רגולציהרגולציה אירופית8 דק׳ קריאהעודכן: 14 במאי 2026

EU AI Act — חוק הבינה המלאכותית האירופי לארגון הישראלי

ה-EU AI Act נכנס לתוקף ב-1 באוגוסט 2024 והוא החוק הראשון בעולם שמסדיר באופן מקיף שימוש בבינה מלאכותית. הוא חל לא רק על חברות אירופיות — כל ארגון ישראלי שמספק מערכת AI בשוק האירופי, או שתוצאות המערכת שלו מגיעות למשתמשים באירופה, נדרש לעמוד בדרישות. המדריך הזה מתמקד במה שחשוב לארגון ישראלי שמתכונן לאכיפה ב-2025-2027.

נכנס לתוקף
2024
רמות סיכון
4
קנס מקסימלי
35M€
מהמחזור הגלובלי
7%
תוכן עניינים (5)
  1. 01 ארבע רמות סיכון
  2. 02 GPAI — מודלי AI כלליים
  3. 03 סיווג מערכת קיימת
  4. 04 לוח זמנים לאכיפה
  5. 05 צ׳ק־ליסט ארגוני

ארבע רמות סיכון — הליבה של ה-Act

ה-Act מסווג כל מערכת AI לאחת מארבע רמות סיכון, וכל רמה גוררת חובות שונות לחלוטין:

אסור

סיכון בלתי מקובל — manipulation, social scoring, biometric mass surveillance

סיכון גבוה

Annex III — גיוס, אשראי, חינוך, תשתית קריטית. רוב חובות הציות

מוגבל

צ׳אטבוטים, GenAI, Deepfakes — חובת שקיפות בלבד

מינימלי

מסנני ספאם, AI במשחקים — אין חובות מיוחדות

1. סיכון בלתי מקובל — אסור

מערכות שמטרתן מניפולציה רגשית, social scoring ממשלתי, זיהוי ביומטרי בזמן אמת במרחב הציבורי (עם חריגות מצומצמות), וזיהוי רגשות במקום עבודה או בית ספר. אסור להפעיל. בתוקף מפברואר 2025.

2. סיכון גבוה — Annex III

רוב חובות הציות מתמקדות כאן. מערכות סיכון גבוה כוללות, בין השאר:

  • סינון קורות חיים ואישור גיוס
  • החלטות אשראי ודירוג אשראי לצרכנים
  • מערכות בתחום החינוך שמשפיעות על קבלה למוסד
  • קבלת החלטות ביטחוניות, גישה לשירותים ציבוריים
  • תפעול תשתיות קריטיות (תחבורה, חשמל, מים)

3. סיכון מוגבל — שקיפות בלבד

צ׳אטבוטים, מערכות יצירת תוכן (Generative AI), Deepfakes — חובת שקיפות בלבד. המשתמש צריך לדעת שהוא מקיים אינטראקציה עם AI ולא עם בן אדם, ושתוכן שיצר AI מסומן ככזה.

מערכות GPAI — General Purpose AI

מודלים גדולים (GPT-4, Claude, Gemini, Llama) מקבלים חובות נפרדות שנכנסו לתוקף באוגוסט 2025. Provider של GPAI חייב לתעד את ארכיטקטורת המודל, סקופ נתוני האימון, וצריכת אנרגיה. מודלים עם ׳סיכון מערכתי׳ (מעל 10^25 FLOPs באימון, נכון ל-2025) מקבלים חובות מוגברות של בדיקות אבטחה ותיעוד אירועים.

מה זה אומר לארגון שמשתמש ב-GPAI ולא מפתח אותו? צריך לדעת איזה מודל בשימוש, איזה ספק מתחזק אותו, ולוודא שהספק עומד בחובות ה-GPAI שלו (זה אחד הסעיפים בחוזה DPA המעודכן).

איך מסווגים מערכת AI קיימת בארגון

  1. זיהוי השימוש: לאיזו מטרה משתמשים בה? אם זה לגיוס, אשראי, חינוך — סיכון גבוה. אם זה כתיבת תוכן או סיכום פנימי — סיכון מוגבל לכל היותר.
  2. זיהוי המשפיע: האם המערכת מקבלת החלטה שמשפיעה על אדם? אם כן, סיכון גבוה כמעט בוודאות.
  3. שקלול מי הספק: GPAI? אם כן, גם הספק וגם הארגון נדרשים. SaaS ייעודי? הספק לוקח חלק מהחובות אבל הארגון עדיין deployer.
  4. בדיקת חריגות: יש Annex III exemptions למקרים שבהם המערכת היא ׳עזר בלבד׳ ולא מקבלת את ההחלטה — אבל ההגדרה הזו צרה ודורשת תיעוד טוב.

לוח זמנים לאכיפה

ה-Act נכנס לתוקף במדרגות. הנה מועדי המפתח שכל ארגון ישראלי שעובד מול אירופה חייב לסמן ביומן:

  1. כניסה לתוקף

    ה-Act פורסם רשמית. מתחיל הספירה לאחור של מועדי האכיפה.

  2. אסור

    איסור על Unacceptable Risk

    Social scoring, מניפולציה, ביומטריה במרחב הציבורי — אסור להפעיל.

  3. GPAI

    GPAI compliance

    Provider של מודל יסודי (GPT, Claude, Gemini) חייב בתיעוד טכני וסיכוני מערכת.

  4. חובה

    מערכות סיכון גבוה — Annex III

    כל ספק/deployer של מערכת ב-Annex III חייב בעמידה מלאה — תיעוד, מעקב אנושי, CE marking.

  5. מערכות סיכון גבוה במגזרים מורחבים

    כיסוי גם של מערכות תחת חקיקה מגזרית קיימת (רכב, רפואי, וכו׳).

צ׳ק־ליסט ארגוני

  • למפות את כל מערכות ה-AI בארגון (כולל Shadow AI שמשתמשים יוצרים בעצמם)
  • לסווג כל אחת לרמת סיכון לפי הקריטריונים למעלה
  • לזהות באילו מערכות אנחנו provider ובאילו deployer
  • לעדכן חוזי DPA עם ספקי AI: התחייבויות ה-Act, GPAI compliance, התראה על שינויי מודל
  • להקים תהליך מעקב אנושי למערכות סיכון גבוה
  • להגדיר תהליך דיווח על אירועי AI (תוצאה שגויה, הטיה, חשיפת מידע)
  • לפתוח רישום פעולות (log) למערכות סיכון גבוה — חובה לפי Article 12

השאלון בפורטל Alice GRC עובר על כל הנקודות האלה ומפיק רשימת פעולות ספציפית לארגון. ארגון ישראלי שמיישם ISO/IEC 42001 מקבל כיסוי משמעותי של חובות ה-Act כבר מהבסיס הניהולי.

שאלות נפוצות

5 שאלות
האם EU AI Act חל על חברה ישראלית?

כן, אם החברה מספקת מערכת AI (או תוצאות מערכת) ללקוחות באירופה. החוק מגדיר ׳providers׳ ו-׳deployers׳ ללא קשר למיקום הגיאוגרפי — אם המוצר משמש משתמש באירופה, החוק חל. חברת SaaS ישראלית שמוכרת ללקוחות בגרמניה, חברת קוסמטיקה שמשתמשת ב-AI לפילוח לקוחות באירופה, וחברת פינטק שמסייעת לבנקים אירופיים — כולן בתחולה.

מתי הדרישות נכנסות לתוקף?

פברואר 2025 — איסור על מערכות בסיכון בלתי מקובל. אוגוסט 2025 — דרישות ל-General Purpose AI (GPAI). אוגוסט 2026 — דרישות מלאות למערכות סיכון גבוה (Annex III). אוגוסט 2027 — מערכות סיכון גבוה שמטופלות תחת חקיקה מגזרית קיימת.

מה ההבדל בין provider ל-deployer?

Provider — הגוף שמפתח או משווק את מערכת ה-AI (כמו OpenAI עבור GPT). Deployer — הגוף שמשתמש במערכת בהקשר ארגוני (חברה שמשתמשת ב-ChatGPT API לסינון קורות חיים). חברה ישראלית רוב הזמן נמצאת בשני המעגלים: deployer של כלים חיצוניים, ו-provider של מערכת AI שהיא פיתחה ללקוחותיה.

מה הקנסות?

עד 35 מיליון אירו או 7% מהמחזור הגלובלי השנתי (הגבוה מביניהם) על שימוש במערכות אסורות. עד 15 מיליון אירו או 3% על הפרת חובות של מערכות סיכון גבוה. עד 7.5 מיליון אירו או 1.5% על מסירת מידע שגוי לרשויות.

האם ISO/IEC 42001 עוזר לעמוד ב-AI Act?

כן, באופן משמעותי. ISO 42001 מספק את התשתית הניהולית (ניהול סיכונים, תיעוד, מעקב, ניהול ספקים) שה-Act דורש בסעיפים 9-15. עם זאת, סיווג המערכת לרמת סיכון, הגשת הצהרת תאימות (DoC) ועבודה עם Notified Body דורשים תהליכים ייעודיים שאינם מופיעים ב-42001.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך EU AI Act מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

EU AI ActISO/IEC 42001ISO 27001 ↔ 42001תיקון 13תקנה 13 + AIמאגרי מידע + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: רגולציה