EU AI Act для PKI-инженеров

Тезис главы в одном абзаце: значительная часть высокорисковых обязательств EU AI Act уже отвечается регламентом доверенных услуг eIDAS / ETSI. Трактовать AI Act как полностью новую compliance-таксономию, оторванную от существующей trust-service инфраструктуры, и дороже, и хуже защитимо, чем трактовать его как упражнение в регуляторном маппинге.

Маппинг в одной таблице

AI Act статья	PKI-нативное прочтение	Рычаг eIDAS / ETSI	Реализация в EATF
10 Управление данными	Только integrity & provenance артефактов — не криптографическое утверждение о качестве данных	EN 319 102-1 создание подписи; канонические форматы payload	`.aep` Evidence Package
11 Техническая документация	Экспортируемые, проверяемые описания системы	EN 319 102-1; CAdES enveloped	Подписанные system-card бандлы
12 Ведение журналов	Tamper-evident, time-anchored, append-only	EN 319 401 / 411-1; RFC 3161	Хэш-цепочечный audit ledger
13 Прозрачность для deployer’а	Проверяемые машинно-читаемые представления возможностей и ограничений агента	EN 319 102-1 валидация; consumer Trusted List	Chain-of-trust validation + UI/API
14 Человеческий надзор (смежно)	Криптографический якорь для approval-events	EN 319 102-1 signed events	Approval-event signatures (необходимо, не достаточно)

Подробное прочтение каждой строки — с секторными виньетками (water-quality-ee для Art. 10, MATx для Art. 12, TADF для Art. 13, medical для Art. 14) — в EN-версии.

Что PKI НЕ даёт

Статья 9 (управление рисками): процессное обязательство
Статья 10 (качество данных): governance, а не provenance
Статья 14 (надзор): HCI и policy, а не подпись
Статья 15 (точность, robustness, cybersecurity): runtime concerns

PKI — необходимое, не достаточное. Честная substrate-инженерия заканчивается на границе, не на claim’е.

Ключевые ссылки

Регламент 2024/1689 (EU AI Act)
EU AI Act Service Desk · тайм-лайн и интерпретации
Препринт paper-pki-ai-act · академическая версия с формальной моделью угроз и CDDL-схемой
artificialintelligenceact.eu · навигатор (неофициальный)