（1）2024年11月2日之前，各成员国指定人工智能监管机构；

（2）2025年2月2日开始，法案的一般规定和禁令规定将会生效，针对社会信用排名系统等具有“不可接受的风险”的人工智能的禁令清单开始适用，并将于法律颁布实施后的六个月内开始执行；

（3）2025年5月2日之前，欧盟人工智能办公室将会发布行为准则；

（4）2025年8月2日开始，通用人工智能模型（GPAI）相关规定开始生效，提供者将须履行透明度等义务；

（5）2026年2月2日之前，欧盟委员会需要提出建立后市场监测计划模板，并列出计划所列要素清单；

（6）2026年8月2日之前，法案将会全面生效，即法案内其他内容都将开始适用。包括附件三（高风险人工智能系统列表）中定义的高风险人工智能系统的全部义务。与治理和符合评估系统相关的基础设施应投入运行，成员国应在国家一级至少建立一个人工智能监管沙盒，该沙盒最迟应在2026年8月2日投入使用；

（7）2027年8月2日之前，对于高风险人工智能系统相关的一些义务将开始适用。例如用于医疗设备、机械以及无线电设备的高风险人工智能系统。在2025年8月2日之前已投放市场的通用人工智能模型的提供者应采取必要步骤，以便在2027年8月2日之前遵守本条例规定的义务；

（8）2028年11月之前，欧洲委员会应当就监管权力下放问题起草一份报告;

（9）2030年12月31日之前，在2027年8月2日之前已经投放市场或投入使用的大型信息技术系统组成部分的人工智能系统应当符合本法规定。

欧盟人工智能法案采用基于风险的划分方法，根据人工智能系统对个人权利和安全的潜在影响将其分为四个层级。

（1）不可接受风险(Unacceptable Risk)。定义为对安全、生计和基本权利构成明显威胁的人工智能系统，根据法案第5条禁止。例如，社会评分系统、利用特定个人或者人群脆弱性的系统、使用超越人意识的潜意识系统、在公共空间使用实时远程生物识别系统、针对个人的预测性警务系统、工作场所和教育机构中的情绪识别系统。

（2）高风险(High Risk)。定义为可能危害安全、基本权利或导致重大不利影响的人工智能系统，受法案第6-51条规定的严格合规和透明度义务约束。例如，用于关键基础设施、教育、就业、基本服务、执法、移民管理和司法管理的人工智能等。判定高风险需要依据人工智能系统的功能、预期目的和行为方式。此类高风险人工智能系统的供应商必须运行合格评定程序，然后才能在欧盟销售和使用其产品。

（3）有限风险(Limited Risk)。定义为需要特定透明度措施的人工智能系统。例如，聊天机器人，情绪识别系统等。法案第52-54条概述的透明度义务。此类系统受信息和透明度要求的约束，生成或操纵图像、音频或视频内容（深度伪造）的人工智能系统的部署者必须披露该内容是人为生成或操纵的，特定情况除外（如被用于防止刑事犯罪时）。生成大量合成内容的人工智能系统提供商必须实施足够可靠、可互操作、有效和强大的技术和方法（如水印），以便能够标记和检测输出是由人工智能系统而不是人类生成或操纵的。

（4）最小风险(Minimal Risk)。定义为对公民权利或安全构成最小或无风险的人工智能应用。例如，人工智能支持的视频游戏，垃圾邮件过滤器等。除现有法律外，无额外法律要求。根据欧盟委员会的说法，目前在欧盟使用或可能在欧盟使用的绝大多数人工智能系统都属于低风险系统。