Die sperdatum van 2 Augustus 2026 vir verpligte nakoming van hoërisiko-KI in die EU-wet is uitgestel. Maatreëls in die pas aangeneemde EU Digitale Omnibus oor KI stel sekere vereistes uit tot 2 Desember 2027, en ander tot 2 Augustus 2028.
Die Europese Kommissie het aangekondig dat die nuwe implementeringstydlyn vir die reëls wat hoërisiko-stelsels beheer, "die implementering van die KI-wet vir Europese besighede makliker sal maak, terwyl voordele vir die Europese samelewing, veiligheid en fundamentele regte verseker word."
Watter verpligtinge het verander onder die Digitale Omnibus, watter het dieselfde gebly, en hoe kan organisasies voldoening verseker voor die nuwe sperdatums?
Wat verander die Digitale Omnibus?
Die Digitale Omnibus sluit geteikende vereenvoudigingsmaatreëls van die EU-KI-wet in, insluitend:
- Uitbreiding van regulatoriese vereenvoudigings wat aan KMO's toegestaan word om KMO's in te sluit, insluitend vereenvoudigde tegniese dokumentasie en spesiale oorweging in die toepassing van strawwe.
- Die verwydering van die voorskrif van 'n geharmoniseerde moniteringsplan na die mark
- Vermindering van die registrasielas vir verskaffers van KI-stelsels wat in hoërisikogebiede gebruik word, maar waarvoor die verskaffer tot die gevolgtrekking gekom het dat hulle nie hoërisiko is nie, aangesien hulle slegs vir nou of prosedurele take gebruik word.
- Toestemming vir KI-verskaffers en -ontplooiers om spesiale kategorieë persoonlike data te verwerk om algoritmiese vooroordeel op te spoor en reg te stel
- 'n Breër gebruik van KI-regulatoriese sandkaste en werklike toetsing, en die fasilitering van 'n EU-vlak KI-regulatoriese sandkaste wat die KI-kantoor vanaf 2028 sal opstel.
- Gerigte veranderinge wat die wisselwerking tussen die EU-KI-wet en ander EU-wetgewing verduidelik en die Wet se prosedures aanpas om die algehele implementering en werking daarvan te verbeter.
Die Kommissie is ook besig om verdere riglyne voor te berei om nakoming van die EU-KI-wet te vergemaklik, met die fokus op die bied van duidelike en praktiese instruksies om die KI-wet parallel met ander EU-wetgewing toe te pas. Die nuwe toepassingsdatums sal verpligtingstermyne koppel aan die beskikbaarheid van hierdie riglyne.
Voldoening aan die deursigtigheidsverpligtinge van die EU KI-wet
A onlangs vrygestel Praktykkode oor Deursigtigheid van KI-gegenereerde Inhoud spreek sleuteloorwegings aan vir verskaffers en ontplooiers van KI-stelsels wat inhoud genereer wat binne die bestek van Artikel 50 van die Wet val, Deursigtigheidsverpligtinge vir Verskaffers en Ontplooiers van Sekere KI-stelsels. Die Kode is ontwerp om organisasies te ondersteun om nakoming te demonstreer, maar is nie op sigself afdoende bewys van nakoming van verpligtinge nie.
Ingevolge die komende vereistes moet verskaffers van KI-stelsels wat bedoel is om direk met individue te kommunikeer, hierdie stelsels ontwerp om gebruikers in te lig dat hulle met 'n KI-stelsel interaksie het. Byvoorbeeld, 'n kliëntediens-kletsbot moet ontwerp word om gebruikers in kennis te stel dat dit 'n kletsbot is.
Daarbenewens gee die Praktykkode oor Deursigtigheid van KI-Gegenereerde Inhoud besonderhede oor spesifieke vereistes vir KI-stelsels wat sintetiese teks, beelde, video, klank of 'n mengsel van hierdie formate genereer. Verskaffers en ontplooiers van hierdie stelsels moet masjienleesbare formate gebruik om uitsette as KI-gegenereer of -gemanipuleer te merk. Daar is spesifieke reëls vir die etikettering van KI-gegenereerde of -gemanipuleerde diepvalse teks en gepubliseerde teks oor sake van openbare belang.
Bestaande vereistes vir hoërisiko-KI-stelsels
KI-stelsels word as hoërisiko beskou kragtens die EU-KI-wet as hulle 'n beduidende bedreiging vir gesondheid, veiligheid of fundamentele regte inhou, of gebruik word in gebiede soos biometrie, onderwys, indiensneming of kritieke infrastruktuur.
Stelsels wat as hoërisiko gekategoriseer word, moet aan spesifieke vereistes voldoen:
Risiko bestuur: 'n Deurlopende risikobestuurstelsel moet geïmplementeer word om die KI dwarsdeur sy lewensiklus te monitor.
Databestuur: Databestuurspraktyke moet aangeneem word om te verseker dat opleidings-, validerings- en toetsdata aan spesifieke kwaliteitskriteria voldoen.
Tegniese dokumentasie: Verskaffers van hoërisiko-KI-stelsels moet omvattende tegniese dokumentasie rakende die stelsel byhou, insluitend ontwerpspesifikasies, vermoëns, beperkings en pogings tot voldoening aan regulatoriese regulasies.
Rekordhouding: Hoërisiko-KI-stelsels moet gebeurtenisse outomaties aanteken om aanspreeklikheid en naspeurbaarheid te verseker.
Menslike toesig: Hoërisiko-KI-stelsels moet só ontwerp word dat mense dit kan oorsien, wat die risiko's vir gesondheid, veiligheid en fundamentele regte tot die minimum beperk. Maatreëls vir menslike toesig kan deur die verskaffer in die stelsel ingebou word of deur die gebruiker geïmplementeer word.
Akkuraatheid, robuustheid en kuberveiligheid: Hoërisiko-KI-stelsels moet so ontwerp en ontwikkel word dat hulle 'n gepaste vlak van akkuraatheid, robuustheid en kuberveiligheid bereik.
Ooreenstemmingsbeoordelings: Hoërisiko-KI-stelsels moet ooreenstemmingsassesserings ondergaan om te verseker dat hulle aan wetlike, tegniese en etiese standaarde voldoen voordat hulle op die mark geplaas of in gebruik geneem word.
registrasie: Verskaffers van hoërisiko-KI-stelsels moet hulself en hul stelsels in 'n gesentraliseerde EU-databasis registreer voordat hulle hul stelsels op die mark plaas of in gebruik neem.
CE-merk: Hoërisiko-KI-stelsels moet die CE-merk dra om aan te dui dat die produk aan EU-veiligheidsstandaarde voldoen, en die merk moet duidelik sigbaar wees. Indien die CE-merk nie fisies op die stelsel geplaas kan word nie, moet dit in die verpakking of dokumentasie ingesluit word.
Om die EU KI-wet se nakoming reg te kry met ISO 42001
Vir enige verskaffers of ontplooiers van hoërisiko-KI-stelsels wat pas begin om hul verpligtinge kragtens die Wet na te kom, bied die nuwe tydlyn 'n verlengde grasietydperk om 'n slim, gestruktureerde benadering tot KI-bestuur te implementeer.
Hier, ISO 42001 bied 'n raamwerk vir beste praktyke. Baie van die standaard se vereistes stem ooreen met dié in die EU-KI-wet: risikoklassifikasie, deursigtigheidsmaatreëls, verantwoordingsstrukture en menslike toesig. Nakoming van ISO 42001 beteken egter nie dat voldoen word aan die EU-KI-wet nie, en andersom.
Wat die ISO 42001-standaard wel bied, is 'n logiese benadering tot KI-bestuur, wat organisasies in staat stel om 'n etiese, volhoubare KI-bestuurstelsel (AIMS) te bou. Deur ISO 42001 te implementeer, kan organisasies verseker dat KI-stelsels ontwikkel, geïmplementeer en gebruik word op 'n manier wat veiligheid, deursigtigheid en verantwoordbaarheid prioritiseer – alles sleutelbeginsels van die Wet.
Deur die ISO 42001-raamwerk te gebruik en dit teen die vereistes van die EU-KI-wet te karteer, kan verskaffers en ontplooiers van hoërisiko-KI-stelsels robuuste bestuur insluit en proaktief die vereistes van die Wet buite die bestek van ISO 42001 aanspreek, wat voldoening voor die 2027-sperdatum verseker.
Brei jou kennis uit
webinar: ISO 42001 in aksie: Lesse uit een van die wêreld se eerste ISO 42001-sertifisering
Blog: 'n Belangrike EU-KI-wet se sperdatum kom nader: Hier is wat besighede moet weet
