Die EU se KI-wet bereik die laaste fase in sy moeisame lang reis van wetgewende voorstel tot afdwingbare wet. Dit het lank geneem om te kom. Die wet het op 1 Augustus 2024 in werking getree, met 'n gefaseerde implementering wat tot talle sperdatums oor die daaropvolgende maande en jare gelei het. Tensy 'n veel gepubliseerde ... Digitale Omnibus-voorstel binnekort deur die Europese Parlement goedgekeur word, sal 'n belangrike sperdatum op 2 Augustus 2026 aanbreek.

Britse besighede wat hoërisiko-stelsels in die streek ontwikkel of gebruik, het tot dan om hul KI-bestuur in orde te kry. Reguleerders sal bewyse van beheer wil sien, nie net bewerings van voldoening nie. Vir sommige organisasies mag dit 'n beduidende kulturele verskuiwing vereis. Maar pragmatiese beste praktykstandaarde soos ISO 42001 kan hulle daar kry.

Die storie tot dusver

Sedert dit wet geword het, het verskeie aspekte van die wet in werking getree. Die belangrikste is dat ons in Februarie 2025 nuwe geletterdheidsvereistes vir personeel in werking getree het, bestuursstrukture soos die KI-kantoor en KI-raad van stapel gestuur is, en KI-stelsels wat "onaanvaarbare risiko's" inhou, verbied is. Onder die wet se risikogebaseerde benadering is dit egter die maklike deel. Met stelsels wat onaanvaarbare risiko's inhou, verbied, en geen nuwe reëls vir diegene wat beoordeel word as minimale of geen risiko nie (bv. strooiposfilters), verskuif die fokus na "beperkte" en "hoërisiko"-stelsels.

Diegene wat as beperkte risiko beskou word (soos kletsbotte en sommige diepvals-kragopwekkers) sal moet "verseker dat mense ingelig word wanneer nodig om vertroue te bewaar", volgens die Europese KommissieMaar dit is hoërisiko-stelsels waar die grootste nakomingsuitdagings lê.

Onder die Nakomingsmikroskoop

Soos ons het voorheen verduidelik, hoërisiko-stelsels is dié wat gebruik word in gebiede soos biometriese identifikasie, kritieke sektore soos gesondheidsorg, onderwys en indiensneming (waar KI-besluite mense se lewens kan beïnvloed) en noodsaaklike infrastruktuur (bv. energienetwerke en vervoerstelsels). Onder die gebruiksgevalle wat die kommissie noem, is eksamenpuntbepaling, robotondersteunde chirurgie, CV-sortering, kredietpuntbepaling en sagteware wat gebruik word om visumbesluite te neem en hofuitsprake voor te berei.

Hierdie sal onderhewig wees aan streng verpligtinge voordat hulle op die mark gebring kan word, naamlik:

  • Deurlopende risikobepaling en -versagting
  • Hoë kwaliteit datastelle om die KI op te lei en te toets
  • Gedetailleerde logboek van aktiwiteit en dokumentasie
  • Duidelike inligting wat aan die ontplooier verskaf moet word (organisasies wat die modelle gebruik)
  • Toepaslike menslike toesig
  • Hoë vlakke van "robuustheid, sekuriteit en akkuraatheid"

Hierdie verpligtinge word ietwat bemoeilik deur die verskillende vereistes wat aan verskaffers (modelontwikkelaars), ontplooiers (gebruikers), invoerders en verspreiders gestel word. Dit klink duidelik op papier. Maar 'n ontplooier sal as 'n verskaffer geklassifiseer word as hulle die beoogde doel van 'n stelsel wesenlik wysig of verander. Om sake verder te kompliseer, kan organisasies meer as een rol gelyktydig beklee. Dink aan 'n SaaS-onderneming wat 'n derdeparty-fondamentmodel neem, dit verfyn en dan aan kliënte oor verskeie jurisdiksies ontplooi.

Begin met Sigbaarheid

Dit alles maak KI-beheer ononderhandelbaar. Maar wat moet beste praktykstrategie insluit in hierdie vinnig ontwikkelende mark? Vir PSE Consulting se besturende direkteur, Chris Jones, moet sigbaarheid die eerste prioriteit wees.

“Baie besighede gebruik reeds KI op klein, verspreide maniere oor funksies heen, maar baie min het 'n duidelike inventaris van waar dit geleë is, watter besluite dit beïnvloed en of dit in 'n hoërisikokategorie val,” sê hy vir IO (voorheen ISMS.online). “Die beginpunt moet 'n gestruktureerde oorsig van KI-gebruiksgevalle wees, eienaarskap van die gepaardgaande risiko's, en hoe daardie risiko's terugskakel na bestaande verpligtinge onder raamwerke soos GDPR en NIS2.”

Dit is waar voldoening ingewikkeld kan raak, as gevolg van die oorvleuelende verpligtinge van elkeen, sê Bizzdesign se hoofstrategiebeampte, Nick Reed.

“Byvoorbeeld, ’n KI-stelsel wat persoonlike data in ’n kritieke infrastruktuurkonteks verwerk, kan gelyktydig verpligtinge onderworpe aan die GDPR-, NIS2- en die KI-wet aktiveer. Wanneer organisasies hierdie as afsonderlike voldoeningsroetes behandel, dupliseer hulle pogings en kan hulle die ooreenkomste mis wat veel groter doeltreffendheid in die bestuur van voldoening moontlik maak,” sê hy vir IO.

“Om dit aan te spreek, vereis strukturele sigbaarheid regdeur die onderneming. Organisasies benodig 'n samehangende siening van hoe KI, sake-aktiwiteite, data en kritieke stelsels mekaar kruis; nie net binne individuele regulatoriese kontekste nie, maar oor almal heen. Ondernemingsargitektuur bied daardie gedeelde ondernemingswye semantiese model, wat KI-stelsels verbind met die vermoëns, prosesse, data, derde partye en verpligtinge waarmee hulle te doen het op 'n manier wat gekoördineerde bestuur moontlik maak eerder as gefragmenteerde inisiatiewe wat pogings dupliseer.”

Die volgende stap vir voldoenende organisasies is om hul posisie in die KI-voorsieningsketting te verstaan.

“Baie organisasies neem aan dat hulle net gebruikers van KI is, maar in die praktyk tree hulle dalk op as integreerders of verspreiders sodra hulle modelle aanpas of in hul eie dienste insluit,” sê Jones van PSE Consulting. “Dit verander hul verpligtinge en hul risikoblootstelling, daarom is dit noodsaaklik om daardie rolle vroegtydig te karteer.”

Bizzdesign se Reed stem saam en voer aan dat sigbaarheid weer eens noodsaaklik word.

“Om die rol te bepaal en risikoblootstelling te assesseer, moet organisasies sien hoe KI-stelsels met die breër onderneming skakel: watter besigheidsvermoëns hulle ondersteun, watter prosesse hulle moontlik maak, watter data hulle verkry, en watter verskaffers hulle verskaf,” sê hy.

“Sonder daardie verbonde siening loop rolklassifikasie die risiko om op mening eerder as feite gebaseer te wees. Die toets kom wanneer iets verander. As 'n verskaffersinstrument as hoërisiko herklassifiseer of van die mark onttrek word, kan jy onmiddellik antwoord watter prosesse daarvan afhang, watter data dit raak, of alternatiewe bestaan, en hoe vinnig jy kan beweeg?”

'n Volwasse Benadering met ISO 42001

Om die ratsheid te bou wat hulle nodig het om voldoenend te bly te midde van regulatoriese veranderinge, herklassifikasie van verskaffers en strategiese veranderinge, moet organisasies 'n gestruktureerde en konsekwente benadering tot bestuur volg, gaan Reed voort. Dit is waar ISO 42001 kan help.

“Dit formaliseer verwagtinge rondom risikobestuur, dokumentasie, toesig en voortdurende verbetering dwarsdeur die KI-lewensiklus,” sê hy. “Vir organisasies wat die EU-KI-wet saam met GDPR en NIS2 navigeer, help raamwerke soos ISO 42001 om regulatoriese vereistes in herhaalbare prosesse te vertaal wat voldoenings- en risikospanne met vertroue kan operasionaliseer.”

Nik Kairinos, uitvoerende hoof en medestigter van RAIDS AI, deel meer pragmatiese redes waarom ISO 42001 kan help.

“Die EU het 'n konsep-Europese standaard ontwikkel wat spesifiek die vereistes van Artikel 17 van die wet aanspreek, wat kwaliteitsbestuurstelsels (QMS) vir hoërisiko-KI-verskaffers verpligtend maak: prEN 18286 (Kunsmatige Intelligensie – Gehaltebestuurstelsel vir regulatoriese doeleindes van die EU-KI-wet),” sê hy vir IO.

“Organisasies met bestaande ISO 42001-sertifisering het 'n beduidende voorsprong met die nakoming van die EU-KI-wet, aangesien dit die operasionele fondament vir prEN 18286 bied. Met die vermoede van ooreenstemming kan organisasies wat prEN 18286 implementeer, aanvaar dat hulle aan Artikel 17-verpligtinge voldoen – dus is dit waarop firmas moet fokus.”

Die doelwit moet nie wees om van nuuts af te begin nie, maar eerder om bestaande relevante beheermaatreëls en versekeringsmodelle na die KI-ruimte uit te brei, sê Jones van PSE Consulting.

“Die organisasies wat die suksesvolste sal aanpas, is dié wat betroubare KI as 'n operasionele dissipline eerder as 'n voldoeningsoefening beskou,” sluit hy af. “As jy weet waar jou KI is, wie dit besit en hoe dit optree wanneer dinge verkeerd loop, is jy reeds amper op pad om die doel van die regulasie te bereik.”

Met potensiële nie-nakomingsboetes wat €15 miljoen (£13 miljoen) of 3% van die wêreldwye jaarlikse omset bereik, is daar nie tyd om te wag nie.