AI Governance · Regulation · Κανονισμός (ΕΕ) 2024/1689

EU AI Act & ISO 42001 στην Ελλάδα: Ο Οδηγός Συμμόρφωσης για το 2026–2027

Τι πρέπει να κάνει σήμερα μια ελληνική επιχείρηση για να συμμορφωθεί με τον Κανονισμό (ΕΕ) 2024/1689 — με ιδιαίτερη έμφαση στο Shadow AI και πώς το ISO 42001 παρέχει το framework απάντησης.

Angelos Varthalitis · C)AICSO · DBA candidate (Shadow AI) | 17 Απριλίου 2026 | 12 λεπτά ανάγνωσης

Ο EU AI Act είναι ο πρώτος ολοκληρωμένος κανονισμός για την τεχνητή νοημοσύνη παγκοσμίως — και έχει ήδη ξεκινήσει να εφαρμόζεται. Από τον Φεβρουάριο του 2025 ορισμένες χρήσεις AI έχουν απαγορευθεί εντελώς στην ΕΕ. Από τον Αύγουστο του 2025 ισχύουν υποχρεώσεις για τα General-Purpose AI models. Και από τον Αύγουστο του 2026, τα high-risk AI systems θα υπόκεινται σε πλήρες καθεστώς conformity assessment. Το ερώτημα για κάθε ελληνική επιχείρηση δεν είναι πλέον αν την αφορά, αλλά πού ακριβώς βρίσκεται στο πλαίσιο και τι πρέπει να κάνει πρώτα. Ο οδηγός αυτός απαντά και στα δύο — με έμφαση στο πιο υποτιμημένο ρίσκο της εποχής μας: το Shadow AI.

Τι είναι ο EU AI Act και γιατί δεν περιμένει

Ο Κανονισμός (ΕΕ) 2024/1689, γνωστός ως EU AI Act, τέθηκε σε ισχύ την 1η Αυγούστου 2024 και αποτελεί το πρώτο οριζόντιο νομοθέτημα παγκοσμίως που ρυθμίζει την ανάπτυξη, τη διάθεση στην αγορά και τη χρήση συστημάτων AI. Σε αντίθεση με οδηγίες όπως η NIS2, ο AI Act είναι Κανονισμός — εφαρμόζεται άμεσα και ομοιόμορφα σε όλα τα Κράτη Μέλη χωρίς να απαιτείται ενσωμάτωση στην εθνική νομοθεσία.

Η λογική του Κανονισμού είναι απλή: αντί να ρυθμίζει τα AI systems γενικά, τα κατηγοριοποιεί βάσει ρίσκου. Όσο μεγαλύτερος ο κίνδυνος για τα θεμελιώδη δικαιώματα, την υγεία ή την ασφάλεια, τόσο αυστηρότερες οι υποχρεώσεις. Και — αυτό είναι κρίσιμο — οι υποχρεώσεις δεν αφορούν μόνο τις εταιρείες που κατασκευάζουν AI, αλλά και όσες απλώς το χρησιμοποιούν.

📜 Νομική Αναφορά

Κανονισμός (ΕΕ) 2024/1689 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Ιουνίου 2024 για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την τεχνητή νοημοσύνη. Δημοσιεύθηκε στην Επίσημη Εφημερίδα της ΕΕ την 12η Ιουλίου 2024. Έναρξη ισχύος: 1η Αυγούστου 2024.

Ποιος εμπίπτει: Provider, Deployer, Importer, Distributor

Ο AI Act διακρίνει τέσσερις βασικούς ρόλους, με διαφορετικές υποχρεώσεις. Η κατανόησή τους είναι απαραίτητη για να ξέρετε τι οφείλετε στην πράξη.

  • Provider — Η οντότητα που αναπτύσσει ένα AI system ή ένα GPAI model και το διαθέτει στην αγορά ή θέτει σε λειτουργία υπό το δικό της όνομα ή εμπορικό σήμα. Οι providers high-risk συστημάτων έχουν τις περισσότερες υποχρεώσεις (Άρθρα 16-29).
  • Deployer — Η οντότητα που χρησιμοποιεί ένα AI system υπό τη δική της εξουσία, εκτός προσωπικής μη επαγγελματικής χρήσης. Οι περισσότερες ελληνικές επιχειρήσεις θα είναι deployers — χρήστες AI, όχι κατασκευαστές.
  • Importer — Η οντότητα εγκατεστημένη στην ΕΕ που διαθέτει στην αγορά AI system φέρον το όνομα ή το σήμα φυσικού ή νομικού προσώπου εκτός ΕΕ.
  • Distributor — Η οντότητα στην αλυσίδα εφοδιασμού, πέραν του provider/importer, που διαθέτει AI system στην ενωσιακή αγορά.

Πότε ένας deployer γίνεται provider;

Ένα σημαντικό σημείο που δημιουργεί σύγχυση: αν fine-tune-άρετε ένα υπάρχον GPAI model, μπορεί να γίνετε και εσείς provider. Σύμφωνα με την καθοδήγηση της Ευρωπαϊκής Επιτροπής (Ιούλιος 2025), αυτό συμβαίνει μόνο αν η τροποποίηση οδηγεί σε σημαντική αλλαγή του μοντέλου — indicatively, αν το fine-tuning χρησιμοποιεί τουλάχιστον το 1/3 των υπολογιστικών πόρων του αρχικού μοντέλου (ή 1/3 του 10²³ FLOPs, αν δεν είναι γνωστός ο αρχικός υπολογιστικός πόρος). Στην πράξη, το κατώφλι αυτό σπάνια ξεπερνιέται από τις τυπικές εταιρικές χρήσεις — αλλά αξίζει να το έχετε υπόψη.

Το Χρονοδιάγραμμα Εφαρμογής — τι ισχύει ήδη

Αντίθετα με την εντύπωση ότι «ο AI Act ξεκινά το 2026», στην πραγματικότητα ήδη εφαρμόζεται σταδιακά. Εδώ είναι η ακριβής εικόνα:

  • 1 Αυγούστου 2024 — Έναρξη ισχύος του Κανονισμού.
  • 2 Φεβρουαρίου 2025 ✅ ΣΕ ΙΣΧΥ — Απαγόρευση unacceptable risk AI systems (Άρθρο 5) και υποχρέωση AI literacy για providers και deployers (Άρθρο 4). Όλες οι ελληνικές επιχειρήσεις που χρησιμοποιούν AI έχουν ήδη υποχρέωση να διασφαλίζουν επαρκές επίπεδο AI literacy στο προσωπικό τους.
  • 2 Αυγούστου 2025 ✅ ΣΕ ΙΣΧΥ — Υποχρεώσεις για νέα GPAI models (Άρθρα 50-55). Ο GPAI Code of Practice εγκρίθηκε 1 Αυγούστου 2025 με υπογραφή από Amazon, Google, Microsoft, OpenAI, Anthropic και άλλους.
  • 2 Αυγούστου 2026 ⏳ ΕΠΕΡΧΟΜΕΝΟ — Πλήρης εφαρμογή για high-risk AI systems. Ξεκινά η ενεργή εφαρμογή από την AI Office για GPAI υποχρεώσεις. Τίθενται σε λειτουργία τα πρόστιμα.
  • 2 Αυγούστου 2027 — Εφαρμογή για embedded high-risk AI (Παράρτημα I) και deadline για GPAI models που ήδη κυκλοφορούσαν πριν τις 2/8/2025.
⚠️ Αυτό που δεν λέγεται

Η υποχρέωση AI literacy του Άρθρου 4 ισχύει ήδη από τον Φεβρουάριο 2025. Αν η εταιρεία σας χρησιμοποιεί ChatGPT, Copilot, Claude ή οποιοδήποτε άλλο AI tool παραγωγικά, οφείλετε να διασφαλίζετε ότι οι εργαζόμενοι κατανοούν τις ικανότητες, τα όρια και τους κινδύνους του. Δεν χρειάζεται formal training — αλλά χρειάζεται τεκμηριωμένη προσέγγιση.

Οι 4+2 Κατηγορίες Ρίσκου

Η καρδιά του AI Act είναι η κατηγοριοποίηση των AI systems βάσει ρίσκου. Υπάρχουν τέσσερις κύριες κατηγορίες συν δύο ξεχωριστά καθεστώτα για GPAI:

1. Unacceptable Risk (Απαγορευμένα — Άρθρο 5)

Πλήρως απαγορευμένα από τον Φεβρουάριο 2025. Περιλαμβάνουν: social scoring από δημόσιες αρχές, subliminal manipulation που προκαλεί βλάβη, exploitation ευάλωτων ομάδων λόγω ηλικίας/αναπηρίας, real-time biometric identification σε δημόσιους χώρους για law enforcement (με πολύ περιορισμένες εξαιρέσεις), emotion recognition σε χώρους εργασίας/εκπαίδευσης, untargeted scraping προσωπικών εικόνων από internet για δημιουργία databases αναγνώρισης προσώπου.

2. High Risk (Άρθρα 6-15)

Επιτρέπονται, αλλά με αυστηρές υποχρεώσεις. Περιλαμβάνουν AI systems για: critical infrastructure (ενέργεια, μεταφορές), εκπαίδευση (admissions, evaluations), απασχόληση (recruitment, evaluation, task allocation), βασικές ιδιωτικές/δημόσιες υπηρεσίες (credit scoring, health insurance, emergency services), law enforcement, migration & border control, δικαιοσύνη & δημοκρατικές διαδικασίες.

3. Limited Risk (Άρθρο 50)

Υποχρεώσεις διαφάνειας. Οι chatbots πρέπει να δηλώνουν ότι είναι AI. Το AI-generated content (εικόνες, ήχος, βίντεο) πρέπει να επισημαίνεται ως τέτοιο. Τα deepfakes υπόκεινται σε disclosure obligations.

4. Minimal Risk

Spam filters, AI σε video games, inventory management AI. Καμία υποχρέωση πέραν των γενικών (AI literacy). Η συντριπτική πλειοψηφία των εφαρμογών AI πέφτει εδώ.

5+6. GPAI Models και GPAI με Systemic Risk

Ξεχωριστό καθεστώς για foundation models. Αναλύεται παρακάτω (GPAI section).

High-Risk AI: Οι πραγματικές υποχρεώσεις

Εδώ βρίσκεται το 90% της ρυθμιστικής δουλειάς του AI Act. Αν το σύστημά σας εμπίπτει στο Παράρτημα III (use cases) ή στο Παράρτημα I (embedded σε ρυθμιζόμενα προϊόντα), οι υποχρεώσεις των Άρθρων 9-15 είναι απαιτητικές:

  • Άρθρο 9 — Risk Management System: συνεχής, επαναληπτική διαδικασία αναγνώρισης, εκτίμησης και μετριασμού κινδύνων σε όλο τον κύκλο ζωής του AI system.
  • Άρθρο 10 — Data Governance: training, validation και test datasets πρέπει να είναι relevant, representative, accurate και — όπου είναι εφικτό — free of errors. Data lineage και bias detection είναι υποχρεωτικά.
  • Άρθρο 11 — Technical Documentation: πλήρης τεχνική τεκμηρίωση πριν τη διάθεση στην αγορά, σύμφωνη με το Παράρτημα IV.
  • Άρθρο 12 — Record-Keeping: automatic logging events για traceability, incident investigation και post-market monitoring.
  • Άρθρο 13 — Transparency to Deployers: instructions for use που καλύπτουν capabilities, limitations, intended purpose, expected accuracy.
  • Άρθρο 14 — Human Oversight: σχεδιασμός που επιτρέπει ουσιαστική ανθρώπινη εποπτεία — όχι απλώς "κουμπί stop", αλλά ικανότητα κατανόησης και διόρθωσης των outputs.
  • Άρθρο 15 — Accuracy, Robustness, Cybersecurity: κατάλληλα επίπεδα απόδοσης, ανθεκτικότητα σε errors και adversarial attacks, κυβερνοασφάλεια.

Οι υποχρεώσεις των deployers high-risk systems (Άρθρο 26) περιλαμβάνουν την ορθή χρήση κατά τις οδηγίες, την εξασφάλιση human oversight από εκπαιδευμένο προσωπικό, τη διατήρηση logs, και — για ορισμένες περιπτώσεις — την εκτέλεση Fundamental Rights Impact Assessment (FRIA, Άρθρο 27) πριν από τη θέση σε λειτουργία.

GPAI Models & ο Code of Practice

Τα General-Purpose AI models (GPAI) — όπως GPT-4, Claude, Gemini — έχουν ξεχωριστό καθεστώς. Ο ορισμός: AI model που εμφανίζει significant generality και είναι ικανό να εκτελεί ικανοποιητικά ένα ευρύ φάσμα διακριτών εργασιών. Το κατώφλι παραμέτρων (τουλάχιστον 1 δισ. params trained με self-supervised learning σε μεγάλη κλίμακα) αναφέρεται ως ενδεικτική πλην καθοριστική ιδιότητα.

Οι υποχρεώσεις για τους providers GPAI (Άρθρα 53-55) περιλαμβάνουν: τεχνική τεκμηρίωση του μοντέλου, πληροφορίες προς downstream providers, πολιτική συμμόρφωσης με copyright της ΕΕ, δημόσια περίληψη των training data. Για GPAI με systemic risk (κατώφλι 10²⁵ FLOP για training compute), προστίθενται: model evaluations, adversarial testing, systemic risk assessment και αναφορά σοβαρών περιστατικών στην AI Office.

Ο Code of Practice: το ασφαλές μονοπάτι

Στις 10 Ιουλίου 2025 η Ευρωπαϊκή Επιτροπή δημοσίευσε τον General-Purpose AI Code of Practice, προϊόν πολύμηνης εργασίας με σχεδόν 1.000 συμμετέχοντες. Εγκρίθηκε από την AI Office και το AI Board την 1η Αυγούστου 2025. Αποτελείται από τρία κεφάλαια: Transparency, Copyright και Safety & Security.

Ο Κώδικας είναι εθελοντικός — αλλά η υπογραφή του δημιουργεί rebuttable presumption of compliance με τα Άρθρα 53 και 55. Οι μη-υπογράφοντες πρέπει να αποδείξουν συμμόρφωση με ίδια μέσα και θα δέχονται περισσότερα και πιο λεπτομερή requests for information από την AI Office. Στην πράξη, για μεγάλους providers, η υπογραφή είναι το practical ασφαλές μονοπάτι.

💡 Πρακτικό για deployers

Αν η εταιρεία σας χρησιμοποιεί ChatGPT Enterprise, Microsoft Copilot, Claude for Business ή παρόμοιο GPAI-based tool, εσείς δεν είστε provider. Οι υποχρεώσεις του Άρθρου 53 αφορούν τον provider του μοντέλου. Εσάς σας αφορά η υποχρέωση AI literacy (Άρθρο 4) και — αν χρησιμοποιείτε το tool για high-risk use case — οι υποχρεώσεις του Άρθρου 26.

Shadow AI: Ο κρυφός κίνδυνος που δεν μετρά κανείς

Εδώ είναι η συζήτηση που λείπει από τους περισσότερους οδηγούς AI συμμόρφωσης. Το Shadow AI — η μη εγκεκριμένη, μη ορατή στην IT/Compliance χρήση AI tools από εργαζόμενους — είναι ήδη κυρίαρχη πραγματικότητα σε κάθε οργανισμό που δεν έχει χαρτογραφήσει ενεργά τη χρήση AI του.

Ο εργαζόμενος που paste-άρει confidential στρατηγικό κείμενο στο ChatGPT προσωπικού account για γρήγορο summary. Η ομάδα marketing που στήνει workflow με Make.com + OpenAI χωρίς να ενημερώσει Security. Ο developer που χρησιμοποιεί Claude μέσω personal API key για code generation σε enterprise repos. Όλα αυτά συμβαίνουν ήδη, και όλα παράγουν ρίσκο που ο AI Act φέρνει στο επίκεντρο.

Γιατί είναι κρίσιμο τώρα

Το Shadow AI δημιουργεί ταυτόχρονα τρία επίπεδα νομικού ρίσκου:

  • GDPR exposure: αν εργαζόμενοι feed-άρουν personal data σε public GPAI tools, η εταιρεία γίνεται controller χωρίς νομική βάση, χωρίς DPIA, χωρίς transfer mechanism αν το tool hostεται εκτός ΕΕ.
  • AI Act exposure: αν η χρήση πέφτει σε high-risk use case (π.χ. AI για screening βιογραφικών σε HR), η εταιρεία έχει υποχρεώσεις deployer του Άρθρου 26 — και δεν μπορεί να αποδείξει συμμόρφωση με σύστημα που δεν γνωρίζει ότι υπάρχει.
  • Trade secrets & IP: output generated από third-party GPAI συχνά έχει αμφίβολο status ως προς την πνευματική ιδιοκτησία. Input που περιέχει trade secrets μπορεί να τροφοδοτήσει training data του provider (εξαρτάται από τη σύμβαση).

Η έρευνά μου ως DBA candidate εστιάζει ακριβώς σε αυτό το φαινόμενο: πώς οργανισμοί μπορούν να χαρτογραφήσουν, να αξιολογήσουν και να διαχειριστούν το Shadow AI πριν γίνει υποχρεωτικό να το κάνουν βίαια μετά από ένα incident. Η απάντηση δεν είναι τεχνολογική πρώτα — είναι governance πρώτα, τεχνολογία δεύτερη.

ISO 42001: Το Framework που απαντά στον AI Act

Το ISO/IEC 42001:2023, δημοσιευμένο τον Δεκέμβριο 2023, είναι το πρώτο διεθνές πρότυπο για AI Management Systems (AIMS). Λειτουργεί όπως το ISO 27001 για information security: παρέχει ένα δομημένο, auditable framework για τη διακυβέρνηση του AI σε επίπεδο οργανισμού, βασισμένο σε Plan-Do-Check-Act.

Γιατί ενδιαφέρει άμεσα τώρα: ενώ ο AI Act ορίζει τι πρέπει να επιτύχει μια εταιρεία, το ISO 42001 δίνει πώς. Για οργανισμούς που λειτουργούν high-risk AI, η εφαρμογή ISO 42001 είναι ο πρακτικότερος τρόπος να αποδειχθεί συστηματική συμμόρφωση με τα Άρθρα 9-15. Στην πορεία προς την deadline του Αυγούστου 2026, αναμένεται να γίνει de facto πρότυπο αναφοράς για AI governance στην ΕΕ.

Η δομή του ISO 42001

Για όσους γνωρίζουν ISO 27001, η δομή είναι άμεσα οικεία — clauses 4-10 (context, leadership, planning, support, operation, performance evaluation, improvement) ακολουθούν το ίδιο Annex SL pattern. Τα δύο κύρια annexes:

  • Annex A — Management guide for AI system development, με control objectives και 39 controls οργανωμένα σε 9 θέματα (AI policy, internal organization, resources, impact assessment, AI system life cycle, data for AI systems, information for interested parties, use of AI systems, third-party relationships).
  • Annex B — Implementation guidance για τα controls του Annex A, με πρακτικές οδηγίες και data management processes.

Integration με ISO 27001

Ένα από τα ισχυρότερα σημεία του ISO 42001: ενσωματώνεται φυσικά σε υπάρχον ISO 27001 ISMS. Οι περισσότεροι οργανισμοί που ήδη έχουν πιστοποιηθεί σε ISO 27001 μπορούν να προσθέσουν AIMS με σχετικά μικρό effort — επεκτείνοντας το scope, προσθέτοντας AI-specific policies, και ενσωματώνοντας τα Annex A controls σε υπάρχον Statement of Applicability workflow. Για ελληνικές επιχειρήσεις που έχουν ήδη ξεκινήσει το NIS2 journey με ISO 27001, το ISO 42001 είναι το φυσικό επόμενο βήμα.

Πρόστιμα & Ευθύνες

Τα πρόστιμα του AI Act (Άρθρα 99-101) είναι δομημένα σε τρεις κλίμακες, αναλόγως της σοβαρότητας της παραβίασης:

  • €35 εκατ. ή 7% παγκόσμιου ετήσιου κύκλου εργασιών (όποιο μεγαλύτερο) — για παραβίαση της απαγόρευσης του Άρθρου 5 (unacceptable risk AI).
  • €15 εκατ. ή 3% παγκόσμιου κύκλου εργασιών — για παραβίαση των περισσότερων άλλων υποχρεώσεων (high-risk, GPAI, transparency).
  • €7,5 εκατ. ή 1% — για παροχή ανακριβών, ελλιπών ή παραπλανητικών πληροφοριών σε αρχές.

Για GPAI providers ειδικά, το Άρθρο 101 επιτρέπει πρόστιμα έως €15 εκατ. ή 3% παγκόσμιου κύκλου εργασιών. Η έναρξη επιβολής γίνεται στις 2 Αυγούστου 2026. Σημαντική λεπτομέρεια: η προσχώρηση στον GPAI Code of Practice λαμβάνεται υπόψη ως mitigating factor κατά τον υπολογισμό προστίμου.

Εκτός από τα διοικητικά πρόστιμα, ο AI Act ενεργοποιεί πιθανές αστικές αξιώσεις κατά το Άρθρο 82 GDPR όταν παραβίαση του AI Act οδηγεί σε παράνομη επεξεργασία προσωπικών δεδομένων.

Πρακτικό Roadmap για Ελληνικές Επιχειρήσεις 2026–2027

Ανάλογα με το profile της επιχείρησής σας, εδώ είναι τα πρώτα βήματα:

Αν είστε deployer (χρήστης AI tools)

  1. Μήνας 1: AI Inventory — χαρτογράφηση όλων των AI tools σε χρήση (sanctioned & shadow). Survey εργαζομένων, network discovery, policy review.
  2. Μήνας 1-2: AI Acceptable Use Policy — ποιά tools επιτρέπονται, για ποιες χρήσεις, με ποια data, με ποιά έγκριση.
  3. Μήνας 2-3: AI Literacy Program — τεκμηριωμένη εκπαίδευση προσωπικού (Άρθρο 4). Δεν χρειάζεται να είναι formal certification, αλλά πρέπει να υπάρχει εγγραφή.
  4. Μήνας 3-6: Risk Classification — για κάθε use case, καθορισμός αν εμπίπτει σε high-risk category. Για όσα εμπίπτουν, προετοιμασία για Άρθρο 26 obligations και FRIA.
  5. Μήνας 6-12: ISO 42001 gap assessment και σταδιακή υιοθέτηση — ιδανικά ενσωματωμένα σε υπάρχον ISMS.

Αν αναπτύσσετε ή fine-tune-άρετε AI

  1. Άμεσα: Καθορισμός ρόλου — είστε provider ή απλώς deployer που fine-tuneάρει κάτω από το κατώφλι;
  2. Μήνες 1-3: Classification του system (high-risk; GPAI; GPAI με systemic risk;).
  3. Μήνες 3-9: Technical documentation (Παράρτημα IV), risk management system (Άρθρο 9), data governance (Άρθρο 10), record-keeping (Άρθρο 12).
  4. Μήνες 9-12: Conformity assessment procedure, CE marking, δήλωση συμμόρφωσης.
  5. Πριν Αύγ. 2026: Registration στην EU database για high-risk systems (Άρθρο 49).

Πόσο κοστίζει πραγματικά

Δεν υπάρχει μονοσήμαντη απάντηση — εξαρτάται άμεσα από τη χρήση AI της εταιρείας. Ενδεικτικές τάξεις μεγέθους για ελληνική ΜΜΕ με εσωτερική χρήση AI (όχι ανάπτυξη):

  • AI Inventory + AUP + Literacy Program: €3.000 – €8.000 ως one-off implementation, ελάχιστη επαναλαμβανόμενη προσπάθεια.
  • High-risk use case identification + FRIA: €2.000 – €6.000 ανά use case, μειώνεται δραστικά όταν υπάρχει υπάρχον GDPR/DPIA framework.
  • ISO 42001 implementation: €12.000 – €30.000 για οργανισμούς με υπάρχον ISO 27001. €20.000 – €50.000 από το μηδέν. Εξαρτάται έντονα από πολυπλοκότητα και εύρος.
  • ISO 42001 certification audit: €6.000 – €15.000 από accredited certification body (BSI, PECB, SGS, TÜV, DEKRA κ.ά.).

Το κόστος μη-συμμόρφωσης είναι ασύγκριτα υψηλότερο από το κόστος υλοποίησης. Ακόμα και χωρίς πρόστιμο, μια αποκάλυψη Shadow AI μέσω incident ή audit μπορεί να κοστίσει σε lost contracts, regulatory scrutiny και reputational damage πολλαπλάσιο από ένα structured ISO 42001 program.

Συχνές Ερωτήσεις

Η εταιρεία μου δεν αναπτύσσει AI. Με αφορά ο AI Act;

Ναι, αν χρησιμοποιείτε οποιοδήποτε AI tool παραγωγικά. Η υποχρέωση AI literacy (Άρθρο 4) ισχύει ήδη από Φεβρουάριο 2025. Αν η χρήση πέφτει σε high-risk use case (HR screening, credit scoring, κ.ά.), έχετε επιπλέον υποχρεώσεις deployer (Άρθρο 26). Και ενδεχομένως να εμπίπτει η χρήση σας σε απαγορευμένη πρακτική του Άρθρου 5.

Το ChatGPT είναι GPAI. Αν το χρησιμοποιώ στην εταιρεία, γίνομαι provider GPAI;

Όχι. Provider του ChatGPT είναι η OpenAI. Εσείς είστε deployer. Αν όμως fine-tune-άρετε ένα open-source GPAI model και χρησιμοποιήσετε υπολογιστικούς πόρους ≥ 1/3 αυτών του αρχικού training, μπορείτε να γίνετε προμηθευτής.

Μας αφορά το ISO 42001 αν έχουμε ήδη ISO 27001;

Το ISO 27001 καλύπτει information security, όχι AI-specific governance. Το ISO 42001 καλύπτει AI lifecycle management, bias, human oversight, accountability, transparency. Αν χρησιμοποιείτε ή αναπτύσσετε AI ουσιαστικά, το ISO 42001 είναι το επόμενο λογικό βήμα — και ενσωματώνεται φυσικά στο υπάρχον ISMS σας.

Τι ακριβώς είναι το Shadow AI και πώς το αντιμετωπίζω;

Shadow AI είναι η μη εγκεκριμένη χρήση AI tools από εργαζόμενους — personal ChatGPT accounts για εταιρικές εργασίες, unauthorized AI integrations, rogue automations. Η αντιμετώπιση ξεκινά με discovery (survey + network analysis), συνεχίζει με policy (clear Acceptable Use), και κλείνει με enablement (provide sanctioned alternatives ώστε να μην υπάρχει λόγος shadow usage).

Πότε θα αρχίσουν τα πρόστιμα;

Τα πρόστιμα για παραβίαση του Άρθρου 5 (unacceptable risk) ισχύουν ήδη από Φεβρουάριο 2025. Για τις περισσότερες άλλες υποχρεώσεις — high-risk, GPAI, transparency — η ενεργή εφαρμογή ξεκινά στις 2 Αυγούστου 2026.

Υπάρχει ελληνική αρχή AI αντίστοιχη της ΕΑΚ για NIS2;

Σε εξέλιξη. Σε επίπεδο ΕΕ, η AI Office (DG CONNECT) έχει κεντρικό ρόλο για GPAI. Σε επίπεδο Κρατών Μελών, κάθε χώρα ορίζει μία ή περισσότερες εθνικές αρμόδιες αρχές (market surveillance + notifying authorities) για high-risk systems. Για την Ελλάδα, η τελική εικόνα αναμένεται να διαμορφωθεί προς το 2026 — με τις Ανεξάρτητες Αρχές (ΑΠΔΠΧ) και την ΕΑΚ πιθανούς υποψήφιους για συμπληρωματικούς ρόλους.

Μπορώ να ξεκινήσω ISO 42001 χωρίς να έχω ISO 27001;

Ναι, τεχνικά. Το ISO 42001 είναι αυτοδύναμο πρότυπο. Αλλά η εμπειρία δείχνει ότι η υιοθέτηση χωρίς υπάρχον management system (27001 ή παρόμοιο) διπλασιάζει τον χρόνο και την πολυπλοκότητα. Αν ξεκινάτε από μηδέν, η συνηθισμένη προσέγγιση είναι integrated ISO 27001 + 42001 implementation.

Σχετικά Άρθρα

Συνεχίστε την ανάγνωση

NIS2 · Regulatory

NIS2 στην Ελλάδα: Οδηγός Συμμόρφωσης 2026

Ν.5160/2024, ΚΥΑ 1689/2025, υποχρεώσεις, πρόστιμα, 12μηνο roadmap.
Insights · Hub

Όλα τα Insights

ISO 27001, GDPR, DORA, CyFun, vCISO — όλες οι αναλύσεις μας.
Framework · Overview

EU AI Act — Σύντομη Επισκόπηση

Οι βασικές αρχές του AI Act σε μορφή framework overview.