7. mája 2026 dosiahla EÚ politickú dohodu o AI Omnibuse – posunula deadliny pre vysoko-rizikové AI systémy o 16 mesiacov, no zároveň po prvýkrát zaviedla výslovný zákaz konkrétnych AI nástrojov útoku (nudifikátory, CSAM) a sprísnila označovanie AI obsahu.
Pre manažérov kybernetickej bezpečnosti to znamená novú mapu rizík: deepfaky ako reálny vektor útokov, AI v bezpečnostných nástrojoch ako vysoko-rizikové systémy s povinnou dokumentáciou a Article 50 ako urgentnú compliance výzvu s deadlinom – 2. december 2026.
Médiá sa sústredili hlavne na to, že „EÚ posunula deadliny pre firmy“. Z pohľadu kyberbezpečnosti je však dôležitejšie niečo iné: dohoda zásadne mení mapu rizík, ktoré budú musieť organizácie sledovať, dokumentovať a vykazovať – a robí to v čase, keď synteticky generovaný obsah a útoky cez AI prudko rastú.
Tri veci, ktoré by ste mali vedieť hneď:
- Termíny pre vysoko-rizikové AI systémy sa posúvajú – z 2. augusta 2026 až na 2. december 2027 (resp. 2. august 2028 pre AI v regulovaných produktoch). Znamená to viac času na prípravu, ale aj viac času pre útočníkov, ktorí dovtedy nasadia AI nástroje bez plnej regulácie.
- Po prvýkrát v EÚ legislatíve sú výslovne zakázané konkrétne AI nástroje útoku – nudifikačné aplikácie a generátory CSAM. Deadline na stiahnutie z trhu: 2. december 2026.
- Transparentné značenie AI obsahu (Article 50) zostáva v platnosti od augusta 2026 – síce s 3-mesačnou tolerančnou lehotou, ale bez zásadných úľav. Konzultácia o nových usmerneniach beží do 3. júna 2026.
1️⃣ Synteticky generovaný obsah ako threat vector – nová kapitola v threat modeli
Po medializovanom škandále s chatbotom Grok koncom roku 2025 (za 9 dní vygeneroval cez 1,8 milióna obrázkov sexuálnej povahy zobrazujúcich ženy na platforme X) sa do AI Actu dostal prvý explicitný zákaz konkrétnych AI nástrojov:
- AI systémy generujúce nekonsenzuálny sexuálny/intímny obsah identifikovateľných osôb (nudifikačné apky)
- AI systémy generujúce CSAM (Child Sexual Abuse Material) – detskú pornografiu
Pre manažérov kybernetickej bezpečnosti to znamená:
- Deepfakes už nie sú teoretické riziko, ale reálny vektor útoku. Pribudli do typov útokov ako CEO fraud (účtovníčka dostane videohovor od „šéfa“, tvár aj hlas sedia, žiada urgentný prevod na nový účet), prelomenie KYC procesov (banka schváli klienta cez video-identifikáciu, ktorý v skutočnosti neexistuje), dehonestácia manažmentu pred tendrom alebo sextortion voči maloletým zamestnancov firmy – typicky cez ich deti, čo firme spôsobí reputačnú a HR krízu.
- Detekcia syntetického obsahu patrí do bezpečnostnej architektúry, nielen do content moderation tooling sociálnych sietí. Tak ako sa pred 15 rokmi anti-phishing presunul zo „zvláštnosti pre IT firmy“ do štandardnej e-mailovej hygieny každej organizácie, dnes ten istý posun zažíva detekcia AI-generovaného obsahu.
- AI Act reguluje výrobcov, ale operačné riziko nesie prevádzkovateľ. Keď uvidí účtovníčka „šéfa“ na videohovore žiadať platbu, žiadna regulácia jej v tej chvíli nepomôže – pomôže iba pripravený proces. Tri praktické rady pre vašu organizáciu:
⚠️ Poskytovatelia majú na uvedenie systémov do súladu čas do 2. decembra 2026. Vaša organizácia tento luxus nemá – rizikoví ste už dnes.
2️⃣ AI v bezpečnostných nástrojoch – odklad neznamená pauzu
Mnoho moderných SOC, EDR, fraud-detection, biometric authentication a behavioral analytics nástrojov spadá do kategórie vysoko-rizikových AI systémov (Annex III AI Actu) – či už ako AI pre presadzovanie práva, biometrickú identifikáciu alebo posudzovanie kreditného/finančného rizika.
Po Omnibuse:
- Vysoko-rizikové AI systémy, ktoré rozhodujú o ľuďoch (Annex III) – sem patrí AI, ktorá predvyberá uchádzačov o zamestnanie, automaticky schvaľuje úvery a poistky, hodnotí študentov v škole alebo sa používa pri presadzovaní práva a v súdnictve. Deadline sa posunul z augusta 2026 na 2. december 2027 – získali ste teda vyše 16 mesiacov navyše na prípravu.
- AI vstavaná v regulovaných produktoch (Annex I) – AI komponenty v zdravotníckych pomôckach, autách, hračkách, výťahoch či priemyselných strojoch. Tu je termín 2. august 2028, lebo sa to musí zladiť so sektorovou bezpečnostnou legislatívou (napríklad MDR pre zdravotnícke pomôcky alebo Machinery Regulation pre stroje).
- Národné testovacie prostredia pre AI – kontrolované „testovacie ihriská“, kde môže firma odskúšať svoj AI systém pod dohľadom regulátora ešte pred uvedením na trh a bez rizika pokuty. Členské štáty ich musia spustiť do 2. augusta 2027. Pre Slovensko to znamená, že MIRRI, prípadne iný poverený orgán by mal mať sandbox pripravený dovtedy – a vy ako firma ho budete môcť využiť na otestovanie vlastných AI nástrojov ešte pred ostrým nasadením.
Čo to v praxi znamená
Vendor management dostáva nový rozmer. Keď budete kupovať bezpečnostný nástroj s AI komponentom – či už je to nový antifraud systém, biometrické prihlasovanie alebo behaviorálna analytika v EDR – pýtajte sa dodávateľa tri veci:
- Aký má plán dosiahnutia compliance s AI Actom?
- Akú má dokumentáciu trénovacích dát (kde ich vzal, koho zastupujú)?
- Ako je nastavená kontrola človekom, akú má možnosť zasiahnuť, a ako sa eviduje a rieši skreslenie (bias) modelu?
Ak dodávateľ na tieto otázky dnes nevie odpovedať, v roku 2027 to bude váš problém, nie jeho. Dokumentáciu si nepripravujte na poslednú chvíľu. AI Act vyžaduje tri kľúčové dokumenty pre vysoko-rizikové systémy:
- Technická dokumentácia – popis systému, jeho účel, riziká
- Conformity assessment – doklad, že systém vyhovuje požiadavkám
- Post-market monitoring – ako sledujete systém po nasadení
Citlivé údaje môžete použiť na to, aby vaša AI bola fér – ale opatrne
Predstavte si, že firma používa AI na selektovanie životopisov alebo na schvaľovanie úverov. Po čase sa zistí, že AI systematicky odmieta uchádzačov určitej národnosti alebo žiadateľov nad 55 rokov. Tomuto skresleniu sa hovorí bias – AI sa to „naučila“ z dát, na ktorých bola trénovaná, a teraz reprodukuje historické nespravodlivosti.
Aby firma zistila, že jej AI takto rozhoduje, musí si otestovať – inými slovami, pozrieť sa, ako AI rozhoduje pri ľuďoch rôznej národnosti, veku, pohlavia či zdravotného stavu. Lenže na to potrebuje práve tie citlivé údaje, ktoré GDPR bežne chráni.
Čo zmenil Omnibus: doteraz bolo testovanie biasu s citlivými údajmi povolené len pri vysoko-rizikových AI systémoch. Po novom to možno spraviť aj pri ostatných AI systémoch – ale iba ak je to nevyhnutné a viete to doložiť.
Háčik v praxi: ak si firma vopred nepripraví právne odôvodnenie (prečo to potrebuje, na čo presne dáta použije, kedy ich zmaže) a DPIA – posúdenie vplyvu na ochranu osobných údajov podľa GDPR, regulátor jej testovanie biasu ľahko prekvalifikuje na profilovanie ľudí – a to už je porušenie GDPR so všetkými dôsledkami (pokuty, povinné notifikácie, reputačná škoda).
💡 V skratke: Testovanie férovosti AI je dobrá vec, ale musí byť zdokumentované pred jej spustením, nie obhajované po kontrole (napr. ÚOOÚ).
3️⃣ Article 50 – pravidlá, ktoré nikto neobíde
Najpodceňovanejšia povinnosť celého AI Actu. 8. mája 2026 – deň po dohode o Omnibuse – Komisia zverejnila návrh usmernení k Článku 50. Konzultácia beží do 3. júna 2026, kto chce ovplyvniť výklad pre svoj biznis, má posledné týždne.
Deadline pre označovanie AI obsahu: 2. december 2026. Štyri základné povinnosti:
- Chatbot musí používateľovi povedať, že nie je človek.
- Generatívne AI musia označovať svoj výstup tak, aby ho stroj rozoznal ako umelý (watermark, metadata).
- Deepfakes a AI obsah verejného záujmu musia mať aj viditeľné označenie pre čitateľa.
- Emotion recognition a biometrická kategorizácia musia byť oznámené dotknutej osobe.
Ako sa to bude technicky robiť? Druhý draft Code of Practice (z 5. marca 2026) hovorí o dvoch vrstvách: bezpečné metadata (štandard C2PA) plus watermark vložený priamo do obsahu. Žiadna jedna metóda totiž nestačí – screenshot zmaže metadata, kompresia zase watermark. Funguje to ako pri sieťovej obrane: jedna vrstva padne, druhá drží.
🛠️ Čo spraviť tento týždeň: spravte si inventár AI nástrojov v organizácii, ktoré píšu alebo generujú obsah – marketingové texty, automatické e-mailové odpovede, chatboty na webe, AI summarizery v Teams/Slack. Pri každom si odpovedzte na otázku: bude tento výstup od decembra 2026 potrebovať technické označenie?
4️⃣ AI Act × NIS2 × Zákon 69/2018 × ISO 27001:2022 – jedna mapa rizík
Naši klienti už dnes analyzujú a dokumentujú riziká, spracúvajú akčné plány ošetrenia rizík a pripravujú sa na audity podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a vyhlášky NBÚ 227/2025. AI Act tieto rámce neruší – nadväzuje na ne.
Kde sa systémy prelínajú a kde vznikajú duplikácie:
| Oblasť | AI Act | Z. 69/2018 + Vyhláška 227/2025 | ISO 27001:2022 |
|---|---|---|---|
| Hodnotenie rizík | Čl. 9 (Risk management system pre HRAI) | § 20 ods. 2 zákona; § 5 vyhlášky 227/2025 + Príloha č. 1, oblasť písm. b) | Klauzuly 6.1.2 + 6.1.3 + A.5.7 |
| Hlásenie incidentov | Čl. 73 (Reporting serious incidents) | § 24 zákona + vyhláška 226/2025 | A.5.24 – A.5.28 |
| Personálna bezpečnosť | Čl. 14 (Human oversight) + Čl. 26 (Deployer obligations) | § 20 ods. 2 písm. c) zákona + Príloha č. 1 vyhlášky 227/2025 | A.6.1 – A.6.8 |
| Zaznamenávanie a monitorovanie udalostí | Čl. 12 (Record-keeping pre HRAI) | § 20 ods. 2 písm. i) zákona + Príloha č. 1 vyhlášky 227/2025 | A.8.15, A.8.16 |
| Dodávateľský reťazec | Čl. 25 (Distributors) + Čl. 43 (Conformity assessment) | § 19 ods. 2 zákona + § 7 vyhlášky 227/2025 + Príloha č. 1, oblasť písm. n) | A.5.19 – A.5.23 |
💡 Praktický záver: vybudujte jednu integrovanú mapu rizík, ktorá pokrýva všetky rámce. Množstvo oddelených registrov rizík neznamená viac-násobnú istotu, ale viac-násobnú prácu pri polovičnej prehľadnosti. Slepé miesta medzi rámcami sú zároveň najčastejšími nálezmi audítorov aj najčastejšími vstupnými bodmi útočníkov.
📅 Kalendár najbližších mesiacov
| Dátum | Udalosť | Čo robiť |
|---|---|---|
| 3. jún 2026 | Koniec konzultácie k Article 50 Guidelines | Poslať pripomienky cez verejnú konzultáciu Komisie |
| Leto 2026 | Očakávaná formálna adopcia AI Omnibusu | Sledovať finálne znenie a porovnať s draftom |
| 2. august 2026 | Article 50 vstupuje do platnosti (s 3-mes. toleranciou) | Spraviť súpis AI nástrojov, ktoré generujú obsah |
| 2. december 2026 | Compliance: zákaz nudifikátorov, CSAM + označovanie AI obsahu | Nasadiť technické označovanie obsahu (C2PA, watermark) |
| 2. august 2027 | Národné testovacie prostredia pre AI spustené | Využiť na otestovanie vlastných AI nástrojov pred trhom |
| 2. december 2027 | Vysoko-rizikové AI systémy (Annex III) povinné | Mať pripravené posúdenie zhody a dokumentáciu |
| 2. august 2028 | AI v regulovaných produktoch (Annex I) povinné | Zladiť AI compliance so sektorovými predpismi |
✅ Tri konkrétne kroky na tento týždeň
- Spíšte AI vo firme. Ktoré systémy generujú obsah, rozhodujú o ľuďoch alebo spracúvajú biometriku? Zaraďte ich do rizikových kategórií podľa AI Actu.
- Doplňte krízový plán o deepfake scenár. Útok na štatutára alebo kľúčových zamestnancov. Otestujte v tabletop cvičení – mimo IT, aj v účtovníctve, HR a manažmente.
- Preverte vendor zmluvy. Obsahujú záväzky k AI Act súladu, dokumentácii a riadeniu zmien? Ak nie, riešte to pri najbližšom predĺžení zmluvy.
Tento brief pripravil tím Cyllium na základe oficiálnych zdrojov EÚ (Európska komisia, Rada EÚ), právnych analýz (Wilson Sonsini, Bird & Bird, DLA Piper, IAPP) a vlastnej praxe v kybernetickej bezpečnosti. Informácie sú aktuálne k 11. máju 2026.