Hvad EU's AI-lov betyder for din virksomhed
Indholdsfortegnelse:
I sidste måned så EU's skelsættende kunstig intelligens-regulering ind i lovbøgerne. EU AI Act, som overvældende vedtog Europa-Parlamentet med en afstemning på 523-46, skitserer en række risikoniveauer, forpligtelser og krav til virksomheder, der udvikler, implementerer og bruger AI-løsninger eller -modeller.
Selvom dette er en europæisk lov, vil britiske teknologivirksomheder, der ønsker at tilbyde deres AI-tjenester og -modeller på EU-markedet, skulle overholde eller stå over for store bøder. Dette vil kræve en konkret forståelse af, hvordan den endelige version af loven fungerer, og en komplet revision af virksomheders compliance-programmer.
Vigtige ændringer i EU's AI-lov
En af de mest markante ændringer i den endelige version af EU's AI-lov er "en mere risikobaseret tilgang" til at regulere teknologien, ifølge Jake Moore, global cybersikkerhedsrådgiver hos antivirusproducenten ESET.
Moore fortæller til ISMS.online, at reglerne vil være forskellige for lav-risiko og højrisiko AI-applikationer, hvor de strengeste gælder for "dem med større potentiale for skade". Eksempler på sidstnævnte ville være AI-drevet medicinsk udstyr og automatiserede polititeknologier.
Han tilføjer, at loven også vil tvinge virksomheder til at være gennemsigtige omkring deres brug af kunstig intelligens, forbyde farlige kunstig intelligens-applikationer såsom prædiktiv politiarbejde og granske generative kunstig intelligens-modeller som ChatGPT 4 og Google Gemini.
"Dette er det første tegn på erkendelsen af, at én AI-størrelse ikke passer til alle," fortsætter Moore.
Leonie Power, en partner og AI-specialist hos advokatfirmaet Fieldfisher, siger, at de vigtigste ændringer omfatter en AI-definition svarende til den, der er vedtaget af Organisationen for Økonomisk Samarbejde og Udvikling (OECD), foruden dedikerede bestemmelser for deepfakes og generelle formål. AI modeller.
Paolo Sbuttoni, partner hos advokatfirmaet Foot Anstey, påpeger, at mange af disse ændringer blev skitseret i et lækket lovudkast, som EU-lovgiverne foreløbigt blev enige om i december sidste år. Det omfattede en endelig AI-systemdefinition, krav til en konsekvensanalyse af grundlæggende rettigheder, begrænsninger for biometrisk identifikation i realtid og regler for AI-systemer til generelle formål, siger han.
"Medlovgiverne gennemførte nogle tekniske ændringer af loven i januar 2024 for at tilpasse teksten i betragtningerne til artiklerne som aftalt under forhandlingerne i december, men der har ikke været nogen væsentlige ændringer i udkastet fra december 2023," siger han til ISMS .online.
Indvirkningen på britiske organisationer
Storbritannien kan have forladt EU og udviklet sin egen tilgang til at regulere AI-teknologi, men det betyder ikke, at EU AI-loven ikke vil påvirke britiske virksomheder. Ifølge Foot Anstey's Sbuttoni skal alle britiske virksomheder, der ønsker at sælge eller installere AI-tjenester i EU, følge reglerne.
I henhold til artikel 28 vil disse forpligtelser dog variere afhængigt af ændringer foretaget af EU-baserede distributører, distributører eller importører af AI-tjenester udviklet eller tilbudt af britiske virksomheder, præciserer han. Disse grupper er mere bredt kendt som "downstream-brugere", mens AI-tjenesteudbydere er "upstream"-enheder.
Med henvisning til artikel 3, punkt 23, siger Sbuttoni, at EU-tilsynsmyndigheder vil betragte disse grupper som tjenesteudbydere, hvis de foretager væsentlige ændringer i systemer, der leveres af britiske virksomheder. I dette indhold siger han, at den britiske enhed ville være nødt til at give EU's downstream-bruger – nu tjenesteudbyderen – tekniske dokumenter, kapacitetsoplysninger og teknisk adgang og assistance, så den anden part kan overholde loven.
Opfyldelse af disse forpligtelser
Når det kommer til at opfylde disse nye lovkrav, skal britiske AI-virksomheder, der ønsker at operere på EU-markedet, foretage en række ændringer i deres overholdelsesprogrammer. Fieldfisher's Power anbefaler, at organisationer starter denne proces ved at gennemgå alle udviklede, implementerede eller planlagte AI-systemer og bestemme, hvilken indvirkning EU AI-loven vil have på dem.
Hun rådgiver derefter organisationer om at klassificere AI-modeller og -systemer baseret på deres risikoniveau, såsom en høj eller systematisk risiko, og forstår den rolle, de spiller i AI-forsyningskæden. Det sidste trin er implementering af en AI-styringsramme. Power siger, at organisationer kan udnytte gennemprøvede risiko- og styringsrammer, som dem, der bruges til databeskyttelse, til at gøre dette.
”Tænk især på overlapningen med GDPR compliance og i hvilket omfang organisationen kan bygge videre på disse overholdelsesforanstaltninger for at imødekomme forpligtelserne i EU AI Act,” siger hun til ISMS.online. "Ved at tage ovenstående tilgang bør organisationer huske overgangsperioderne for specifikke krav, som varierer mellem seks og 36 måneder."
Foot Anstey's Sbuttoni siger, at organisationer bør designe compliance-programmer omkring de potentielle risici, som deres AI-systemer udgør. De fire risikokategorier, der er vedtaget af EU AI-loven, er: minimal, begrænset, høj og uacceptabel.
"Lav/minimal risikosystemer vil være underlagt begrænsede forpligtelser, mens loven stiller en række væsentlige krav til operatørerne af højrisikosystemer. Disse omfatter risikostyring, overensstemmelses- og konsekvensvurderinger, datakvalitet, gennemsigtighed eller menneskeligt tilsyn,” siger han.
Manglende overholdelse af disse regler kan medføre høje økonomiske omkostninger. EU kan bøde virksomheder på op til 35 mio. EUR (30 mio. GBP) eller 7 % af det foregående års globale omsætning, hvis de engagerer sig i forbudt praksis, 15 mio. EUR (13 mio. GBP) eller 3 % for manglende opfyldelse af andre lovkrav og 7.5 mio. (£6.4 mio.) eller 1 % for at give falske oplysninger.
Hvordan ISO 42001 kan hjælpe
Da britiske virksomheder tilpasser deres compliance-programmer baseret på kravene i EU AI Act, kunne det også være en god idé at implementere ISO 42001-standard til AI-styringssystemer.
Fieldfisher's Power siger, at udnyttelse af denne industristandard vil gøre det muligt for virksomheder at overholde EU's AI-lov ved at "skabe en kultur af gennemsigtighed, ansvarlighed og etisk brug af AI".
Foot Anstey's Sbuttoni tilføjer, at den tekniske vejledning, der tilbydes af ISO 42001, vil hjælpe virksomheder med at håndtere AI-risici og -muligheder.
"Selvom det ikke garanterer overholdelse af loven, er det et godt skridt at hjælpe virksomheder, der bruger kunstig intelligens, med at overholde industriens eller lovmæssige krav," argumenterer han.
I betragtning af størrelsen af det europæiske marked vil mange britiske virksomheder, der håber at udnytte AI-kraften i deres produktudbud, se standarden op som en måde at strømline deres internationale ekspansion.
