דף הבית > בלוג > אוגוסט 2026: השלב הבא ב-EU AI Act – מה ארגונים באמת צריכים לעשות?

אוגוסט 2026: השלב הבא ב-EU AI Act – מה ארגונים באמת צריכים לעשות?

בשנים האחרונות הפך הבינה המלאכותית (AI) ממנוע חדשנות טכנולוגי לכלי עסקי מרכזי. ארגונים מכל מגזר – פיננסים, בריאות, תעשייה, קמעונאות, ממשל והייטק – משלבים פתרונות AI בתהליכי העבודה, בקבלת החלטות, בשירות הלקוחות ובפיתוח מוצרים חדשים. במקביל, גוברת ההבנה כי לצד הפוטנציאל העסקי, קיימים גם סיכונים משמעותיים הנוגעים לפרטיות, אפליה, שקיפות, בטיחות ואחריות.

על רקע זה חוקק האיחוד האירופי את ה-EU AI Act – מסגרת הרגולציה המקיפה הראשונה בעולם המוקדשת לבינה מלאכותית. החוק אינו נועד לעצור חדשנות, אלא להבטיח כי פיתוח ושימוש ב-AI יתבצעו באופן בטוח, אחראי ואמין.

אוגוסט 2026 מהווה נקודת ציון משמעותית ביישום החוק. בעוד שבמהלך 2025 החלו להיכנס לתוקף הוראות ראשונות, הרי שמ-2 באוגוסט 2026 נכנסים לתוקף מנגנוני אכיפה משמעותיים וחובות נוספות, המשפיעות הן על ספקי פתרונות AI והן על ארגונים המשתמשים בהם.

מדוע ה-EU AI Act משפיע גם על חברות ישראליות?

אחת הטעויות הנפוצות היא ההנחה שהרגולציה חלה רק על חברות אירופיות. בפועל, תחולת החוק רחבה הרבה יותר- בדומה לרגולציית הפרטיות GDPR.

כל ארגון המפתח, משווק או מספק מערכת AI לשוק האירופי, או שתוצרי מערכת ה-AI שלו משמשים משתמשים באיחוד האירופי, עשוי להיות כפוף להוראות החוק – גם אם החברה עצמה פועלת מישראל, מארצות הברית או ממדינה אחרת.

עבור חברות SaaS, חברות סייבר, סטארט-אפים וארגוני Enterprise ישראליים, מדובר למעשה בדרישה עסקית ולא רק בדרישה רגולטורית. לקוחות אירופיים צפויים לדרוש הוכחות לעמידה בדרישות החוק כחלק מתהליכי רכש, בדיקות ספקים והליכי אבטחת מידע וציות.

מה משתנה באוגוסט 2026?

  1. אכיפה משמעותית של מודלי General Purpose AI

החל מאוגוסט 2026 נכנסות לפעולה סמכויות האכיפה של הנציבות האירופית ביחס לספקי מודלי General Purpose AI (GPAI), כגון מודלי שפה גדולים ומודלים גנרטיביים.

משמעות הדבר היא שמעבר לדרישות התיעוד והשקיפות, קיימת יכולת רגולטורית לבצע ביקורות, לדרוש מסמכים, לחקור הפרות ולהטיל סנקציות במקרה של אי-עמידה בדרישות החוק.

למרות שרוב הארגונים אינם מפתחים מודלים בסיסיים בעצמם, רבים מהם משלבים מודלים כאלה במוצרים ובשירותים שלהם. לכן, חשוב להבין את אחריות הספק ואת אחריות המשתמש, ולבחון כיצד ההתחייבויות החוזיות משקפות חלוקת אחריות זו.

  1. חובות שקיפות

אחד מעקרונות היסוד של החוק הוא שקיפות כלפי המשתמש.

כאשר משתמש מקיים אינטראקציה עם מערכת AI עליו לדעת שהוא מתקשר עם מערכת אוטומטית ולא עם אדם, אלא אם מדובר במקרה שבו הדבר ברור מאליו.

בנוסף, כאשר נוצרים תכנים באמצעות AI – כגון טקסטים, תמונות, אודיו או וידאו – נדרשים במקרים מסוימים סימון מתאים או גילוי נאות, במיוחד כאשר קיימת אפשרות להטעיה.

עבור ארגונים, המשמעות היא בחינה מחדש של ממשקי המשתמש, הודעות המערכת, תנאי השימוש ותהליכי העבודה הכוללים יצירת תוכן באמצעות  .AI

  1. מעבר מהיערכות לממשל AI

ארגונים רבים הסתפקו עד כה במסמכי מדיניות כלליים לשימוש בבינה מלאכותית.

אולם החל מאוגוסט 2026 הציפייה היא לקיומו של מנגנון Governance אמיתי הכולל:

  • אחריות ניהולית ברורה.
  • תהליכי קבלת החלטות.
  • מנגנוני בקרה.
  • תיעוד מסודר.
  • ניהול סיכונים.
  • בחינת ספקים.
  • הדרכת עובדים.

במילים אחרות AI הופך להיות תחום ממשל ארגוני לכל דבר, בדומה לאבטחת מידע, פרטיות או ניהול סיכונים.

מאגר מערכות AI – נקודת הפתיחה

אחת הדרישות החשובות ביותר אינה מופיעה דווקא כדרישה טכנולוגית, אלא כתנאי בסיסי לכל פעילות  ניהול,

ארגון אינו יכול לנהל סיכונים של מערכות שאינו יודע שקיימות.

לכן מומלץ להקים AI Inventory הכולל בין היתר:

  • מערכות AI בפיתוח.
  • מערכות AI שנרכשו מספקים.
  • שירותי AI (כגון GPT, COPILOT, GEMINI)
  • פתרונות פנימיים.
  • Agents  אוטונומיים.
  • כלי אוטומציה המבוססים על  AI.

לכל מערכת מומלץ לתעד:

  • מטרת השימוש.
  • בעלי המערכת.
  • מקור המודל.
  • סוג הנתונים המעובדים.
  • משתמשי הקצה.
  • רמת הסיכון.
  • ספקים מעורבים.

רק לאחר השלמת המיפוי ניתן לבצע הערכת סיכונים אפקטיבית.

סיווג הסיכונים – הלב של החוק

ה-EU AI Act מבוסס על גישה מבוססת סיכון (Risk-Based Approach).

במקום להטיל אותן דרישות על כל מערכת AI, החוק מחלק את המערכות לרמות סיכון שונות.

רוב מערכות ה-AI הארגוניות שייכות לקטגוריית הסיכון הנמוך או המוגבל, ולכן אינן כפופות לדרישות המחמירות ביותר.

עם זאת, גם מערכות אלה מחייבות לעיתים שקיפות, בקרה ותיעוד.

מערכות המסווגות כ-High Risk כפופות לדרישות מחמירות בהרבה, הכוללות ניהול איכות, בקרות, תיעוד טכני, פיקוח אנושי, ניטור מתמשך והערכת התאמה.

חשוב לציין כי בעקבות עדכוני החקיקה בשנת 2026, יישום חלק מהחובות עבור מערכות High Risk  נדחה לשנים 2027–2028, במטרה לאפשר לארגונים ולרגולטורים זמן נוסף להיערכות.

Vendor Management הופך לקריטי

מרבית הארגונים אינם מפתחים מודלי AI בעצמם.

בפועל, הם נשענים על ספקים כגון OpenAI, Microsoft, Google, Anthropic ואחרים.

לכן, ניהול ספקים הופך לאחד המרכיבים החשובים ביותר במסגרת ה-Governance.

מומלץ לבחון:

  • האם הספק מספק מידע על עמידה בדרישות החוק.
  • אילו התחייבויות חוזיות קיימות.
  • כיצד מטופלים נתוני הלקוחות.
  • האם קיימים מנגנוני אבטחת מידע מתאימים.
  • כיצד מטופלות גרסאות חדשות של המודל.
  • אילו מגבלות שימוש קיימות.

ארגונים רבים כבר משלבים שאלוני AI כחלק מתהליכי Third Party Risk Management.

AI Literacy –  לא רק הדרכה טכנולוגית

אחת מדרישות החוק שנכנסה לתוקף כבר קודם היא קידום אוריינות AI (AI Literacy).

אין הכוונה לקורס טכנולוגי עמוק לכלל העובדים, אלא להבטיח כי כל עובד המשתמש במערכות AI מבין:

  • את מגבלות המערכת.
  • את הסיכונים האפשריים.
  • כיצד לזהות טעויות או "הזיות" (Hallucinations).
  • כיצד להגן על מידע רגיש.
  • באילו שימושים מותר ואסור להשתמש.

היקף ההדרכה צריך להיות מותאם לתפקיד. מפתחי AI, מנהלי מוצר, אנשי מכירות, עובדים במחלקות משפטיות ואנשי שירות לקוחות אינם זקוקים בהכרח לאותה רמת הכשרה.

שילוב עם מסגרות GRC קיימות

הטעות הנפוצה ביותר היא להתייחס ל-EU AI Act כאל תחום Compliance חדש לחלוטין.

בפועל, מרבית הדרישות משתלבות היטב במסגרות ניהול קיימות.  כגון ISO27001, ISO42001, GDPR, SOC2.

לדוגמה:

  • AI Inventory יכול להשתלב במאגר נכסי המידע.
  • AI Risk Assessment יכול להשתלב במתודולוגיית ניהול הסיכונים הארגונית.
  • Vendor Management יכול להיות חלק ממערך ניהול ספקים.
  • Incident Management יכול לכלול גם אירועי AI.
  • תוכנית AI Literacy יכולה להשתלב בהדרכות אבטחת מידע והגנת פרטיות.
  • Governance Committee יכול להרחיב את תחומי האחריות גם לניהול AI.

גישה זו מפחיתה עלויות, מונעת כפילויות ומאפשרת הטמעה מהירה יותר.

מה כדאי לעשות כבר עכשיו?

ארגונים שטרם החלו בהיערכות יכולים להתמקד במספר צעדים פרקטיים:

  1. למפות את כלל מערכות ה-AI בארגון.
  2. לבצע סיווג סיכונים לכל מערכת.
  3. להגדיר מדיניות AI ארגונית.
  4. להקים מנגנון Governance ברור.
  5. לבחון את ספקי ה-AI וההסכמים עמם.
  6. לעדכן תהליכי ניהול סיכונים.
  7. להטמיע תוכנית AI Literacy לעובדים.
  8. להגדיר מנגנוני שקיפות וגילוי למשתמשים.
  9. לשלב בקרות AI במסגרת מערך ה-GRC הקיים.
  10. להיערך לביקורות לקוחות ולדרישות רגולטוריות עתידיות.

סיכום

אוגוסט 2026 אינו מסמן מהפכה רגולטורית חדשה, אלא את המעבר משלב ההצהרות לשלב היישום והאכיפה. ארגונים שעד כה התייחסו ל-AI כאל כלי טכנולוגי בלבד נדרשים מעתה לראות בו גם תחום של ממשל תאגידי, ניהול סיכונים וציות.

עבור חברות ישראליות הפועלות בשוק האירופי, ה-EU AI Act אינו רק חובה משפטית אלא גם הזדמנות עסקית. ארגון שיוכל להציג ממשל AI מסודר, ניהול סיכונים, שקיפות ובקרות ייהנה מיתרון תחרותי מול לקוחות, שותפים ומשקיעים, ויחזק את האמון במוצריו ובשירותיו.

בסופו של דבר, הצלחה בעולם ה-AI לא תימדד רק באיכות האלגוריתמים, אלא גם ביכולת לנהל אותם באופן אחראי, בטוח ושקוף. דווקא כאן צפוי להיווצר אחד ממוקדי היתרון התחרותי המשמעותיים ביותר של השנים הקרובות

טופס תחתון

מעוניינים להתייעץ עם מומחה בתחום AI?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-7176281

  • Mordechai Rozanski 18
    Rishon Lezion

  • Sun - Thu
    08:00-17:00

שליחת הפרטים מהווה אישור למדיניות פרטיות. הפרטים יישמרו וישמשו לצורך טיפול בפנייה בלבד.