Compliance · Mar 28, 2026 · 6 min read

The EU AI Act Is Now Enforced. What Does It Mean for Your Business?

Full enforcement has begun. Most small businesses are not at risk — but there are three things you should check before your next AI tool purchase.

The EU AI Act — the world's first comprehensive legal framework for artificial intelligence — is now in full enforcement. After years of debate, drafts, and delays, obligations are real and penalties apply. The question for business owners across Europe is simple: does this affect me, and if so, how?

The short answer for most small businesses: you are probably fine, but you need to do a quick check.

How the Act categorises risk

The EU AI Act uses a tiered risk model. Not all AI is treated the same. The tier your AI tools fall into determines your obligations.

Unacceptable risk — banned outright

Social scoring by governments, real-time biometric surveillance in public spaces, subliminal manipulation. None of this applies to standard business software. You can ignore this category.

High risk — strict obligations

AI used in hiring and HR decisions, credit scoring, educational assessment, critical infrastructure, and law enforcement falls here. If you use AI to automatically screen CVs and make hiring decisions, or if your AI system influences credit terms for customers, you are in this tier. You need conformity assessments, human oversight mechanisms, and detailed documentation.

Limited risk — transparency requirements

Chatbots and AI-generated content tools fall here. The main obligation: users must know they are interacting with AI. If your website has a chat widget powered by AI, it needs a disclosure. This is minimal effort.

Minimal risk — no obligations

Spam filters, AI writing assistants, recommendation engines, analytics tools — the vast majority of AI software used by small businesses. No new obligations apply here.

Three things to check before your next AI tool purchase

Does the tool make consequential decisions about people? If it screens candidates, assesses creditworthiness, or influences anything with legal or material impact on individuals, verify it has proper high-risk compliance documentation from the vendor.
Does your vendor offer an EU AI Act compliance statement? Reputable providers of business AI tools have published their compliance positions. If a vendor cannot produce this when asked, that is a red flag regardless of the regulation.
Are you disclosing AI interaction to customers? If you use any customer-facing AI — chat, email automation, voice assistants — make sure your terms of service and in-session disclosures are updated. One sentence is sufficient in most cases.

What about general-purpose AI tools?

Tools like ChatGPT, Claude, and Gemini fall under the GPAI (General Purpose AI) provisions. The obligations here rest primarily on the model providers, not on businesses using those models via APIs or standard interfaces. You benefit from compliance they are already required to maintain.

Where your responsibility kicks in: if you build a product on top of these APIs that serves customers in a high-risk context, the downstream obligations are yours.

The practical takeaway

For most small and medium businesses, the EU AI Act requires an hour of review, not a compliance overhaul. Audit what AI you use, identify if any of it touches consequential decisions about people, and make sure customer-facing AI is disclosed. That covers the vast majority of cases.

If you operate in a sector where AI informs credit, hiring, or access to services, get proper legal advice — the high-risk tier has real teeth.

If you want a straightforward review of your current AI stack against the Act's requirements, that is something we can walk through together in a single session.

La Ley de IA de la UE — el primer marco legal integral del mundo para la inteligencia artificial — está ahora en plena aplicación. Tras años de debate, borradores y retrasos, las obligaciones son reales y las sanciones se aplican. La pregunta para los propietarios de negocios en toda Europa es sencilla: ¿me afecta esto y, si es así, cómo?

La respuesta corta para la mayoría de las pequeñas empresas: probablemente estás bien, pero necesitas hacer una revisión rápida.

Cómo categoriza el riesgo la ley

La Ley de IA de la UE utiliza un modelo de riesgo escalonado. No toda la IA recibe el mismo trato. El nivel en el que se encuentran tus herramientas de IA determina tus obligaciones.

Riesgo inaceptable — prohibido totalmente

Puntuación social por parte de gobiernos, vigilancia biométrica en tiempo real en espacios públicos, manipulación subliminal. Nada de esto aplica al software empresarial estándar. Puedes ignorar esta categoría.

Alto riesgo — obligaciones estrictas

La IA utilizada en decisiones de contratación y RRHH, calificación crediticia, evaluación educativa, infraestructura crítica y fuerzas del orden se incluye aquí. Si usas IA para seleccionar CVs automáticamente o si tu sistema de IA influye en las condiciones crediticias de los clientes, estás en este nivel. Necesitas evaluaciones de conformidad, mecanismos de supervisión humana y documentación detallada.

Riesgo limitado — requisitos de transparencia

Los chatbots y las herramientas de contenido generado por IA están aquí. La obligación principal: los usuarios deben saber que están interactuando con IA. Si tu web tiene un chat impulsado por IA, necesita una divulgación. Es un esfuerzo mínimo.

Riesgo mínimo — sin obligaciones

Filtros de spam, asistentes de escritura IA, motores de recomendación, herramientas de análisis — la gran mayoría del software IA utilizado por las pequeñas empresas. No se aplican nuevas obligaciones.

Tres cosas que revisar antes de tu próxima compra de herramienta de IA

¿La herramienta toma decisiones importantes sobre personas? Si selecciona candidatos, evalúa solvencia crediticia o influye en algo con impacto legal o material sobre individuos, verifica que el proveedor tiene documentación de cumplimiento de alto riesgo.
¿Tu proveedor ofrece una declaración de conformidad con la Ley de IA de la UE? Los proveedores reputados de herramientas de IA empresarial han publicado sus posiciones de cumplimiento. Si un proveedor no puede presentarlo cuando se le solicita, eso es una señal de alarma.
¿Estás informando a los clientes de la interacción con IA? Si usas cualquier IA de cara al cliente — chat, automatización de correo, asistentes de voz — asegúrate de que tus términos de servicio y las divulgaciones en sesión están actualizados. Una frase suele ser suficiente en la mayoría de los casos.

¿Qué hay de las herramientas de IA de propósito general?

Herramientas como ChatGPT, Claude y Gemini están bajo las disposiciones de GPAI (IA de Propósito General). Las obligaciones aquí recaen principalmente en los proveedores de los modelos, no en las empresas que utilizan esos modelos a través de APIs o interfaces estándar. Te beneficias del cumplimiento que ya están obligados a mantener.

Donde entra tu responsabilidad: si construyes un producto sobre estas APIs que sirve a clientes en un contexto de alto riesgo, las obligaciones posteriores son tuyas.

La conclusión práctica

Para la mayoría de las pequeñas y medianas empresas, la Ley de IA de la UE requiere una hora de revisión, no una revisión completa de cumplimiento. Audita qué IA usas, identifica si alguna toca decisiones importantes sobre personas y asegúrate de que la IA de cara al cliente está divulgada. Eso cubre la gran mayoría de los casos.

Si operas en un sector donde la IA informa sobre crédito, contratación o acceso a servicios, busca asesoramiento legal adecuado — el nivel de alto riesgo tiene consecuencias reales.

Si quieres una revisión directa de tu stack de IA actual frente a los requisitos de la Ley, es algo que podemos revisar juntos en una sola sesión.

De EU AI Act — het eerste uitgebreide wettelijke kader ter wereld voor kunstmatige intelligentie — is nu volledig van kracht. Na jaren van debat, concepten en vertragingen zijn de verplichtingen reëel en gelden er sancties. De vraag voor ondernemers door heel Europa is simpel: raakt dit mij, en zo ja, hoe?

Het korte antwoord voor de meeste kleine bedrijven: je zit waarschijnlijk goed, maar je moet een snelle check doen.

Hoe de wet risico categoriseert

De EU AI Act gebruikt een gelaagd risicomodel. Niet alle AI wordt gelijk behandeld. De categorie waar jouw AI-tools in vallen, bepaalt je verplichtingen.

Onaanvaardbaar risico — volledig verboden

Social scoring door overheden, realtime biometrische surveillance in openbare ruimten, subliminale manipulatie. Niets hiervan is van toepassing op standaard bedrijfssoftware. Je kunt deze categorie negeren.

Hoog risico — strikte verplichtingen

AI die wordt gebruikt in aanwervings- en HR-beslissingen, kredietscoring, onderwijsbeoordeling, kritieke infrastructuur en wetshandhaving valt hieronder. Als je AI gebruikt om automatisch cv's te screenen of als jouw AI-systeem de kredietvoorwaarden voor klanten beïnvloedt, zit je in deze categorie. Je hebt conformiteitsbeoordelingen, menselijk toezichtmechanisme en gedetailleerde documentatie nodig.

Beperkt risico — transparantievereisten

Chatbots en tools voor AI-gegenereerde content vallen hier. De voornaamste verplichting: gebruikers moeten weten dat ze met AI interageren. Als je website een AI-chatwidget heeft, moet er een melding zijn. Dit vergt minimale inspanning.

Minimaal risico — geen verplichtingen

Spamfilters, AI-schrijfassistenten, aanbevelingsengines, analysetools — de overgrote meerderheid van AI-software die kleine bedrijven gebruiken. Er gelden geen nieuwe verplichtingen.

Drie dingen die je moet checken voor je volgende AI-tool aanschaft

Neemt de tool consequente beslissingen over mensen? Als het kandidaten screent, kredietwaardigheid beoordeelt of iets beïnvloedt met juridische of materiële impact op individuen, verifieer dan dat de leverancier de juiste hoog-risico compliancedocumentatie heeft.
Biedt je leverancier een EU AI Act-complianceverklaring? Gerenommeerde aanbieders van zakelijke AI-tools hebben hun complianceposities gepubliceerd. Als een leverancier dit niet kan overleggen op verzoek, is dat een rode vlag.
Informeer je klanten over AI-interactie? Als je klantgerichte AI gebruikt — chat, e-mailautomatisering, spraakassistenten — zorg er dan voor dat je servicevoorwaarden en in-sessie-meldingen zijn bijgewerkt. Één zin is in de meeste gevallen voldoende.

En de algemene AI-tools?

Tools zoals ChatGPT, Claude en Gemini vallen onder de GPAI-bepalingen (General Purpose AI). De verplichtingen liggen hier primair bij de modelleveranciers, niet bij bedrijven die die modellen via API's of standaardinterfaces gebruiken. Je profiteert van de compliance die zij al verplicht zijn te onderhouden.

Waar jouw verantwoordelijkheid begint: als je een product bouwt op deze API's dat klanten bedient in een hoog-risico context, zijn de vervolg-verplichtingen van jou.

De praktische conclusie

Voor de meeste kleine en middelgrote bedrijven vereist de EU AI Act een uur van review, geen volledige compliance-revisie. Controleer welke AI je gebruikt, identificeer of die consequente beslissingen over mensen raakt, en zorg dat klantgerichte AI wordt gemeld. Dat dekt de overgrote meerderheid van de gevallen.

Als je actief bent in een sector waar AI informeert over krediet, aanwerving of toegang tot diensten, zoek dan gedegen juridisch advies — de hoog-risicocategorie heeft echte tanden.

Als je een directe review van je huidige AI-stack wil toetsen aan de vereisten van de wet, is dat iets wat we samen in één sessie kunnen doorlopen.

Not sure where your AI tools sit in the risk framework?

We can walk through it with you.

Start the conversation