”, а перед наступним раундом переговорів.

12. Ризики для бізнесу

Ризик

Де виникає

Наслідок

Неправильна класифікація AI-системи

SaaS, HR-tech, fintech, medtech

Неправильний compliance-budget і delay у продажах

Відсутність data governance

AI з персональними даними

GDPR-ризики, слабка позиція в due diligence

Немає технічної документації

Enterprise sales, procurement

Клієнт не допускає продукт до закупівлі

Немає misuse controls

Generative AI

Репутаційний і регуляторний ризик

Контракти не розподіляють AI-відповідальність

B2B SaaS / інтеграції

Спори з клієнтом після інциденту

AI compliance ведеться окремо від product compliance

Medtech / hardware

Дублювання процесів і затримка сертифікації

13. Висновок

Digital Omnibus не скасовує AI Act. Він змінює темп і механіку імплементації. Для компаній це означає більше передбачуваності, але також чіткіший countdown до 2027–2028 років.

Українському бізнесу варто використовувати цей період як compliance runway: класифікувати AI-системи, оновити data governance, підготувати технічну документацію, перевірити контракти й інтегрувати AI-controls у продуктову розробку.

У 2027 році виграють не ті компанії, які чекали фінального дедлайну, а ті, які вже зараз можуть показати клієнтам, інвесторам і регуляторним партнерам контрольовану AI governance систему.