Organisaation on laadittava ja ylläpidettävä dokumentoitua arviointimenettelyä sen määrittämiseksi, voidaanko se luokitella suuren riskin tekoälyjärjestelmän tarjoajaksi tekoälysäädöksen 25 §:n mukaisesti. Arviointi olisi suoritettava aina, kun organisaatio antaa nimensä tai tavaramerkkinsä toisen yhteisön kehittämälle suuren riskin tekoälyjärjestelmälle, tekee huomattavia muutoksia olemassa olevaan korkean riskin tekoälyjärjestelmään, joka on edelleen 6 artiklan mukaisesti korkean riskin järjestelmä, tai muuttaa tekoälyjärjestelmän käyttötarkoitusta siten, että se luokitellaan suuren riskin tekoälyjärjestelmäksi.

Menettelyn olisi katettava myös tapaukset, joissa organisaatio valmistaa tuotteen, johon sisältyy suuririskinen tekoälyjärjestelmä, joka on liitteessä I olevassa A jaksossa luetellun EU:n yhdenmukaistamislainsäädännön mukainen turvakomponentti.

Tällaisissa tapauksissa tuotteen valmistajaa olisi kohdeltava palveluntarjoajana, jos:

Jos palveluntarjoajan asema toteutuu, organisaation olisi pantava täytäntöön kaikki 16 artiklan mukaiset palveluntarjoajan velvoitteet, mukaan lukien vaatimustenmukaisuuden arviointi, tekniset asiakirjat, riskinhallinta ja markkinoille saattamisen jälkeinen seuranta. Vastuunjako ja vastuun siirto olisi dokumentoitava virallisesti aina, kun tällainen muutos tapahtuu.

Jos organisaatiosta tulee aiemmin markkinoille saatetun suuren riskin tekoälyjärjestelmän tarjoaja, sen olisi luotava yhteistyöjärjestelyt alkuperäisen tarjoajan kanssa, jotta se saa kaikki tarvittavat tekniset asiakirjat, teknisen käyttöoikeuden ja muun kohtuullisesti vaadittavan avun asetuksen noudattamisen varmistamiseksi. Olisi tarkistettava, onko alkuperäinen tarjoaja nimenomaisesti rajoittanut tekoälyjärjestelmän muuttamista riskialttiiksi järjestelmäksi. Kaikki määritykset, sopimusjärjestelyt ja niitä tukevat todisteet olisi säilytettävä.