TwinLadder logoTwinLadder
TwinLadder
TwinLadder logoTwinLadder
Back to Insights

EU AI Act

Atbilstības grīda pie 52: ko 4. pants patiesībā prasa

Iegūstiet 52 no 100 Twin Ladder novērtējumā. Zem šīs līnijas organizācija nevar ticami pierādīt 4. panta atbilstību. Lūk, kā mēs to atvasinājām, kāpēc tas nav 50 vai 60, un ko tas nozīmē jūsu regulatīvajam riskam.

2026. gada 8. martsAlekss Blumentāls, Dibinātājs un vadītājs8 min read
Atbilstības grīda pie 52: ko 4. pants patiesībā prasa

Atbilstības grīda pie 52: ko 4. pants patiesībā prasa

Visi vēlas skaitli. Regulatori jums tādu nedos. Tāpēc mēs to atvasinājām paši — rindiņu pa rindiņai, frāzi pa frāzei, no 4. panta teksta. Skaitlis ir 52.

Pēdējos sešus mēnešus esmu vērojis, kā organizācijas izturas pret 4. panta atbilstību kā pret iepirkuma uzdevumu. Nopirkt apmācību programmu. Novadīt nodarbības. Savākt sertifikātus. Turpināt tālāk.

Viņi pieļauj to pašu kļūdu, ko pieļāva ar GDPR. Uztver strukturālu pienākumu kā atzīmējamu rūtiņu. Un tāpat kā GDPR izpilde galu galā pieķēra organizācijas, kurām bija privātuma politikas, bet nebija privātuma prakses, arī 4. panta izpilde pieķers organizācijas, kurām ir apmācību čeki, bet nav pierādāmas kompetences.

Jautājums, ko šīs organizācijas neuzdod — jautājums, kam patiesībā ir nozīme — ir: kā "pietiekams" izskatās, izteikts kā izmērāms standarts?

Mēs izveidojām Twin Ladder novērtējuma brieduma modeli, lai atbildētu uz šo jautājumu. Pēc katras 4. panta operatīvās frāzes kartēšanas uz mūsu sešiem novērtējuma pīlāriem, atbilstības grīda iekrīt aptuveni pie 52 no 100. Ne 50. Ne 60. Lūk, kāpēc.

Kā 4. pants kartējas uz sešiem pīlāriem

  1. pants ir viens teikums ar septiņiem atsevišķiem operatīviem elementiem. Mēs kartējām katru elementu uz Twin Ladder novērtējuma sešiem pīlāriem: Izpratne, Politika un datu aizsardzība, Apmācība, Rīki, Pierādījumi un Pārvaldība.

Kartēšana nav teorētiska. Katra 4. panta frāze rada specifisku, identificējamu pienākumu, kas atbilst novērojamiem indikatoriem brieduma modelī.

4. panta elements Primārais pīlārs Sekundārais(-ie) pīlārs(-i)
"AI sistēmu nodrošinātāji un ieviesēji" Rīki Pārvaldība
"veic pasākumus" Pārvaldība Pierādījumi
"pēc iespējas labāk" Pierādījumi Politika, Pārvaldība
"pietiekamu AI pratības līmeni" Izpratne Apmācība
"personālam un citām personām" Apmācība Politika, Rīki
"tehniskās zināšanas, pieredzi..." Apmācība Izpratne
"lietošanas konteksts + skartās personas" Izpratne Politika, Rīki, Pārvaldība

Katru pīlāru iesaista vismaz divi operatīvie elementi. Neviens nav lieks. Lielākā nasta gulstas uz Izpratni un Apmācību (katram divi primārie kartējumi), savukārt Pierādījumi un Pārvaldība parādās kā veicinošie faktori visur.

Minimālais slieksnis katram pīlāram

Katram pīlāram ir svars un minimālais punktu skaits, kas organizācijai jāsasniedz, lai izpildītu attiecīgo 4. panta elementu. Šie minimumi nav patvaļīgi. Tie atspoguļo zemāko brieduma līmeni, kurā attiecīgais 4. panta pienākums var tikt ticami izpildīts.

Pīlārs Svars Minimālais punktu skaits Kā izskatās minimums
Izpratne 0.15 ~50 Vismaz 50% ar AI saistīto lomu saņēmuši strukturētu izpratnes komunikāciju. Personāls var nosaukt lietotos AI rīkus un formulēt galvenos riskus.
Politika un datu aizsardzība 0.20 ~50 Pastāv formāla AI lietošanas politika, kas tiek izpildīta. Definēti pieņemamie un aizliegtie lietojumi. Uzsākta GDPR datu klasifikācija AI rīkiem.
Apmācība 0.20 ~50 Strukturēta apmācību programma ar lomai specifisku saturu, sniegta galvenajām komandām. Vēl nav visaptveroša, bet diferencēta.
Rīki 0.15 ~50 Pastāv pilns AI sistēmu inventārs. Personāls lieto norādītos, apstiprinātos rīkus. Būtiskiem lēmumiem nepieciešama cilvēka pārskatīšana.
Pierādījumi 0.15 ~55 Apmācību pabeigšana dokumentēta un centralizēta. Vajadzību novērtējums reģistrēts. Sagatavots pamata pierādījumu portfelis audita gatavībai.
Pārvaldība 0.15 ~55 Noteikta nosaukta atbildīgā persona par AI pārvaldību. Ieplānots periodiskas pārskatīšanas cikls. Ētikas apsvērumi dokumentēti.

Šo minimumu svērtais vidējais: aptuveni 52.

Kāpēc 52 un ne 50

Pie 50 organizācija atrodas Attīstības posma augšā — uz robežas starp "mēs apzināmies, kas jādara" un "mēs to darām." Atšķirībai ir nozīme trīs vārdu dēļ 4. pantā: "pēc iespējas labāk."

Šie trīs vārdi rada pierādījumu nastu. Organizācijai jāpierāda ne tikai, ka tai ir programma, bet ka programma atspoguļo patiesas, samērīgas pūles. Pie 50 punktiem organizācijai var būt izpratne, sākotnējās struktūras un politikas melnraksts — bet parasti trūkst dokumentēto pierādījumu, kas apliecina pūļu patiesumu.

Komisijas pašas jautājumi un atbildes par AI pratību, publicētas 2025. gada maijā, to skaidri precizēja: vienkārši norādīt personālam uz lietotāja rokasgrāmatām "parasti netiek uzskatīts par pietiekamu." Vispārīga, nediferencēta apmācība neatbilst standartam. Neizpildīts politikas melnraksts nav "pasākums."

Pie 50 jums joprojām var būt visi šie trūkumi. Pie 52 Pierādījumu un Pārvaldības pīlāri ir pārgājuši Ieviešanas teritorijā — kas nozīmē dokumentētus apmācību ierakstus, nosauktu pārvaldības atbildīgo un periodiskas pārskatīšanas. Tie ir minimālie artefakti, kas ļauj organizācijai atbildēt uz jautājumu, ko katrs regulators galu galā uzdos: parādiet, ko jūs darījāt.

Kāpēc 52 un ne 60

Pie 60 organizācijai ir spēcīga, visaptveroša programma. Lomai specifiska apmācība sasniedz lielāko daļu personāla. Pierādījumi ir labi sakārtoti. Pārvaldība ir aktīva un informēta. Tas nepārprotami atbilst prasībām.

Taču prasīt 60 kā grīdu nozīmētu, ka organizācija ar patiesu, strukturētu programmu — apmācība sniegta 80% attiecīgo darbinieku, nevis vēl 100%; AI pratības klauzulas līgumdarbiniekiem uzrakstītas, bet vēl ne visos piegādātāju līgumos — tiktu klasificēta kā neatbilstoša.

  1. pants lieto "pietiekamu līmeni," nevis "visaptverošu līmeni." Tas prasa pasākumus "pēc iespējas labāk," nevis "līdz pilnībai." Prasīt 60 būtu pretrunā ar noteikumā iestrādāto proporcionalitātes principu.

52 slieksnis atspoguļo punktu, kurā organizācija ir pārgājusi no izpratnes uz darbību, no plāniem uz dokumentētiem pasākumiem, no neformālas atbildības uz nosauktu atskaitīšanos. Tas ir zemākais punktu skaits, pie kura regulators atrastu pierādījumus par patiesām pūlēm. Zem 52 — neatrastu.

GDPR krustpunkts, ko nevar ignorēt

  1. pants neeksistē regulatīvā vakuumā. Lielākā daļa organizāciju, kas ievieš AI sistēmas, apstrādā personas datus caur šīm sistēmām. Tas aktivizē GDPR pienākumus, kas summējas ar 4. panta prasībām.

Politikas un datu aizsardzības pīlārs ietver datu aizsardzības indikatorus tieši šī iemesla dēļ. AI lietošanas politika, kas ignorē datu klasifikāciju, nav tikai 4. panta nepilnība — tā ir GDPR nepilnība.

Galvenie krustpunkti:

GDPR noteikums Ko tas nozīmē AI pratībai Riska līmenis
5. panta 1. punkta f) apakšpunkts — Drošība Personālam jāsaprot AI rīku lietošanas datu drošības implikācijas Vidējs
22. pants — Automatizēti lēmumi Personālam, kas darbojas ar AI, kas pieņem lēmumus par indivīdiem, jāsaprot datu subjektu tiesības Augsts
25. pants — Integrēta privātuma aizsardzība AI lietošanas politikai jāadresē datu minimizēšana; personālam jāzina, kādi dati ir pieļaujami katram rīkam Vidējs
32. pants — Drošības pasākumi Ēnu AI (neapstiprināti rīki) ir gan drošības risks, gan pratības nepilnības indikators Vidējs
35. pants — DPIA AI ieviešanām, visticamāk, nepieciešami datu aizsardzības ietekmes novērtējumi, ko veic AI pratīgi pārskatītāji Augsts

Darbinieks, kas iekopē pilnu klienta lietu ChatGPT, pārkāpj 25. pantu, vienlaikus demonstrējot 4. panta pratības nepilnību. DPIA, ko veic personāls bez AI pratības, ir nepilnīgs DPIA. Nepilnības summējas.

Finansiālais risks zem grīdas

Ļaujiet man būt precīzam par to, ko maksā rezultāts zem 52.

AI akta risks (99. panta 4. punkts): Līdz €15 miljoniem vai 3% no pasaules gada apgrozījuma, atkarībā no tā, kurš ir lielāks.

GDPR risks (83. panta 5. punkts): Līdz €20 miljoniem vai 4% no pasaules gada apgrozījuma, atkarībā no tā, kurš ir lielāks.

Organizācijai, kas lieto AI rīkus, kas apstrādā personas datus — kas ir lielākā daļa organizāciju — šie riski pārklājas. Ne pilnībā, jo GDPR sodi prasa atsevišķu datu aizsardzības pārkāpumu, ne tikai AI pratības nepilnību. Taču Venna diagramma ir liela. AI pratības nepilnība, kas noved pie nepiemērotas personas datu apstrādes, rada duālu atbildību.

Organizācijas lielums (gada apgrozījums) AI akta maksimums GDPR maksimums Kombinētais risks (20% pārklāšanās atlaide)
€50M €15M €20M ~€28M
€200M €15M €20M ~€28M
€500M €15M €20M ~€28M
€1B €30M (3%) €40M (4%) ~€56M

20% pārklāšanās atlaide atspoguļo praktisko realitāti, ka regulatori parasti nepiemēro maksimālās sankcijas abos režīmos par vienu un to pašu pamatā esošo rīcību. Taču risks nav teorētisks. DLA Piper 2025. gada GDPR sodu apskatā dokumentēti €2,1 miljards kumulatīvo GDPR sodu kopš izpildes sākuma. AI akta izpilde, kas 4. pantam sākās 2025. gada februārī, sekos tai pašai trajektorijai.

Trīs darbības, ja jūsu rezultāts ir zem 52

Noņemiet sarežģītību, un trīs darbības jūs no neatbilstošas padara par aizstāvamu.

1. Izveidojiet inventāru. Jūs nevarat pierādīt pratību AI sistēmām, par kuru eksistenci nezināt. Kartējiet katru AI rīku, kas tiek lietots organizācijā — tostarp tos, kas iestrādāti esošajā programmatūrā un ko neviens neuzskata par "AI." Tas adresē Rīku pīlāru un prasa dienas, ne mēnešus.

2. Nosauciet atbildīgo. 4. pants prasa "pasākumus," un pasākumiem nepieciešams kāds, kas ir atbildīgs par to veikšanu. Norīkojiet atbildīgo personu AI pārvaldībai. Ne komiteju. Personu ar pilnvarām, budžetu un pakļautības līniju. Tas adresē Pārvaldības pīlāru un prasa lēmumu, ne projektu.

3. Dokumentējiet to, ko jau esat izdarījuši. Lielākā daļa organizāciju ir izdarījušas vairāk, nekā apzinās — izpratnes komunikācijas, neformālas apmācības, rīku novērtējumi. Savāciet šos pierādījumus strukturētā portfelī. Pierādījumu pīlārs neprasa pilnību. Tas prasa pierādījumu, ka jūs mēģinājāt. Savāciet esošo, identificējiet nepilnības un izveidojiet plānu to novēršanai.

Šīs trīs darbības vien nesasniegs 52. Taču tās izveido pamatu — dokumentētu, pārvaldītu, pierādītu pamatu — kas padara 52 sasniegšanu par izpildes jautājumu, nevis transformācijas jautājumu.

Ceļš no 52 līdz 75

52 punkti ir grīda. Tas nozīmē "droši vien nesodīs." Tas nenozīmē kompetentu.

Distance no 52 līdz 75 — no "tikko atbilstošs" līdz "pārliecinoši ievieš" — ir vieta, kur slēpjas patiesā vērtība. Organizācijas pie 75 punktiem ir nodrošinājušas lomai diferencētu apmācību visam ar AI saistītajam personālam, tostarp līgumdarbiniekiem. Tām ir dzīva AI politika, kas tiek pārskatīta un atjaunota, rīkiem attīstoties. Tām ir pārvaldības struktūras, kas uztver problēmas pirms regulatoriem.

Vēl svarīgāk — tām ir kaut kas, ko grīda nemēra: spēja pielāgoties. Parādīsies jauni AI rīki. Regulējums attīstīsies. Komisija publicēs papildu vadlīnijas. Organizācijas pie 52 steigs reaģēt. Organizācijas pie 75 absorbēs izmaiņas, jo to struktūras jau tās paredz.

Atbilstība ir grīda. Kompetence ir misija. Mēs izveidojām Twin Ladder novērtējumu, lai mērītu abus. Grīda pasaka, kur sākas sodi. Viss virs tās pasaka, vai jūsu cilvēkiem joprojām būs ekspertīze zināt, kad AI kļūdās.

Veiciet bezmaksas pašnovērtējumu, lai redzētu, kur atrodas jūsu organizācija. Twin Ladder kompetences ietvars ir publicēts saskaņā ar CC BY-SA 4.0 — brīvi pieņemams, pielāgojams un tālāk izplatāms.

Sources

  1. Regulation (EU) 2024/1689 -- EU Artificial Intelligence Act, Article 4 (AI Literacy). Full text of the provision establishing AI literacy obligations for providers and deployers. EUR-Lex

  2. European Commission: AI Literacy -- Questions & Answers (May 2025). Clarified that directing staff to user manuals is "generally not considered sufficient" and that the obligation applies with no size threshold. Digital Strategy

  3. European Commission: Living Repository of AI Literacy Practices (2025). Collection of 40+ AI literacy initiatives from AI Pact pledgers, providing benchmarks for "best extent" compliance. Digital Strategy

  4. AI Act Service Desk -- Article 4: AI Literacy. Operational guidance from the European AI Office on practical implementation. AI Act Service Desk

  5. Regulation (EU) 2016/679 -- General Data Protection Regulation (GDPR), Articles 5(1)(f), 22, 25, 32, 35. Data protection provisions intersecting with AI literacy obligations.

  6. Article 99, Regulation (EU) 2024/1689 -- Penalty framework establishing up to EUR 15M or 3% of worldwide annual turnover for Article 4 violations. Commentary

  7. DLA Piper: GDPR Fines and Data Breach Survey, 7th Edition (January 2025). Documented EUR 2.1 billion in cumulative GDPR fines since enforcement began. DLA Piper

  8. Twin Ladder Assessment Maturity Model v1.0 -- Six-pillar rubric for AI literacy and competence assessment. CC BY-SA 4.0. TwinLadder Research

  9. EU AI Act Article 4 -- Twin Ladder Assessment Maturity Model Mapping. Line-by-line mapping of Article 4 operative phrases to assessment pillars. Internal decision record, March 2026.

More from EU AI Act

Article 4 of the EU AI Act: What Legal Teams Must Know Now

7 min read

Day 1 at the AI Office: A Thought Experiment

12 min read

Your CV Screener Is a High-Risk AI System

8 min read

The Literacy Paradox: How Article 4 May Prevent the Competence It Demands

18 min read

Decoding 'Sufficient AI Literacy': A Phrase-by-Phrase Analysis of Article 4

7 min read