Empat Bulan Menuju Penegakan Penuh EU AI Act: Yang Harus Diketahui Setiap CEO

Thumbnail image

2 Agustus 2026 adalah tanggal ketentuan penegakan EU AI Act untuk sistem AI berisiko tinggi mulai berlaku sepenuhnya. Jika perusahaan Anda beroperasi di Eropa, menjual kepada pelanggan Eropa, atau menggunakan alat AI yang menyentuh keputusan ketenagakerjaan, penilaian kredit, atau penilaian pelanggan, tenggat waktu ini berlaku langsung untuk Anda. Jam terus berjalan.

Menurut analisis regulasi terperinci yang diterbitkan oleh LegalNodes, EU AI Act mulai berlaku pada Agustus 2024 dan telah diluncurkan secara bertahap. Larangan terhadap praktik AI yang dilarang dan persyaratan literasi AI berlaku pada Februari 2025. Kewajiban tata kelola untuk model AI tujuan umum berlaku pada Agustus 2025. Tonggak Agustus 2026 adalah ketika penegakan penuh dimulai untuk sistem AI berisiko tinggi — klasifikasi yang mencakup sebagian besar kasus penggunaan AI enterprise yang tidak dianggap perusahaan sebagai "produk AI."

Struktur denda bukanlah teori. Ketidakpatuhan terhadap kewajiban AI berisiko tinggi dapat mengakibatkan denda hingga €35 juta atau 7% dari pendapatan tahunan global, mana yang lebih besar. Untuk perusahaan dengan pendapatan $500 juta, itu berpotensi $35 juta eksposur dari alat AI yang tidak Anda bangun, hanya Anda gunakan.

Asumsi yang Membawa Perusahaan ke dalam Masalah

Kesalahpahaman paling umum tentang EU AI Act adalah bahwa ini terutama berlaku untuk pengembang AI: OpenAI, Anthropic, dan Mistral AI di dunia. Asumsi itu salah, dan itulah yang menciptakan risiko kepatuhan terbesar bagi enterprise B2B saat ini.

Kerangka regulasi AI UE memperluas kewajiban kepada pengguna sistem AI, bukan hanya pengembangnya. Jika Anda adalah perusahaan yang membeli ATS bertenaga AI untuk rekrutmen, platform manajemen kinerja AI untuk ulasan karyawan, atau alat pengambilan keputusan kredit yang tertanam dalam alur kerja keuangan Anda, Anda adalah pengguna. Kewajiban kepatuhan tidak sepenuhnya ada pada vendor. Itu juga ada pada Anda.

Ini lebih penting dari yang saat ini diapresiasi oleh sebagian besar tim eksekutif. Asumsi pengadaan B2B standar adalah bahwa vendor SaaS menangani kepatuhan mereka sendiri. Di bawah EU AI Act, itu sebagian benar, tetapi kewajiban pengguna terkait pengawasan manusia, dokumentasi, dan manajemen risiko adalah milik Anda untuk dipenuhi terlepas dari apakah vendor Anda patuh. Kerangka tata kelola AI Anda perlu secara eksplisit menangani tanggung jawab pengguna ini — kepatuhan vendor dan kepatuhan internal adalah dua jalur audit terpisah.

Apa yang Dimaksud "Berisiko Tinggi" dalam Praktik

Klasifikasi berisiko tinggi EU AI Act tidak didasarkan pada seberapa canggih AI-nya. Ini didasarkan pada keputusan apa yang diinformasikan atau dibuat oleh sistem AI. Alat AI sederhana yang menyaring CV untuk tim HR adalah berisiko tinggi. Sistem AI kompleks yang menyarankan topik posting blog tidak demikian.

Menurut analisis LegalNodes, kategori berisiko tinggi yang paling relevan bagi enterprise B2B meliputi:

Ketenagakerjaan dan manajemen tenaga kerja. Alat AI yang digunakan untuk rekrutmen (termasuk penyaringan CV, peringkat kandidat, dan penilaian wawancara), pemantauan kinerja, keputusan promosi, dan proses penghentian masuk dalam kategori ini. Jika ATS atau platform manajemen kinerja Anda memiliki lapisan penilaian AI (dan sebagian besar yang modern memang demikian), Anda mengoperasikan sistem AI berisiko tinggi. Pertimbangan keamanan dan kepatuhan AI untuk alat-alat ini melampaui kebijakan privasi vendor — termasuk dokumentasi operasional Anda sendiri.

Kredit dan keputusan keuangan. AI yang menginformasikan penilaian kelayakan kredit, pemberian pinjaman, atau penilaian risiko untuk produk keuangan adalah berisiko tinggi. Ini meluas melampaui perbankan ke konteks penjualan B2B di mana alat AI mendukung keputusan batas kredit atau ketentuan pembayaran.

Pendidikan dan pelatihan kejuruan. Sistem AI yang digunakan untuk mengevaluasi siswa, merekomendasikan jalur pembelajaran, atau membuat keputusan tentang akses ke program pendidikan masuk dalam klasifikasi berisiko tinggi.

Penegakan hukum dan kontrol perbatasan. Kurang relevan bagi sebagian besar enterprise B2B, tetapi disertakan untuk kelengkapan.

Tes praktisnya adalah ini: apakah alat AI Anda membuat atau sangat menginformasikan keputusan konsekuensial tentang seseorang? Jika ya, perlakukan sebagai berpotensi berisiko tinggi hingga tim hukum Anda mengonfirmasi sebaliknya.

Apa yang Sebenarnya Diperlukan Kepatuhan

Memenuhi kewajiban AI berisiko tinggi EU AI Act bukan hanya tentang memiliki kebijakan privasi yang menyebut AI. Ini memerlukan proses terdokumentasi yang dapat ditunjukkan kepada regulator. Menurut panduan kepatuhan dari SecurePrivacy, persyaratan inti untuk pengguna sistem AI berisiko tinggi meliputi:

Inventaris dan klasifikasi sistem. Anda perlu mengetahui sistem AI mana yang digunakan organisasi Anda, keputusan apa yang mereka informasikan, dan apakah mereka menyentuh kategori berisiko tinggi di atas. Sebagian besar enterprise belum memiliki inventaris ini, dan lebih sulit diproduksi dari kedengarannya, karena fitur AI kini tertanam dalam lusinan alat SaaS yang tidak dibeli sebagai "sistem AI."

Penilaian risiko. Untuk setiap sistem AI berisiko tinggi yang digunakan, Anda memerlukan penilaian risiko terdokumentasi yang mencakup tujuan yang dimaksudkan sistem, potensi bias atau hasil diskriminatif, dan kontrol kualitas data.

Mekanisme pengawasan manusia. Sistem AI berisiko tinggi harus dirancang untuk memungkinkan tinjauan manusia yang bermakna sebelum keputusan akhir dibuat. "AI merekomendasikannya" bukan proses yang cukup untuk keputusan ketenagakerjaan atau kredit di bawah Undang-Undang.

Dokumentasi tata kelola data. Anda perlu menunjukkan bahwa data yang digunakan untuk melatih atau mengoperasikan sistem AI akurat, lengkap, dan sebisa mungkin bebas dari bias. Ini sering menjadi bagian yang paling sulit karena data yang relevan mungkin ada di vendor SaaS Anda, bukan pada Anda. Untuk tim RevOps yang menjalankan alat penilaian lead dan forecasting bertenaga AI, daftar periksa kepatuhan RevOps mencakup langkah dokumentasi spesifik untuk alur kerja tersebut.

Verifikasi kepatuhan vendor. Anda perlu mengonfirmasi bahwa vendor AI Anda (perusahaan yang membangun alat yang Anda gunakan) sendiri patuh terhadap kewajiban Undang-Undang untuk pengembang dan penyedia AI. Jangan berasumsi. Mintalah, secara tertulis, dokumentasi kepatuhan mereka.

Celah yang Belum Ditangani Sebagian Besar Tim Kepemimpinan

Ada celah spesifik yang muncul berulang kali dalam percakapan tentang kesiapan EU AI Act: ketidaksesuaian antara tim hukum/kepatuhan dan fungsi operasional yang sebenarnya menggunakan alat AI.

Sebagian besar tim hukum enterprise menyadari EU AI Act ada. Tetapi orang-orang yang mengetahui alat AI mana yang sebenarnya berjalan di dalam bisnis (di HR, operasi penjualan, keuangan, dan customer success) tidak selalu ada dalam percakapan hukum tersebut. Pemimpin HR yang meningkatkan ATS tahun lalu mungkin tidak tahu bahwa fitur penilaian AI memenuhi syarat sebagai sistem berisiko tinggi. Direktur RevOps yang mengonfigurasi sistem penilaian lead AI mungkin tidak menyadari bahwa itu menyentuh keputusan yang berdekatan dengan kredit yang memerlukan dokumentasi pengguna.

Menutup celah ini memerlukan proses inventaris lintas fungsi, bukan tinjauan hukum yang dilakukan secara terisolasi. Perusahaan yang akan berposisi baik pada Agustus 2026 adalah mereka yang memulai percakapan lintas fungsi tersebut sekarang.

Kerangka Tindakan Kepatuhan

Ini bukan nasihat hukum. Bekerjalah dengan konselor hukum yang berkualifikasi untuk kewajiban spesifik Anda. Dari sudut pandang kesadaran eksekutif, berikut adalah urutan yang masuk akal dalam empat bulan ke depan:

  1. Pesan inventaris sistem AI. Dalam dua hingga tiga minggu ke depan, minta setiap kepala departemen untuk mencantumkan setiap alat AI atau fitur bertenaga AI yang digunakan tim mereka, termasuk alat yang tertanam dalam platform SaaS yang ada. Hasilnya akan mengejutkan Anda.

  2. Terapkan tes klasifikasi berisiko tinggi. Jalankan setiap alat yang teridentifikasi terhadap kategori berisiko tinggi EU AI Act. Konteks ketenagakerjaan, kredit, pendidikan, dan penegakan hukum adalah filter utama. Tim hukum Anda harus melakukan tinjauan ini, tetapi mereka tidak dapat melakukannya tanpa inventaris terlebih dahulu.

  3. Minta dokumentasi kepatuhan dari vendor. Untuk alat apa pun yang mungkin memenuhi syarat sebagai berisiko tinggi, hubungi vendor dan minta dokumentasi status kepatuhan EU AI Act mereka. Jika mereka tidak dapat memberikannya, eskalasikan ke tim pengadaan Anda. Kepatuhan vendor sekarang adalah kriteria pengadaan, bukan hanya kotak centang keamanan.

  4. Petakan proses pengawasan manusia Anda. Untuk sistem AI berisiko tinggi yang digunakan, dokumentasikan bagaimana tinjauan manusia sebenarnya terjadi sebelum keputusan konsekuensial diselesaikan. Jika jawaban jujurnya adalah "tidak terjadi," itu adalah celah proses yang perlu Anda tangani.

  5. Libatkan konselor hukum untuk penilaian formal. Dengan inventaris di tangan dan klasifikasi berisiko tinggi awal selesai, Anda memiliki apa yang Anda butuhkan untuk melakukan percakapan substantif dengan tim hukum atau konselor luar Anda. Mereka dapat memberi nasihat tentang persyaratan dokumentasi spesifik dan eksposur risiko Anda.

Yang Harus Dilakukan Minggu Ini

Satu tindakan konkret: mulai inventaris sistem AI.

Kirim pesan singkat kepada tim kepemimpinan Anda (HR, RevOps, Keuangan, Produk, Customer Success) meminta daftar setiap alat AI atau fitur bertenaga AI yang aktif digunakan dalam fungsi mereka, termasuk fitur yang tertanam dalam alat yang sudah mereka miliki. Beri mereka satu minggu untuk merespons. Kompilasi respons secara terpusat.

Langkah tunggal ini menempatkan Anda di depan sebagian besar perusahaan yang masih akan mencari tahu apa yang mereka jalankan ketika Agustus 2026 tiba. Timeline kepatuhan sudah ditetapkan. Timeline persiapan Anda tidak, tetapi lebih pendek dari yang diasumsikan sebagian besar eksekutif saat ini.

Sumber: EU AI Act 2026 Updates (LegalNodes), EU Digital Strategy regulatory framework, dan SecurePrivacy compliance guide. Artikel ini adalah ringkasan kesadaran eksekutif, bukan nasihat hukum. Konsultasikan dengan konselor hukum yang berkualifikasi untuk saran spesifik untuk situasi perusahaan Anda.