Hva EUs KI-lov betyr for bedriften din

Hva EUs AI-lov betyr for bedriften din

By Nicholas Fearn • 16. april 2024 • 6 minutters lesetid

I forrige måned så EUs landemerkeforskrift om kunstig intelligens gå inn i lovbøkene. EU AI Act, som overveldende vedtok Europaparlamentet med 523-46 avstemninger, skisserer en rekke risikonivåer, forpliktelser og krav for selskaper som utvikler, distribuerer og bruker AI-løsninger eller modeller.

Selv om dette er en europeisk lov, vil britiske teknologiselskaper som ønsker å tilby sine AI-tjenester og -modeller i EU-markedet måtte overholde eller møte store bøter. Dette vil kreve en konkret forståelse av hvordan den endelige versjonen av loven fungerer og en fullstendig overhaling av bedriftens compliance-programmer.

Viktige endringer i EUs AI-lov

En av de viktigste endringene i den endelige versjonen av EUs AI-lov er «en mer risikobasert tilnærming» for å regulere teknologien, ifølge Jake Moore, global cybersikkerhetsrådgiver hos antivirusprodusenten ESET.

Moore sier til ISMS.online at reglene vil være forskjellige for AI-applikasjoner med lav risiko og høy risiko, hvor de strengeste gjelder for "de med større potensiale for skade". Eksempler på sistnevnte vil være AI-drevet medisinsk utstyr og automatiserte polititeknologier.

Han legger til at loven også vil tvinge selskaper til å være transparente om AI-bruken deres, forby farlige AI-applikasjoner som prediktiv politiarbeid, og granske generative AI-modeller som ChatGPT 4 og Google Gemini.

"Dette er det første tegnet på erkjennelsen av at én AI-størrelse ikke passer alle," fortsetter Moore.

Leonie Power, en partner og AI-spesialist i advokatfirmaet Fieldfisher, sier at viktige endringer inkluderer en AI-definisjon som ligner den som ble vedtatt av Organisasjonen for økonomisk samarbeid og utvikling (OECD), i tillegg til dedikerte bestemmelser for dype forfalskninger og generelle formål. AI-modeller.

Paolo Sbuttoni, partner i advokatfirmaet Foot Anstey, påpeker at mange av disse endringene ble skissert i et lekket lovutkast som EU-lovgivere foreløpig ble enige om i desember i fjor. Det inkluderte en endelig AI-systemdefinisjon, krav til en konsekvensvurdering av grunnleggende rettigheter, begrensninger på biometrisk identifikasjon i sanntid og regler for generelle AI-systemer, sier han.

"Medlovgiverne gjennomførte noen tekniske endringer i loven i januar 2024 for å tilpasse teksten til fortolkningene med artiklene som avtalt under desember-forhandlingene, men det har ikke vært noen vesentlige endringer i utkastet fra desember 2023," sier han til ISMS .på nett.

Innvirkningen på britiske organisasjoner

Storbritannia kan ha forlatt EU og utviklet sin egen tilnærming til å regulere AI-teknologi, men dette betyr ikke at EU AI-loven ikke vil påvirke britiske virksomheter. I følge Foot Anstey's Sbuttoni må alle britiske selskaper som ønsker å selge eller installere AI-tjenester i EU følge reglene.

I henhold til artikkel 28 vil imidlertid disse forpliktelsene variere avhengig av modifikasjoner gjort av EU-baserte distribusjonsgivere, distributører eller importører av AI-tjenester utviklet eller tilbudt av britiske selskaper, presiserer han. Disse gruppene er mer kjent som "nedstrømsbrukere", mens AI-tjenesteleverandører er "oppstrøms" enheter.

Med henvisning til artikkel 3 punkt 23, sier Sbuttoni at EU-regulatorer vil se på disse gruppene som tjenesteleverandører hvis de gjør betydelige endringer i systemer levert av britiske selskaper. I dette innholdet sier han at den britiske enheten må gi nedstrømsbrukeren i EU – nå tjenesteleverandøren – tekniske dokumenter, kapasitetsinformasjon og teknisk tilgang og assistanse slik at den andre parten kan overholde loven.

Å oppfylle disse forpliktelsene

Når det gjelder å oppfylle disse nye lovkravene, må britiske AI-selskaper som ønsker å operere i EU-markedet gjøre en rekke endringer i compliance-programmene sine. Fieldfisher's Power anbefaler at organisasjoner starter denne prosessen ved å gjennomgå alle utviklede, distribuerte eller planlagte AI-systemer og bestemme hvilken innvirkning EUs AI-lov vil ha på dem.

Hun råder deretter organisasjoner til å klassifisere AI-modeller og -systemer basert på deres risikonivå, for eksempel høy eller systematisk risiko, og forstå rollen de spiller i AI-forsyningskjeden. Det siste trinnet er å implementere et AI-styringsrammeverk. Power sier at organisasjoner kan utnytte utprøvde risiko- og styringsrammeverk, som de som brukes for personvern for data, for å gjøre dette.

«Vurder spesielt overlappingen med GDPR overholdelse og i hvilken grad organisasjonen kan bygge på disse overholdelsestiltakene for å imøtekomme EUs AI-lovforpliktelser," sier hun til ISMS.online. "Ved å ta tilnærmingen ovenfor, bør organisasjoner huske på overgangsperiodene for spesifikke krav, som varierer mellom seks og 36 måneder."

Foot Anstey's Sbuttoni sier at organisasjoner bør utforme compliance-programmer rundt de potensielle risikoene som deres AI-systemer utgjør. De fire risikokategoriene vedtatt av EU AI Act er: minimal, begrenset, høy og uakseptabel.

– Systemer med lav/minimal risiko vil være underlagt begrensede forpliktelser, mens loven stiller en rekke betydelige krav til operatørene av høyrisikosystemer. Disse inkluderer risikostyring, samsvars- og konsekvensvurderinger, datakvalitet, åpenhet eller menneskelig tilsyn, sier han.

Manglende overholdelse av disse forskriftene kan medføre høye økonomiske kostnader. EU kan bøtelegge bedrifter med opptil 35 millioner euro (30 millioner pund) eller 7 % av forrige års globale omsetning hvis de deltar i forbudt praksis, 15 millioner euro (13 millioner pund) eller 3 % for ikke å oppfylle andre regulatoriske krav, og 7.5 millioner euro (£6.4 millioner) eller 1 % for å gi falsk informasjon.

Hvordan ISO 42001 kan hjelpe

Ettersom britiske selskaper tilpasser sine compliance-programmer basert på kravene fastsatt av EU AI Act, kan det også være en god idé å implementere ISO 42001-standard for AI-styringssystemer.

Fieldfisher's Power sier at å utnytte denne industristandarden vil gjøre det mulig for selskaper å overholde EUs AI-lov ved å "skape en kultur for åpenhet, ansvarlighet og etisk bruk av AI".

Foot Anstey's Sbuttoni legger til at den tekniske veiledningen som tilbys av ISO 42001 vil hjelpe selskaper med å håndtere AI-risikoer og -muligheter.

"Selv om det ikke garanterer overholdelse av loven, er det et godt skritt å hjelpe selskaper som bruker AI med å overholde industri- eller lovkrav," hevder han.

Gitt størrelsen på det europeiske markedet, vil mange britiske selskaper som håper å utnytte kraften til AI i produkttilbudene sine, se opp standarden som en måte å effektivisere sin internasjonale ekspansjon.

Hva EUs AI-lov betyr for bedriften din

Viktige endringer i EUs AI-lov

Innvirkningen på britiske organisasjoner

Å oppfylle disse forpliktelsene

Hvordan ISO 42001 kan hjelpe

Nicholas Fearn

Relaterte artikler

Å lukke gapet i motstandskraft: Der regjeringen sier at UK PLC fortsatt mislykkes

Minste motstands vei: Hvorfor dybdeforsvar er den beste responsen på skytrusler

Å møte loven om bruk og tilgang til data med tillit: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer

Mer fra Nicholas Fearn

Hvorfor fortsetter GDPR-bøtene å øke?

Compliance-æraen: Hvordan regulering, teknologi og risiko omskriver forretningsnormer

Hvordan høyprofilerte cyberhendelser demonstrerer den reelle forretningsmessige effekten av sårbarheter i forsyningskjeden