Theo luật, hệ thống trí tuệ nhân tạo được phân loại theo ba mức rủi ro: cao, trung bình, thấp. Nhà cung cấp tự phân loại trước khi đưa vào sử dụng, dựa trên hướng dẫn kỹ thuật sẽ được ban hành. Trường hợp không xác định được mức độ, họ có thể đề nghị Bộ Khoa học và Công nghệ hỗ trợ.
Từ việc phân loại, luật cũng đưa ra các điều khoản để thúc đẩy phát triển và quản lý, đặc biệt với các hệ thống trí tuệ nhân tạo rủi ro cao. Nhà cung cấp cần có trách nhiệm thiết kế hệ thống bảo đảm khả năng giám sát và can thiệp của con người. Họ cũng cần lập, cập nhật và lưu giữ hồ sơ kỹ thuật và nhật ký hoạt động ở mức cần thiết cho việc đánh giá sự phù hợp và kiểm tra sau khi đưa vào sử dụng. Luật nhấn mạnh việc cung cấp thông tin "tương xứng với mục đích kiểm tra" và "không làm lộ bí mật kinh doanh".
Với người sử dụng, việc sử dụng AI rủi ro cao đi kèm trách nhiệm tuân thủ quy trình vận hành, hướng dẫn kỹ thuật và biện pháp bảo đảm an toàn, không can thiệp trái phép làm thay đổi tính năng của hệ thống.
Việc kiểm tra, giám sát sẽ được thực hiện theo mức rủi ro. AI rủi ro cao được kiểm tra định kỳ hoặc khi có dấu hiệu vi phạm; rủi ro trung bình được giám sát thông qua báo cáo, kiểm tra chọn mẫu hoặc đánh giá của tổ chức độc lập; trong khi đó AI có rủi ro thấp chỉ được theo dõi, kiểm tra khi có sự cố, phản ánh hoặc khi cần bảo đảm an toàn, để không làm phát sinh nghĩa vụ không cần thiết.
Đối với hệ thống AI đã được đưa vào hoạt động trước ngày luật này có hiệu lực, nhà cung cấp và bên triển khai sẽ thực hiện các nghĩa vụ tuân thủ trong vòng 18 tháng với lĩnh vực y tế, giáo dục, tài chính và trong 12 tháng với những lĩnh vực còn lại.
