Dieser Artikel wird regelmäßig aktualisiert. Nächste relevante Frist: August 2026 (Vollständige Geltung EU AI Act für Hochrisiko-KI-Systeme).
Artikel 4 des EU AI Acts ist einer der meistübersehenen Paragraphen der gesamten Verordnung. Während alle über die Hochrisiko-Pflichten ab August 2026 diskutieren, gilt Artikel 4 — die KI-Kompetenzpflicht — bereits seit dem 2. Februar 2025. Für alle Unternehmen, die KI nutzen. Ohne Ausnahme für KMU.
Dieser Artikel ist keine Rechtsberatung. Für verbindliche Einschätzungen Ihrer spezifischen Situation wenden Sie sich an spezialisierte Anwälte. Was ich hier biete: eine strukturierte Orientierung, damit Sie verstehen, was Artikel 4 fordert — und wie Sie als KMU vernünftig damit umgehen.
Was ist Artikel 4 des EU AI Acts?
Artikel 4 des EU AI Acts verpflichtet alle Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen — auf Englisch: AI literacy. Das klingt abstrakt. Gemeint ist: Wer im Unternehmen KI nutzt, muss verstehen, was er da eigentlich tut.
Die offizielle Definition von KI-Kompetenz im Sinne des Gesetzes umfasst: Fähigkeiten, Kenntnisse und Verständnis, die es Anbietern und Betreibern ermöglichen, KI-Systeme verantwortungsvoll einzusetzen und deren Risiken und Auswirkungen einzuschätzen.
Artikel 4 des EU AI Acts ist seit dem 2. Februar 2025 in Kraft — ein volles Jahr vor den Hochrisiko-Pflichten. Unternehmen, die heute mit KI arbeiten, sind bereits in der Pflicht.
Was Artikel 4 nicht verlangt: dass jeder Mitarbeitende ein KI-Experte wird. Verlangt wird eine dem jeweiligen Einsatzkontext angemessene Kompetenz. Das klingt nach einem Schlupfloch — ist aber in Wahrheit eine erhöhte Anforderung an die eigene Einschätzungsfähigkeit.
Für wen gilt die KI-Kompetenzpflicht?
Die Pflicht gilt für zwei Gruppen: Anbieter (Unternehmen, die KI-Systeme entwickeln oder in Verkehr bringen) und Betreiber (Unternehmen, die KI-Systeme in ihrem Geschäftsbetrieb einsetzen). Für die meisten KMU ist die relevante Kategorie: Betreiber.
Als Betreiber gilt jedes Unternehmen, das KI-Tools einsetzt — auch Microsoft Copilot, ChatGPT Business, Salesforce Einstein, KI-gestützte Buchhaltungssoftware oder automatisierte Recruiting-Plattformen. Nur weil das Tool von einem Großkonzern kommt, werden Sie nicht zum Anbieter — aber Sie bleiben Betreiber und damit in der Pflicht.
Entscheidend: Es gibt keine Mindestgröße. Auch kleinste Unternehmen, die ChatGPT im Arbeitsalltag nutzen, sind Betreiber. Artikel 4 gilt.
Die vier Fragen, die Sie sich als Betreiber stellen müssen:
Was genau ist gefordert? Der Gesetzestext im Klartext
Der Wortlaut von Artikel 4 ist bewusst offen: Anbieter und Betreiber sollen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal über ein „angemessenes Maß an KI-Kompetenz" verfügt. Was angemessen ist, hängt vom konkreten Kontext ab.
In der Praxis bedeutet das drei Ebenen:
- Awareness-Level für alle Nutzer: Jeder, der mit KI-Outputs arbeitet, sollte wissen, dass er KI nutzt, und die Grundrisiken verstehen (z.B.: KI kann Fehler machen, halluzinieren, Vorurteile reproduzieren).
- Vertieftes Kompetenzlevel für KI-Verantwortliche und Führungskräfte: Wer KI-Entscheidungen trifft oder KI-Systeme verantwortet, braucht tieferes Verständnis — Risikoklassen, Governance-Anforderungen, Haftungsrahmen.
- Dokumentierter Nachweis der Maßnahmen: Was intern gemacht wurde, muss nachweisbar sein. Nur dokumentierte Maßnahmen existieren im Audit-Fall.
Der Begriff „angemessen" ist trügerisch. Er entbindet nicht von der Pflicht — er erfordert eine eigene Einschätzung und deren Dokumentation. Im Streitfall müssen Sie nachweisen, dass Ihre Maßnahmen dem Risiko der eingesetzten KI angemessen waren.
KI-Kompetenzpflicht in 5 Schritten umsetzen
Kein überladenes Compliance-Projekt — sondern fünf pragmatische Schritte, die auch ein kleines Unternehmen in wenigen Wochen umsetzen kann:
KI-Inventur: Was wird genutzt?
Erstellen Sie eine vollständige Liste aller KI-Systeme im Unternehmen — offiziell und inoffiziell. Inbegriffen: ChatGPT/Copilot-Nutzung im Arbeitsalltag, KI-Funktionen in ERP/CRM, automatisierte E-Mail-Filter, KI-gestützte Analyse-Tools. Tipp: Befragen Sie Abteilungsleiter, nicht nur die IT. Die meisten KI-Tools kommen heute durch die Fachabteilungen.
Welche Systeme sind risikorelevant?
Nicht jedes KI-System erfordert dieselbe Schulungstiefe. Ein Grammatik-Checker braucht andere Kompetenzmaßnahmen als ein KI-System in der Personalauswahl oder Kreditbewilligung. Prüfen Sie: Trifft das System Entscheidungen, die Menschen betreffen? Je höher das Risiko, desto tiefer die benötigte Kompetenz.
Wer braucht welche Kompetenz?
Unterscheiden Sie drei Level: (1) Awareness für alle Mitarbeitenden, die mit KI-Outputs arbeiten. (2) Anwenderkompetenz für aktive KI-Nutzer. (3) Governance-Kompetenz für KI-Verantwortliche und Führungskräfte. Jedes Level erfordert andere Maßnahmen — von einer 30-minütigen Awareness-Session bis zu einem strukturierten Kompetenzprogramm.
Schulungen, Richtlinien, Nachweise
Maßnahmen können sein: interne Workshops, E-Learning-Module, schriftliche KI-Nutzungsrichtlinien (für alle Mitarbeitenden), externe Beratung. Entscheidend: Alles dokumentieren. Datum, Teilnehmer, Inhalt, Bestätigung. Nur was dokumentiert ist, existiert im Audit-Fall.
KI-Kompetenz ist kein Einmal-Projekt
KI entwickelt sich schnell — und damit auch die Risiken. Bauen Sie einen jährlichen Review-Zyklus auf: Neue KI-Tools inventarisieren, Kompetenzstand neu bewerten, Maßnahmen anpassen. Empfehlung: Koppeln Sie den Review an die jährliche Risikobewertung des Unternehmens.
Zeitplan: Was gilt wann?
Artikel 4 ist nicht die einzige EU AI Act Pflicht — aber die erste, die gilt. Hier der Gesamtüberblick:
Artikel 4 — KI-Kompetenzpflicht in Kraft
Alle Betreiber und Anbieter von KI-Systemen müssen sicherstellen, dass ihr Personal über angemessene KI-Kompetenz verfügt. Diese Pflicht gilt bereits — und wird oft unterschätzt.
GPAI-Modell-Pflichten (Transparenz, Urheberrecht)
Für Anbieter großer Allzweck-KI-Modelle (OpenAI, Google, Anthropic) gelten Transparenz- und Urheberrechtsregeln. Als Nutzer sind Sie indirekt betroffen — durch veränderte Vertragsbedingungen Ihrer KI-Anbieter.
Hochrisiko-KI Vollpflichten — Kernfrist
Für KI-Systeme in Hochrisikobereichen (Personalauswahl, Kreditvergabe, kritische Infrastruktur) gelten vollumfängliche Compliance-Anforderungen. Wer hier KI einsetzt, muss jetzt beginnen.
Hochrisiko-KI in bestehenden Systemen
Für Hochrisiko-KI-Systeme, die bereits vor dem EU AI Act in Betrieb waren, gilt die Übergangsfrist bis August 2027. Auch diese Systeme müssen dann die vollen Anforderungen erfüllen.
Unternehmen, die jetzt mit der KI-Inventur und Kompetenzerfassung beginnen, schaffen die Grundlage für alle weiteren EU AI Act Pflichten — und sind 2026 nicht in der Zugzwang-Situation.
Häufige Fragen zur KI-Kompetenzpflicht
Gilt Artikel 4 auch für kleine Unternehmen mit wenigen Mitarbeitenden?
Ja. Die KI-Kompetenzpflicht kennt keine Untergrenze bei der Unternehmensgröße. Sobald ein Unternehmen als Betreiber eines KI-Systems gilt — also KI-Tools im Betrieb einsetzt — greift Artikel 4. Ein Handwerksbetrieb, der KI-gestützte Buchhaltungssoftware nutzt, ist betroffen.
Was gilt als „ausreichende" KI-Kompetenz?
Der Gesetzgeber hat absichtlich keinen starren Standard definiert. Ausreichend ist, was dem Risiko des eingesetzten KI-Systems angemessen ist. Als Faustregel: Wer ChatGPT für Textentwürfe nutzt, braucht andere Kompetenz als wer ein KI-System zur Personalauswahl betreibt. Eine dokumentierte Risikoabwägung ist der Nachweis.
Welche Bußgelder drohen bei Verstößen gegen Artikel 4?
Direkte Bußgelder für Artikel-4-Verstöße sind nicht separat kodifiziert. Allerdings können Verstöße gegen allgemeine Betreiberpflichten im Kontext des EU AI Acts mit bis zu 15 Mio. € oder 3% des weltweiten Jahresumsatzes geahndet werden. Zudem schaffen unzureichende Kompetenzmaßnahmen Haftungsrisiken bei KI-bedingten Schäden.
Muss ich als Betreiber auch die KI-Kompetenz meiner Lieferanten prüfen?
Nicht direkt — aber indirekt. Als Betreiber sind Sie verantwortlich für den risikokonformen Einsatz der KI in Ihrem Unternehmen. Das schließt ein, zu wissen, welche Risikoeinstufung die genutzten Systeme haben und wie sie eingesetzt werden dürfen. Ein Blick in die Providerdokumentation (z.B. Microsofts AI-Dokumentation) ist Mindeststandard.
Was ist der Unterschied zwischen Artikel 4 und den Hochrisiko-Pflichten 2026?
Artikel 4 gilt bereits und betrifft alle KI-Betreiber — unabhängig vom Risikoniveau der eingesetzten Systeme. Die Hochrisiko-Pflichten ab August 2026 gelten zusätzlich für Unternehmen, die KI-Systeme in definierten Hochrisikobereichen (z.B. Personalauswahl, Kreditvergabe, kritische Infrastruktur) einsetzen. Artikel 4 ist die Basis — August 2026 ist die Spitze des Eisbergs.
Die KI-Kompetenzpflicht nach Artikel 4 ist kein bürokratisches Hindernis — sie ist eine strukturierte Einladung, endlich zu klären, welche KI im Unternehmen wirklich genutzt wird und wer dabei was versteht. Wer das jetzt tut, ist nicht nur compliant — er schafft auch die interne Klarheit, die für jeden weiteren Schritt im EU AI Act und in der KI-Strategie gebraucht wird.
Noch nicht sicher, wo Ihr Unternehmen steht? Der KI-Readiness Check gibt einen ersten strukturierten Überblick. Oder wir schauen es uns gemeinsam an — im 15-Minuten-Erstgespräch.
Artykuł 4 Aktu o SI UE jest jednym z najbardziej pomijanych przepisów całego rozporządzenia. Podczas gdy wszystkie dyskusje toczą się wokół obowiązków dotyczących systemów wysokiego ryzyka od sierpnia 2026 r., artykuł 4 — obowiązek kompetencji w zakresie SI — obowiązuje już od 2 lutego 2025 r. Dla wszystkich przedsiębiorstw używających SI. Bez wyjątków dla MŚP.
Ten artykuł nie jest poradą prawną. W celu uzyskania wiążącej oceny swojej konkretnej sytuacji należy skontaktować się ze specjalizowanymi prawnikami. Oferuję tu strukturalną orientację, abyś zrozumiał, czego wymaga artykuł 4 — i jak MŚP może racjonalnie sobie z tym poradzić.
Czym jest artykuł 4 Aktu o SI UE?
Artykuł 4 Aktu o SI UE zobowiązuje wszystkich dostawców i operatorów systemów SI do zapewnienia, że ich pracownicy posiadają wystarczające kompetencje w zakresie SI — po angielsku: AI literacy. Brzmi abstrakcyjnie. Chodzi o to, że osoby używające SI w firmie powinny rozumieć, co tak naprawdę robią.
Oficjalna definicja kompetencji SI w rozumieniu ustawy obejmuje: umiejętności, wiedzę i rozumienie, które umożliwiają dostawcom i operatorom odpowiedzialne korzystanie z systemów SI oraz ocenę ich ryzyk i skutków.
Artykuł 4 Aktu o SI UE obowiązuje od 2 lutego 2025 r. — pełny rok przed obowiązkami dotyczącymi systemów wysokiego ryzyka. Przedsiębiorstwa, które dziś pracują z SI, są już objęte obowiązkiem.
Czego artykuł 4 nie wymaga: żeby każdy pracownik stał się ekspertem SI. Wymaga kompetencji adekwatnych do kontekstu użycia. To brzmi jak luka — w rzeczywistości jest jednak zwiększonym wymaganiem dotyczącym własnej zdolności oceny.
Kogo dotyczy obowiązek kompetencji SI?
Obowiązek dotyczy dwóch grup: dostawców (firmy, które opracowują lub wprowadzają na rynek systemy SI) oraz operatorów (firmy, które używają systemów SI w swojej działalności). Dla większości MŚP istotna kategoria to: operator.
Operatorem jest każda firma korzystająca z narzędzi SI — w tym Microsoft Copilot, ChatGPT Business, Salesforce Einstein, oprogramowanie księgowe wspierane SI czy zautomatyzowane platformy rekrutacyjne. To, że narzędzie pochodzi od dużej korporacji, nie czyni z Ciebie dostawcy — ale pozostajesz operatorem i jesteś objęty obowiązkiem.
Kluczowe: nie ma minimalnego progu wielkości firmy. MŚP z 3 pracownikami używające ChatGPT w codziennej pracy są operatorami. Artykuł 4 obowiązuje.
Cztery pytania, które musisz sobie zadać jako operator:
Czego dokładnie wymaga prawo? Tekst ustawy po ludzku
Brzmienie artykułu 4 jest celowo otwarte: dostawcy i operatorzy mają podjąć działania, aby zapewnić, że ich personel dysponuje „odpowiednim poziomem kompetencji SI". To, co jest odpowiednie, zależy od konkretnego kontekstu.
W praktyce oznacza to trzy poziomy:
- Poziom świadomości dla wszystkich użytkowników: Każdy, kto pracuje z wynikami SI, powinien wiedzieć, że używa SI, i rozumieć podstawowe ryzyka (np.: SI może popełniać błędy, halucynować, powielać uprzedzenia).
- Pogłębione kompetencje dla osób odpowiedzialnych za SI i kierownictwa: Kto podejmuje decyzje dotyczące SI lub odpowiada za systemy SI, potrzebuje głębszego zrozumienia — klasy ryzyka, wymogi zarządzania, ramy odpowiedzialności.
- Udokumentowany dowód podjętych działań: To, co zostało zrobione wewnętrznie, musi być możliwe do udowodnienia. W przypadku audytu istnieje tylko to, co zostało udokumentowane.
Pojęcie „odpowiedni" jest zwodnicze. Nie zwalnia z obowiązku — wymaga własnej oceny i jej udokumentowania. W przypadku sporu musisz udowodnić, że Twoje działania były adekwatne do ryzyka używanego systemu SI.
Obowiązek kompetencji SI — wdrożenie w 5 krokach
Bez rozbudowanego projektu compliance — pięć pragmatycznych kroków, które nawet mała firma może wdrożyć w ciągu kilku tygodni:
Inwentaryzacja SI: co jest używane?
Sporządź kompletną listę wszystkich systemów SI w firmie — oficjalnych i nieoficjalnych. Uwzględnij: korzystanie z ChatGPT/Copilot w codziennej pracy, funkcje SI w ERP/CRM, zautomatyzowane filtry e-mail, narzędzia analityczne wspierane SI. Wskazówka: Pytaj kierowników działów, nie tylko IT. Większość narzędzi SI pojawia się dziś przez działy merytoryczne.
Które systemy są istotne ze względu na ryzyko?
Nie każdy system SI wymaga tego samego poziomu szkoleń. Narzędzie do sprawdzania gramatyki wymaga innych działań kompetencyjnych niż system SI w rekrutacji czy przyznawaniu kredytów. Sprawdź: Czy system podejmuje decyzje dotyczące ludzi? Im wyższe ryzyko, tym głębsza potrzebna kompetencja.
Kto potrzebuje jakich kompetencji?
Wyróżnij trzy poziomy: (1) Świadomość dla wszystkich pracowników pracujących z wynikami SI. (2) Kompetencje użytkownika dla aktywnych użytkowników SI. (3) Kompetencje zarządcze dla osób odpowiedzialnych za SI i kierownictwa. Każdy poziom wymaga innych działań — od 30-minutowej sesji uświadamiającej po ustrukturyzowany program kompetencji.
Szkolenia, wytyczne, dowody
Działania mogą obejmować: wewnętrzne warsztaty, moduły e-learningowe, pisemne wytyczne dotyczące korzystania z SI (dla wszystkich pracowników), zewnętrzne doradztwo. Kluczowe: dokumentuj wszystko. Data, uczestnicy, treść, potwierdzenie. W przypadku audytu istnieje tylko to, co zostało udokumentowane.
Kompetencje SI to nie projekt jednorazowy
SI rozwija się szybko — a wraz z nią ryzyka. Zbuduj roczny cykl przeglądów: inwentaryzacja nowych narzędzi SI, ponowna ocena poziomu kompetencji, dostosowanie działań. Zalecenie: Połącz przegląd z roczną oceną ryzyka firmy.
Harmonogram: co obowiązuje kiedy?
Artykuł 4 nie jest jedynym obowiązkiem wynikającym z Aktu o SI UE — ale pierwszym, który już obowiązuje. Oto ogólny przegląd:
Artykuł 4 — obowiązek kompetencji SI w mocy
Wszyscy operatorzy i dostawcy systemów SI muszą zapewnić, że ich personel posiada odpowiednie kompetencje SI. Ten obowiązek już obowiązuje — i jest często niedoceniany.
Obowiązki modeli GPAI (przejrzystość, prawa autorskie)
Dla dostawców dużych modeli SI ogólnego przeznaczenia (OpenAI, Google, Anthropic) obowiązują zasady przejrzystości i prawa autorskiego. Jako użytkownik jesteś pośrednio dotknięty — przez zmienione warunki umowne Twoich dostawców SI.
Pełne obowiązki dla SI wysokiego ryzyka — kluczowy termin
Dla systemów SI w obszarach wysokiego ryzyka (rekrutacja, przyznawanie kredytów, infrastruktura krytyczna) obowiązują pełne wymagania compliance. Kto używa tu SI, musi zacząć teraz.
SI wysokiego ryzyka w istniejących systemach
Dla systemów SI wysokiego ryzyka, które były już w użyciu przed Aktem o SI UE, obowiązuje okres przejściowy do sierpnia 2027 r. Również te systemy muszą wówczas spełniać pełne wymagania.
Przedsiębiorstwa, które teraz zaczną inwentaryzację SI i ocenę kompetencji, tworzą podstawę dla wszystkich kolejnych obowiązków wynikających z Aktu o SI UE — i nie znajdą się w sytuacji przymusu w 2026 r.
Często zadawane pytania dotyczące obowiązku kompetencji SI
Czy artykuł 4 dotyczy również małych firm z kilkoma pracownikami?
Tak. Obowiązek kompetencji SI nie zna dolnej granicy wielkości firmy. Gdy tylko firma kwalifikuje się jako operator systemu SI — czyli używa narzędzi SI w działalności — artykuł 4 ma zastosowanie. Rzemieślnik korzystający z oprogramowania księgowego wspieranego SI jest objęty obowiązkiem.
Co oznacza „wystarczająca" kompetencja SI?
Ustawodawca celowo nie zdefiniował sztywnego standardu. Wystarczające jest to, co jest odpowiednie do ryzyka używanego systemu SI. Jako zasada ogólna: kto używa ChatGPT do szkiców tekstów, potrzebuje innych kompetencji niż kto obsługuje system SI do rekrutacji. Udokumentowana ocena ryzyka stanowi dowód.
Jakie kary grożą za naruszenie artykułu 4?
Bezpośrednie kary za naruszenia artykułu 4 nie są oddzielnie skodyfikowane. Jednak naruszenia ogólnych obowiązków operatora w kontekście Aktu o SI UE mogą być karane karami do 15 mln € lub 3% światowego rocznego obrotu. Ponadto niewystarczające działania kompetencyjne stwarzają ryzyko odpowiedzialności za szkody spowodowane przez SI.
Czy jako operator muszę również sprawdzać kompetencje SI moich dostawców?
Nie bezpośrednio — ale pośrednio. Jako operator jesteś odpowiedzialny za zgodne z ryzykiem użycie SI w swojej firmie. Obejmuje to wiedzę, jaką klasyfikację ryzyka mają używane systemy i jak można je stosować. Zapoznanie się z dokumentacją dostawcy (np. dokumentacją AI firmy Microsoft) to minimalny standard.
Jaka jest różnica między artykułem 4 a obowiązkami dotyczącymi wysokiego ryzyka w 2026 r.?
Artykuł 4 obowiązuje już i dotyczy wszystkich operatorów SI — niezależnie od poziomu ryzyka używanych systemów. Obowiązki dotyczące wysokiego ryzyka od sierpnia 2026 r. dotyczą dodatkowo firm używających systemów SI w określonych obszarach wysokiego ryzyka (np. rekrutacja, przyznawanie kredytów, infrastruktura krytyczna). Artykuł 4 to podstawa — sierpień 2026 to wierzchołek góry lodowej.
Obowiązek kompetencji SI wynikający z artykułu 4 nie jest biurokratyczną przeszkodą — to ustrukturyzowane zaproszenie, aby w końcu wyjaśnić, jakie SI jest rzeczywiście używane w firmie i kto co przy tym rozumie. Kto to teraz zrobi, nie tylko spełnia wymagania — tworzy też wewnętrzną jasność potrzebną do każdego kolejnego kroku w Akcie o SI UE i strategii SI.
Nie jesteś pewien, gdzie stoi Twoja firma? Sprawdzenie gotowości na KI daje pierwszy ustrukturyzowany przegląd. Albo wspólnie to przejrzymy — podczas 15-minutowego pierwszego spotkania.
Article 4 of the EU AI Act is one of the most overlooked provisions of the entire regulation. While all the debate centres on the high-risk obligations coming in August 2026, Article 4 — the AI competence requirement — has been in force since 2 February 2025. For all businesses using AI. Without any exception for SMEs.
This article is not legal advice. For binding assessments of your specific situation, consult specialised lawyers. What I offer here: structured orientation to help you understand what Article 4 requires — and how to approach it sensibly as an SME.
What is Article 4 of the EU AI Act?
Article 4 of the EU AI Act obliges all providers and deployers of AI systems to ensure that their staff possess sufficient AI competence — or AI literacy. This sounds abstract. It means: anyone using AI in your organisation needs to understand what they are actually doing.
The official definition of AI competence under the law encompasses: skills, knowledge and understanding that enable providers and deployers to deploy AI systems responsibly and to assess their risks and impacts.
Article 4 of the EU AI Act has been in force since 2 February 2025 — a full year ahead of the high-risk obligations. Organisations working with AI today are already obliged to comply.
What Article 4 does not require: that every employee becomes an AI expert. What it requires is competence commensurate with the relevant deployment context. That sounds like a loophole — but it is in fact a heightened demand on the organisation's own capacity for judgement.
Who is subject to the AI competence requirement?
The obligation applies to two groups: providers (companies that develop or place AI systems on the market) and deployers (companies that use AI systems in their operations). For most SMEs, the relevant category is: deployer.
A deployer is any company using AI tools — including Microsoft Copilot, ChatGPT Business, Salesforce Einstein, AI-powered accounting software, or automated recruitment platforms. Just because the tool comes from a large corporation does not make you a provider — but you remain a deployer and therefore subject to the obligation.
Crucially, there is no minimum company size. An SME with 3 employees using ChatGPT in everyday work is a deployer. Article 4 applies.
The four questions you need to ask yourself as a deployer:
What exactly is required? The legal text in plain language
The wording of Article 4 is deliberately open: providers and deployers shall take measures to ensure that their staff have an "appropriate level of AI competence". What is appropriate depends on the specific context.
In practice, this means three levels:
- Awareness level for all users: Everyone working with AI outputs should know they are using AI and understand the basic risks (e.g. AI can make mistakes, hallucinate, reproduce biases).
- Deeper competence for AI-responsible personnel and managers: Those who make AI decisions or are accountable for AI systems need deeper understanding — risk categories, governance requirements, liability framework.
- Documented evidence of measures taken: What has been done internally must be demonstrable. Only documented measures exist in the event of an audit.
The term "appropriate" is deceptive. It does not relieve the organisation of the obligation — it demands its own assessment and documentation of that assessment. In a dispute, you must demonstrate that your measures were commensurate with the risk of the AI systems deployed.
Implementing the AI competence requirement in 5 steps
No overloaded compliance project — five pragmatic steps that even a small business can implement within a few weeks:
AI inventory: what is being used?
Create a complete list of all AI systems in the company — official and unofficial. Include: ChatGPT/Copilot use in daily work, AI features in ERP/CRM, automated email filters, AI-powered analytics tools. Tip: Ask department heads, not only IT. Most AI tools enter today through the specialist departments.
Which systems are risk-relevant?
Not every AI system requires the same depth of training. A grammar checker calls for different competence measures than an AI system in personnel selection or credit approval. Ask: Does the system make decisions that affect people? The higher the risk, the deeper the competence required.
Who needs what competence?
Distinguish three levels: (1) Awareness for all employees working with AI outputs. (2) User competence for active AI users. (3) Governance competence for AI-responsible personnel and managers. Each level requires different measures — from a 30-minute awareness session to a structured competence programme.
Training, policies, evidence
Measures can include: internal workshops, e-learning modules, written AI usage policies (for all employees), external consulting. Critical: document everything. Date, participants, content, confirmation. Only what is documented exists in the event of an audit.
AI competence is not a one-off project
AI evolves rapidly — and so do its risks. Build an annual review cycle: inventory new AI tools, re-assess competence levels, adjust measures. Recommendation: link the review to the company's annual risk assessment.
Timeline: what applies when?
Article 4 is not the only EU AI Act obligation — but it is the first one in force. Here is the complete overview:
Article 4 — AI competence requirement in force
All deployers and providers of AI systems must ensure their staff have appropriate AI competence. This obligation is already in effect — and is frequently underestimated.
GPAI model obligations (transparency, copyright)
Providers of large general-purpose AI models (OpenAI, Google, Anthropic) are subject to transparency and copyright rules. As a user, you are indirectly affected — through changed contractual terms from your AI providers.
High-risk AI — full obligations — key deadline
For AI systems in high-risk areas (personnel selection, credit scoring, critical infrastructure), full compliance requirements apply. Those using AI in these areas need to act now.
High-risk AI in existing systems
For high-risk AI systems that were already in operation before the EU AI Act, the transition period runs until August 2027. These systems must also meet full requirements by then.
Organisations that start their AI inventory and competence assessment now lay the foundation for all subsequent EU AI Act obligations — and will not find themselves under pressure in 2026.
Frequently asked questions on the AI competence requirement
Does Article 4 also apply to small businesses with only a few employees?
Yes. The AI competence requirement has no minimum threshold for company size. As soon as a company qualifies as a deployer of an AI system — i.e. uses AI tools in its operations — Article 4 applies. A craft business using AI-powered accounting software is covered.
What counts as "sufficient" AI competence?
The legislator has deliberately avoided defining a rigid standard. Sufficient is what is commensurate with the risk of the AI system deployed. As a rule of thumb: someone using ChatGPT for text drafts requires different competence than someone operating an AI system for personnel selection. A documented risk assessment serves as evidence.
What fines are possible for Article 4 violations?
Direct fines for Article 4 violations are not separately codified. However, violations of general deployer obligations under the EU AI Act can be sanctioned with fines of up to €15 million or 3% of global annual turnover. Furthermore, insufficient competence measures create liability exposure in the event of AI-caused harm.
As a deployer, do I also need to check the AI competence of my suppliers?
Not directly — but indirectly. As a deployer, you are responsible for the risk-compliant use of AI in your organisation. This includes knowing which risk classification the systems you use carry and how they may be deployed. Reviewing provider documentation (e.g. Microsoft's AI documentation) is the minimum standard.
What is the difference between Article 4 and the high-risk obligations in 2026?
Article 4 is already in force and applies to all AI deployers — regardless of the risk level of the systems they use. The high-risk obligations from August 2026 apply additionally to organisations using AI systems in defined high-risk areas (e.g. personnel selection, credit scoring, critical infrastructure). Article 4 is the foundation — August 2026 is the tip of the iceberg.
The AI competence requirement under Article 4 is not a bureaucratic obstacle — it is a structured invitation to finally clarify which AI is actually being used in the organisation and who understands what when doing so. Those who do this now are not only compliant — they also create the internal clarity needed for every further step in EU AI Act and AI strategy.
Not yet sure where your organisation stands? The AI Readiness Check provides an initial structured overview. Or we can look at it together — in a 15-minute introductory call.
Cet article est régulièrement mis à jour. Prochaine échéance importante : août 2026 (entrée en vigueur complète du Règlement IA de l’UE pour les systèmes d’IA à haut risque).
L’article 4 du Règlement IA de l’UE est l’une des dispositions les plus négligées de l’ensemble du règlement. Alors que tous les débats portent sur les obligations liées aux systèmes à haut risque à partir d’août 2026, l’article 4 — l’obligation de compétence en IA — est en vigueur depuis le 2 février 2025. Pour toutes les entreprises utilisant l’IA. Sans exception pour les PME.
Cet article ne constitue pas un conseil juridique. Pour des évaluations contraignantes de votre situation spécifique, adressez-vous à des avocats spécialisés. Ce que je propose ici : une orientation structurée pour vous aider à comprendre ce qu’exige l’article 4 — et comment l’aborder de manière raisonnable en tant que PME.
Qu’est-ce que l’article 4 du Règlement IA de l’UE ?
L’article 4 du Règlement IA de l’UE oblige tous les fournisseurs et déployeurs de systèmes d’IA à s’assurer que leur personnel possède une compétence suffisante en IA — en anglais : AI literacy. Cela semble abstrait. Concrètement : quiconque utilise l’IA dans votre organisation doit comprendre ce qu’il fait réellement.
La définition officielle de la compétence en IA au sens de la loi comprend : les aptitudes, connaissances et la compréhension permettant aux fournisseurs et déployeurs de déployer les systèmes d’IA de manière responsable et d’évaluer leurs risques et impacts.
L’article 4 du Règlement IA de l’UE est en vigueur depuis le 2 février 2025 — un an avant les obligations liées aux systèmes à haut risque. Les organisations qui travaillent déjà avec l’IA sont déjà soumises à cette obligation.
Ce que l’article 4 n’exige pas : que chaque collaborateur devienne un expert en IA. Ce qu’il exige, c’est une compétence proportionnée au contexte de déploiement concerné. Cela ressemble à une faille — mais c’est en réalité une exigence accrue quant à la capacité de jugement de l’organisation elle-même.
Qui est concerné par l’obligation de compétence en IA ?
L’obligation s’applique à deux groupes : les fournisseurs (entreprises qui développent ou mettent sur le marché des systèmes d’IA) et les déployeurs (entreprises qui utilisent des systèmes d’IA dans leurs opérations). Pour la plupart des PME, la catégorie pertinente est : déployeur.
Est considérée comme déployeur toute entreprise utilisant des outils d’IA — y compris Microsoft Copilot, ChatGPT Business, Salesforce Einstein, un logiciel de comptabilité assisté par l’IA ou des plateformes de recrutement automatisées. Le fait que l’outil provienne d’un grand groupe ne fait pas de vous un fournisseur — mais vous restez déployeur et donc soumis à l’obligation.
Point essentiel : il n’y a pas de taille minimale d’entreprise. Une PME de 3 collaborateurs utilisant ChatGPT au quotidien est un déployeur. L’article 4 s’applique.
Les quatre questions que vous devez vous poser en tant que déployeur :
Qu’est-ce qui est exactement exigé ? Le texte légal en langage clair
Le libellé de l’article 4 est délibérément ouvert : les fournisseurs et déployeurs doivent prendre des mesures pour s’assurer que leur personnel dispose d’un « niveau adéquat de compétence en IA ». Ce qui est adéquat dépend du contexte spécifique.
En pratique, cela signifie trois niveaux :
- Niveau de sensibilisation pour tous les utilisateurs : Toute personne travaillant avec des résultats d’IA devrait savoir qu’elle utilise l’IA et comprendre les risques fondamentaux (par ex. : l’IA peut commettre des erreurs, halluciner, reproduire des biais).
- Compétence approfondie pour les responsables IA et les dirigeants : Ceux qui prennent des décisions relatives à l’IA ou sont responsables de systèmes d’IA ont besoin d’une compréhension plus profonde — catégories de risque, exigences de gouvernance, cadre de responsabilité.
- Preuve documentée des mesures prises : Ce qui a été fait en interne doit être démontrable. Seules les mesures documentées existent en cas d’audit.
Le terme « adéquat » est trompeur. Il ne dispense pas de l’obligation — il exige une évaluation propre à l’organisation et la documentation de cette évaluation. En cas de litige, vous devez démontrer que vos mesures étaient proportionnées au risque des systèmes d’IA déployés.
Mettre en œuvre l’obligation de compétence en IA en 5 étapes
Pas un projet de conformité surchargé — cinq étapes pragmatiques qu’une petite entreprise peut mettre en œuvre en quelques semaines :
Inventaire IA : qu’est-ce qui est utilisé ?
Établissez une liste complète de tous les systèmes d’IA dans l’entreprise — officiels et non officiels. Y compris : l’utilisation de ChatGPT/Copilot au quotidien, les fonctionnalités IA dans l’ERP/CRM, les filtres e-mail automatisés, les outils d’analyse assistés par l’IA. Conseil : interrogez les responsables de département, pas seulement l’informatique. La plupart des outils d’IA entrent aujourd’hui par les départements métier.
Quels systèmes sont pertinents en termes de risque ?
Tous les systèmes d’IA n’exigent pas la même profondeur de formation. Un correcteur grammatical appelle des mesures de compétence différentes d’un système d’IA utilisé pour la sélection du personnel ou l’approbation de crédit. Vérifiez : le système prend-il des décisions qui affectent des personnes ? Plus le risque est élevé, plus la compétence requise est approfondie.
Qui a besoin de quelle compétence ?
Distinguez trois niveaux : (1) Sensibilisation pour tous les collaborateurs travaillant avec des résultats d’IA. (2) Compétence utilisateur pour les utilisateurs actifs de l’IA. (3) Compétence en gouvernance pour les responsables IA et les dirigeants. Chaque niveau requiert des mesures différentes — d’une session de sensibilisation de 30 minutes à un programme de compétences structuré.
Formations, directives, preuves
Les mesures peuvent comprendre : des ateliers internes, des modules d’e-learning, des directives écrites d’utilisation de l’IA (pour tous les collaborateurs), du conseil externe. Essentiel : tout documenter. Date, participants, contenu, confirmation. Seul ce qui est documenté existe en cas d’audit.
La compétence en IA n’est pas un projet ponctuel
L’IA évolue rapidement — et ses risques aussi. Mettez en place un cycle de révision annuel : inventorier les nouveaux outils d’IA, réévaluer les niveaux de compétence, adapter les mesures. Recommandation : liez la révision à l’évaluation annuelle des risques de l’entreprise.
Calendrier : qu’est-ce qui s’applique quand ?
L’article 4 n’est pas la seule obligation du Règlement IA de l’UE — mais c’est la première en vigueur. Voici l’aperçu complet :
Article 4 — Obligation de compétence en IA en vigueur
Tous les déployeurs et fournisseurs de systèmes d’IA doivent s’assurer que leur personnel possède une compétence adéquate en IA. Cette obligation est déjà en vigueur — et est fréquemment sous-estimée.
Obligations pour les modèles d’IA à usage général (transparence, droits d’auteur)
Les fournisseurs de grands modèles d’IA à usage général (OpenAI, Google, Anthropic) sont soumis à des règles de transparence et de droits d’auteur. En tant qu’utilisateur, vous êtes indirectement concerné — par les conditions contractuelles modifiées de vos fournisseurs d’IA.
IA à haut risque — obligations complètes — échéance clé
Pour les systèmes d’IA dans les domaines à haut risque (sélection du personnel, octroi de crédit, infrastructures critiques), les exigences de conformité complètes s’appliquent. Ceux qui utilisent l’IA dans ces domaines doivent agir dès maintenant.
IA à haut risque dans les systèmes existants
Pour les systèmes d’IA à haut risque déjà en service avant le Règlement IA de l’UE, la période de transition court jusqu’en août 2027. Ces systèmes devront également satisfaire à l’ensemble des exigences d’ici là.
Les organisations qui commencent dès maintenant leur inventaire IA et leur évaluation des compétences posent les fondations de toutes les obligations ultérieures du Règlement IA de l’UE — et ne se retrouveront pas sous pression en 2026.
Questions fréquentes sur l’obligation de compétence en IA
L’article 4 s’applique-t-il aussi aux petites entreprises avec peu de collaborateurs ?
Oui. L’obligation de compétence en IA ne connaît aucun seuil minimal de taille d’entreprise. Dès qu’une entreprise est qualifiée de déployeur d’un système d’IA — c’est-à-dire qu’elle utilise des outils d’IA dans ses opérations — l’article 4 s’applique. Un artisan utilisant un logiciel de comptabilité assisté par l’IA est concerné.
Qu’est-ce qui constitue une compétence en IA « suffisante » ?
Le législateur a délibérément évité de définir un standard rigide. Suffisant signifie : ce qui est proportionné au risque du système d’IA déployé. En règle générale : une personne utilisant ChatGPT pour rédiger des textes nécessite une compétence différente de celle qui opère un système d’IA pour la sélection du personnel. Une évaluation des risques documentée sert de preuve.
Quelles amendes sont possibles en cas de violation de l’article 4 ?
Les amendes directes pour violation de l’article 4 ne sont pas codifiées séparément. Toutefois, les violations des obligations générales des déployeurs au titre du Règlement IA de l’UE peuvent être sanctionnées par des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial. De plus, des mesures de compétence insuffisantes créent une exposition en responsabilité en cas de dommages causés par l’IA.
En tant que déployeur, dois-je aussi vérifier la compétence en IA de mes fournisseurs ?
Pas directement — mais indirectement. En tant que déployeur, vous êtes responsable de l’utilisation conforme aux risques de l’IA dans votre organisation. Cela inclut de savoir quelle classification de risque portent les systèmes que vous utilisez et comment ils peuvent être déployés. Consulter la documentation des fournisseurs (par ex. la documentation IA de Microsoft) constitue le standard minimal.
Quelle est la différence entre l’article 4 et les obligations pour les systèmes à haut risque en 2026 ?
L’article 4 est déjà en vigueur et s’applique à tous les déployeurs d’IA — indépendamment du niveau de risque des systèmes utilisés. Les obligations liées aux systèmes à haut risque à partir d’août 2026 s’appliquent en sus aux organisations utilisant des systèmes d’IA dans des domaines à haut risque définis (par ex. sélection du personnel, octroi de crédit, infrastructures critiques). L’article 4 est le socle — août 2026 est la partie émergée de l’iceberg.
L’obligation de compétence en IA au titre de l’article 4 n’est pas un obstacle bureaucratique — c’est une invitation structurée à enfin clarifier quelle IA est réellement utilisée dans l’organisation et qui comprend quoi en la matière. Ceux qui le font maintenant ne sont pas seulement conformes — ils créent aussi la clarté interne nécessaire à chaque étape ultérieure du Règlement IA de l’UE et de la stratégie IA.
Vous n’êtes pas encore sûr de la position de votre organisation ? Le KI-Readiness Check fournit un premier aperçu structuré. Ou nous pouvons l’examiner ensemble — lors d’un entretien découverte de 15 minutes.