Wat die EU KI-wet vir jou besigheid beteken
INHOUDSOPGAWE:
Verlede maand het die Europese Unie se landmerkregulasie vir kunsmatige intelligensie plaasgevind betree die wetboeke. Die EU KI-wet, wat die Europese Parlement oorweldigend met 'n stemming van 523-46 geslaag het, beskryf 'n reeks risikovlakke, verpligtinge en vereistes vir maatskappye wat KI-oplossings of -modelle ontwikkel, ontplooi en gebruik.
Alhoewel dit 'n Europese wet is, sal Britse tegnologiemaatskappye wat hul KI-dienste en -modelle in die EU-mark wil aanbied, daaraan moet voldoen of stewige boetes moet opgelê word. Dit sal 'n konkrete begrip van hoe die finale weergawe van die wet werk en 'n volledige hersiening van korporatiewe nakomingsprogramme vereis.
Sleutelveranderinge in die EU KI-wet
Een van die belangrikste veranderinge aan die finale weergawe van die EU KI-wet is "'n meer risiko-gebaseerde benadering" om die tegnologie te reguleer, volgens Jake Moore, globale kuberveiligheidsadviseur by antivirusvervaardiger ESET.
Moore sê aan ISMS.online dat reëls vir laerisiko- en hoërisiko-KI-toepassings sal verskil, met die strengste van toepassing op "dié met groter potensiaal vir skade". Voorbeelde van laasgenoemde is KI-aangedrewe mediese toestelle en outomatiese polisiëringstegnologie.
Hy voeg by dat die wet maatskappye ook sal verplig om deursigtig te wees oor hul KI-gebruik, gevaarlike KI-toepassings soos voorspellende polisiëring te verbied, en generatiewe KI-modelle soos ChatGPT 4 en Google Gemini te ondersoek.
“Dit is die eerste teken van die besef dat een KI-grootte nie almal pas nie,” gaan Moore voort.
Leonie Power, 'n vennoot en KI-spesialis by die regsfirma Fieldfisher, sê sleutelveranderinge sluit 'n KI-definisie in soortgelyk aan die een wat deur die Organisasie vir Ekonomiese Samewerking en Ontwikkeling (OESO) aanvaar is, benewens toegewyde bepalings vir diepvervalsing en algemene doeleindes. KI modelle.
Paolo Sbuttoni, vennoot by die regsfirma Foot Anstey, wys daarop dat baie van hierdie veranderinge uiteengesit is in 'n uitgelekte wetsontwerp waaroor EU-wetgewers verlede Desember voorlopig ooreengekom het. Dit het 'n finale KI-stelseldefinisie, vereistes vir 'n fundamentele regte-impakbeoordeling, beperkings op intydse biometriese identifikasie en reëls vir algemene KI-stelsels ingesluit, sê hy.
"Die mede-wetgewers het in Januarie 2024 'n paar tegniese wysigings aan die wet aangebring om die teks van die voordragte in lyn te bring met die artikels soos ooreengekom tydens die Desember-onderhandelinge, maar daar was geen wesenlike veranderinge aan die Desember 2023-konsep nie," het hy aan ISMS gesê. .aanlyn.
Die impak op Britse organisasies
Brittanje het dalk die Europese Unie verlaat en sy eie benadering ontwikkel het om KI-tegnologie te reguleer, maar dit beteken nie dat die EU KI-wet nie Britse ondernemings sal beïnvloed nie. Volgens Foot Anstey's Sbuttoni moet enige maatskappy wat in die VK gebaseer is wat KI-dienste in die EU wil verkoop of installeer, die reëls volg.
Ingevolge artikel 28 sal hierdie verpligtinge egter wissel na gelang van wysigings gemaak deur EU-gebaseerde ontplooiers, verspreiders of invoerders van KI-dienste wat ontwikkel of aangebied word deur Britse maatskappye, verduidelik hy. Hierdie groepe is meer algemeen bekend as "stroomaf-gebruikers", terwyl KI-diensverskaffers "stroomop" entiteite is.
Met verwysing na artikel 3 punt 23, sê Sbuttoni EU-reguleerders sal hierdie groepe as diensverskaffers beskou as hulle wesenlike veranderinge aan die stelsels maak wat deur Britse maatskappye verskaf word. In hierdie inhoud sê hy dat die Britse entiteit die EU-stroomafgebruiker – nou die diensverskaffer – tegniese dokumente, vermoë-inligting en tegniese toegang en bystand moet gee sodat die ander party aan die wet kan voldoen.
Nakoming van hierdie verpligtinge
Wanneer dit kom by die nakoming van hierdie nuwe wetlike vereistes, sal Britse KI-maatskappye wat in die EU-mark wil werk, 'n reeks veranderinge aan hul nakomingsprogramme moet aanbring. Fieldfisher's Power beveel aan dat organisasies hierdie proses begin deur enige ontwikkelde, ontplooide of beplande KI-stelsels te hersien en die impak wat die EU-KI-wet op hulle sal hê, te bepaal.
Sy beveel dan aan dat organisasies KI-modelle en -stelsels klassifiseer op grond van hul risikovlak, soos 'n hoë of sistematiese risiko, en die rol wat hulle in die KI-voorsieningsketting speel, verstaan. Die laaste stap is die implementering van 'n KI-bestuursraamwerk. Power sê organisasies kan beproefde risiko- en bestuursraamwerke, soos dié wat vir dataprivaatheid gebruik word, gebruik om dit te doen.
“Oorweeg veral die oorvleueling met BBP nakoming en die mate waarin die organisasie kan voortbou op daardie nakomingsmaatreëls om die verpligtinge van die EU KI-wet aan te spreek,” vertel sy aan ISMS.online. “As organisasies bogenoemde benadering volg, moet organisasies die oorgangstydperke vir spesifieke vereistes, wat wissel tussen ses en 36 maande, in gedagte hou.”
Foot Anstey se Sbuttoni sê organisasies moet voldoeningsprogramme ontwerp rondom die potensiële risiko's wat hul KI-stelsels inhou. Die vier risikokategorieë wat deur die EU KI-wet aangeneem word, is: minimaal, beperk, hoog en onaanvaarbaar.
“Lae/minimale risikostelsels sal onderhewig wees aan beperkte verpligtinge, terwyl die wet 'n aantal beduidende vereistes aan die operateurs van hoërisikostelsels stel. Dit sluit risikobestuur, ooreenstemming en impakbeoordelings, datakwaliteit, deursigtigheid of menslike toesig in,” sê hy.
Versuim om aan hierdie regulasies te voldoen kan 'n hoë finansiële koste meebring. Die EU kan ondernemings beboet tot €35m (£30m) of 7% van die vorige jaar se globale omset as hulle betrokke is by verbode praktyke, €15m (£13m) of 3% vir die versuim om aan ander regulatoriese vereistes te voldoen, en €7.5m. (£6.4m) of 1% vir die verskaffing van vals inligting.
Hoe ISO 42001 kan help
Aangesien Britse maatskappye hul nakomingsprogramme aanpas op grond van die vereistes wat deur die EU KI-wet gestel word, kan dit ook 'n goeie idee wees om die ISO 42001 standaard vir KI-bestuurstelsels.
Fieldfisher's Power sê die gebruik van hierdie industriestandaard sal maatskappye in staat stel om aan die EU-wet op KI te voldoen deur 'n kultuur van deursigtigheid, aanspreeklikheid en etiese gebruik van KI te skep.
Foot Anstey se Sbuttoni voeg by dat die tegniese leiding wat deur ISO 42001 aangebied word, maatskappye sal help om KI-risiko's en -geleenthede te bestuur.
"Hoewel dit nie voldoening aan die wet waarborg nie, is dit 'n goeie stap om maatskappye wat KI gebruik, te help om aan industrie- of wetlike vereistes te voldoen," voer hy aan.
Gegewe die grootte van die Europese mark, sal baie Britse maatskappye wat hoop om die krag van KI in hul produkaanbiedinge te benut, die standaard opkyk as 'n manier om hul internasionale uitbreiding te stroomlyn.
