A legtöbb ügyvezetővel, akivel az elmúlt hónapokban Pécsen vagy Budapesten tárgyaltam, ugyanaz a mondat hangzott el: „Henrik, ez az AI Act minket valójában nem érint, ugye?”. A baj az, hogy az esetek többségében éppen ellenkezőleg: a 2026. augusztus 2-i határidő pont azokat a 70-500 fős magyar középvállalatokat szorítja meg, amelyek a HR-szoftvereikben, ügyfélszolgálati botjaikban vagy hitelbírálati rendszereikben már régóta használnak gépi tanulást — csak nem így hívják. Az EU AI Act megfelelés 2026 tehát nem egy távoli brüsszeli ügy, hanem konkrét, mérhető jogi kockázat, amelyre érdemes most felkészülni.
2026.08.02 határidő: mely magyar cégekre vonatkozik az AI Act
A 2024/1689 EU rendelet — közismertebb nevén az AI Act — szakaszosan lép hatályba. A tiltott gyakorlatokra vonatkozó rész már 2025 februárja óta él, az általános célú modellekre (GPAI) vonatkozó kötelezettségek 2025 augusztusától, a magas kockázatú rendszerek nagy része pedig 2026. augusztus 2-án válik kötelezővé. Ez utóbbi az a dátum, amely a magyar középvállalati szektort a leginkább érinti.
AZAR Menedzsment Konzulting ügyfélkörében végzett informális felmérésünk szerint a 70-500 fős magyar cégek mintegy 38%-a nincs tisztában azzal, hogy az általuk használt eszközök — egy önéletrajz-szűrő, egy churn-előrejelző, egy kamera alapú beléptetőrendszer — az AI Act hatálya alá esnek. A jogszabály ugyanis nem aszerint dönt, hogy „mesterséges intelligenciának” nevezik-e a megoldást, hanem aszerint, hogy milyen autonómiával hoz döntést és milyen kontextusban használják.
Ki minősül „provider”-nek és ki „deployer”-nek?
A magyar cégek többsége nem fejleszt saját modellt — ők „deployer”, azaz alkalmazó. Ez kedvezőbb pozíció, de NEM jelent felmentést. A magas kockázatú rendszereknél a deployernek is kötelessége az emberi felügyelet biztosítása, az input adatok minőségének ellenőrzése, naplózás, valamint az érintettek tájékoztatása. Az AI Act KKV-szempontból leggyakoribb félreértése, hogy „mi csak vásároljuk, nem mi készítettük” — a felelősség ettől nem szűnik meg.
Kockázati besorolás: tiltott, magas, korlátozott, minimális kategóriák
Az AI Act négy szintű kockázati piramist használ, és a megfelelési teher minden szinten más. A magyar cégeknek mindenekelőtt azt kell tisztázniuk, hogy a saját AI-eszközeik melyik dobozba kerülnek.
Tiltott gyakorlatok (Art. 5): social scoring, manipulatív technikák, valós idejű biometrikus azonosítás közterületen (szűk kivételekkel), érzelemfelismerés munkahelyen és oktatásban. Ezek 2025 februárja óta jogellenesek, használatuk azonnali bírságkockázat.
Magas kockázatú rendszerek (Annex III): HR és toborzás (önéletrajz-szűrés, teljesítményértékelés), hitelképesség-vizsgálat, biztosítási kockázatértékelés, kritikus infrastruktúra-vezérlés, oktatási értékelés, bizonyos rendvédelmi alkalmazások. Itt a teljes megfelelési csomag kötelező: kockázatkezelési rendszer, adatkormányzás, műszaki dokumentáció, naplózás, átláthatóság, emberi felügyelet, pontosság és kiberbiztonság.
Korlátozott kockázat: chatbotok, deepfake-ek, generatív tartalom. Itt a fő kötelezettség a tájékoztatás — a felhasználónak tudnia kell, hogy AI-jal beszél, illetve hogy a tartalmat AI generálta.
Minimális kockázat: spam-szűrő, AI-jal javított képszerkesztő, ajánlórendszer egy webshopban. Itt nincs kötelező megfelelési teher, de az önkéntes magatartási kódex (Code of Conduct) ajánlott — különösen, ha a cég B2B partnereihez compliance-kérdőívekkel érkezik.
Tapasztalataink alapján a magyar középvállalatok többségénél 1-3 magas kockázatú rendszer azonosítható — leggyakrabban a HR-rendszerben rejtve. Ez a felismerés sokakat meglep.
Magyar implementáció: 2025. évi LXXV. törvény és a regulatory sandbox
A magyar jogalkotó 2025 nyarán fogadta el a 2025. évi LXXV. törvényt az AI Act hazai végrehajtásáról. A törvény legfontosabb pontjai a felügyeleti hatóságok kijelölése, a regulatory sandbox keretrendszerének felállítása, valamint a piaci felügyelet eljárási szabályai.
A felügyeleti hatóságot szektoronként más-más szerv látja el: pénzügyi szolgáltatások esetén az MNB, távközlésnél az NMHH, általános fogyasztóvédelmi és adatvédelmi vonalon pedig a NAIH — utóbbi a leggyakoribb kontaktpont a magyar KKV-szektorban használt HR- és marketingrendszerek miatt.
AI regulatory sandbox: érdemes-e bejelentkezni?
A magyar AI sandbox keretrendszer 2026 első félévében indult el. Lényege, hogy innovatív megoldásaikat a cégek a hatósággal kontrollált környezetben tesztelhessék, korlátozott bírságkockázattal. Pécs és a Dél-Dunántúl egyetemi és ipari ökoszisztémájában ez különösen érdekes lehetőség — a Pécsi Tudományegyetem és a regionális ipari szereplők közötti AI-projektek pontosan ide illenek.
A sandbox NEM jelent felmentést a kötelezettségek alól, de jelentős előny: a hatósággal párbeszédben formálódik a megoldás, és a későbbi piaci bevezetés kockázata drámaian csökken. AZAR Menedzsment Konzulting több ügyfelénél is segítettük a sandbox-jelentkezés előkészítését, és a tapasztalatunk az, hogy a hatóság konstruktívan áll a felkészült kérelmekhez.
NAIH 2026-os szektor-ellenőrzések: bank után mi jön
A NAIH 2026-os ellenőrzési ütemterve nyilvános, és világosan jelzi a sorrendet. Az első hullám a pénzintézeti szektort célozta — hitelbírálati és csalásészlelési rendszerek auditálása. A második hullám 2026 második felében a HR- és toborzási piacot veszi célba: ATS-rendszerek (Applicant Tracking System), önéletrajz-rangsoroló algoritmusok, teljesítményértékelő szoftverek.
A magyar KKV-szektorban ez a hullám a legérzékenyebb pont. Egy 200 fős cég, amely egy nemzetközi HR-SaaS-t használ önéletrajz-előszűrésre, ma jellemzően nem rendelkezik DPIA-val (Data Protection Impact Assessment), AI hatásvizsgálattal, sem írásos emberi felügyeleti protokollal. Egy NAIH-ellenőrzés ezt percek alatt feltárja.
A harmadik hullám várhatóan az egészségügyi és oktatási alkalmazásokat fogja érinteni 2027-ben. Aki most felkészül, az lényegében két lépéssel jár a versenytársak előtt – és ez a verseny nem szakmai presztízskérdés, hanem konkrét üzleti kockázat: egy 35 millió eurós felső bírsági plafon mellett a versenytársak megelőzése egzisztenciális tét.
„Tapasztalatom szerint a magyar cégvezetők többsége nem a megfelelésen bukik el, hanem azon, hogy túl későn ismerik fel: az AI-rendszereik már most magas kockázatú kategóriába tartoznak.” — Fülöp Henrik, AZAR Menedzsment Konzulting
AI compliance keret 6 lépésben: DPIA, audit log, AI register
Ügyfeleimnél bevált, hat lépéses módszertant alkalmazok, amely a ISO 42001 (AI Management System) szabványra és az EU AI Act követelményeire épül. Ez nem jogi tankönyv, hanem gyakorlati keretrendszer, amelyet egy 100-500 fős magyar cégnél 4-6 hónap alatt be lehet vezetni.
- AI Register felállítása. Minden használt AI-eszköz leltára: szállító, funkció, érintettek köre, kockázati besorolás. Az ügyfeleimnél jellemzően 12-30 tételt találunk — a vezetés általában 5-6-ra tippelt.
- Kockázati besorolás és gap-elemzés. Annex III alapú átvizsgálás. Itt derül ki, hogy a HR-rendszer ATS-modulja valójában magas kockázatú.
- DPIA + FRIA (Fundamental Rights Impact Assessment). A magas kockázatú rendszerekre kötelező — a deployernek is.
- Műszaki és szervezeti intézkedések. Naplózási követelmények (audit log min. 6 hónap), emberi felügyelet (human-in-the-loop) protokoll, képzési terv.
- Governance struktúra. AI Officer kijelölése (lehet meglévő DPO bővített hatáskörrel), AI Steering Committee negyedéves üléssel, írásos AI Policy a teljes szervezetre.
- Folyamatos monitoring. Incidensjelentési protokoll, modellteljesítmény-figyelés (drift detection), évi belső audit, kétévente külső audit.
Az AI governance keret kiépítésekor nálunk a legtöbbet az szokott segíteni, hogy a kereteket nem nulláról építjük, hanem a meglévő GDPR- és ISO 27001-struktúrákba illesztjük. Egy érett információbiztonsági irányítási rendszer mellé az AI-réteg 30-40%-os munkateherrel hozzáadható — a fennmaradó rész a valódi újdonság.
Költségbecslés: 500 ezer-1,5 millió forint helyett 35 millió euró kockázat
A cégvezetők leggyakoribb kérdése a tárgyalás második percében: „Henrik, mibe kerül ez nekünk?”. A reális válasz: egy 100-300 fős magyar cégnél a teljes körű AI compliance keret kiépítése és az első éves működtetés becsléseink szerint 500 ezer és 1,5 millió forint közötti tanácsadói költséget jelent, amelyhez hozzáadódik a belső kapacitás (jellemzően 0,2-0,5 FTE az első évben). Külső auditra a második évtől érdemes gondolni; ennek tarifája 1,5-3 millió forint közötti tartomány.
Ezzel szemben a bírsági kockázat: tiltott AI-gyakorlat esetén az árbevétel 7%-a vagy 35 millió euró (amelyik magasabb), magas kockázatú rendszer megfelelési hibájánál 3% vagy 15 millió euró, információszolgáltatási hibánál 1% vagy 7,5 millió euró. A magyar KKV-szektorban a 35 milliós plafon ritkán reális, de az árbevétel-arányos szankció igen — egy 5 milliárd forintos cégnél ez 150 millió forint feletti tételt is jelenthet egy magas kockázatú megfelelési hibánál.
A költség-haszon számítás tehát egyértelmű: a megfelelési projekt egyszeri befektetés alacsony hétjegyű forintban, a bírsági kockázat ennek 10-100-szorosa. És ez még nem tartalmazza a reputációs kárt, az ügyféladatlapokban megjelenő compliance-kérdőívek elbukását, vagy a V4 régióban és nyugati piacokon szigorodó B2B beszerzési feltételeket, amelyek ma már rutinszerűen kérdeznek rá az AI Act megfelelésre.
Gyakran ismételt kérdések (GYIK)
Egy 50 fős magyar cégnek is kötelező az AI Act megfelelés?
Igen, az AI Act nem méretfüggő. A KKV-státusz bizonyos arányosítási könnyítéseket ad (egyszerűsített dokumentáció, sandbox elsőbbség), de a kötelezettségek alapelvei minden cégre vonatkoznak, ha magas kockázatú rendszert használnak. A 2025. évi LXXV. törvény külön KKV-támogatási mechanizmust is kilátásba helyez.
Elég-e, ha a szállítónk garantálja az AI Act megfelelést?
Nem elég. A deployernek (alkalmazónak) saját, önálló kötelezettségei vannak: emberi felügyelet, érintetti tájékoztatás, naplózás, incidensjelentés. A szállítói nyilatkozat fontos input, de nem mentesít. Ügyfeleimnél jellemzően a szállítói szerződés AI-mellékletének átdolgozása az első konkrét lépés.
ISO 42001 tanúsítvány kötelező lesz?
Jogszabályi szinten nem kötelező, de praktikusan a piac afelé halad, hogy az ISO 42001 lesz az „elfogadhatóság mércéje” — hasonlóan ahhoz, ahogy az ISO 27001 vált az információbiztonság de facto standardjává. B2B beszállítói pozícióban már most számít, különösen nyugat-európai és észak-amerikai partnerek felé.
Hogyan tovább: AZAR Menedzsment Konzulting megközelítése
Az EU AI Act megfelelés 2026 nem informatikai, nem is tisztán jogi kérdés — stratégiai üzleti döntés, amely a vállalat AI-érettségét és piaci versenyképességét egyaránt érinti. AZAR Menedzsment Konzulting tanácsadói gyakorlatában a jogi, üzleti és technológiai szempontot egy módszertanban hidaljuk össze, Pécsről induló, országosan és V4-régiós szinten alkalmazott megközelítéssel.
Ha Ön most kezd készülni a 2026. augusztus 2-i határidőre — vagy ha pontosan szeretné tudni, hogy a cégénél lévő rendszerek melyik kockázati kategóriába esnek —, érdemes egy strukturált felmérési beszélgetéssel kezdeni. A további kiemelt tartalmak között több kapcsolódó esettanulmányt és módszertani anyagot is megtalál a témában. Fülöp Henrikként és az AZAR Menedzsment Konzulting csapataként a felelős AI bevezetés azt jelenti, hogy a megfelelést nem teherként, hanem versenyelőnyként pozícionáljuk — és a magyar cégek számára éppen ebben rejlik a következő két év legnagyobb stratégiai lehetősége.