Wat is in die Nuwe EU KI-wet Algemene Doel KI-gedragskode?

Wat is in die nuwe EU KI-wet se algemene KI-praktykkode?

Deur Christie Rae • 15 September 2025

Die EU KI-wetse eerste bepalings, soos dié oor verbode KI-praktyke, het in Februarie 2025 in werking getree. 'n Gefaseerde uitrol van vereistes duur voort tot Augustus 2027, wanneer alle stelsels aan die verpligtinge van die Wet moet voldoen. Hierdie maand het die KI-kantoor die Algemene Doel KI-gedragskode vir verskaffers van Algemene Doel KI (GPAI)-modelle en GPAI-modelle met sistemiese risiko vrygestel.

Die Kode, 'n vrywillige instrument wat deur onafhanklike kundiges opgestel is, is ontwerp om GPAI-modelverskaffers te help om hul verpligtinge kragtens die Wet na te kom. Ondertekenaars sal vereis word om opsommings van opleidingsdata te publiseer, ongemagtigde gebruik van kopieregbeskermde inhoud te vermy, en interne raamwerke te vestig om risiko's te monitor. Die Kode dien as 'n riglyndokument om voldoening aan verpligtinge uiteengesit in die EU KI-wet Artikels 53 en 55 aan te toon, hoewel nakoming nie afdoende bewys van voldoening is nie.

Dit bestaan uit drie hoofstukke: Deursigtigheid, Kopiereg, en Veiligheid en Sekuriteit. In hierdie blog ondersoek ons die drie hoofstukke wat in die Praktykkode bekendgestel is en skets die volgende stappe vir organisasies.

Sleutelterme wat in die Praktykkode gebruik word

Sistemiese risiko: Die EU-KI-wet definieer sistemiese risiko as spesifiek vir hoë-impakvermoëns – modelle wat opgelei is met 'n kumulatiewe hoeveelheid berekening van meer as 10^25 drywende-komma-bewerkings beskik oor hoë-impakvermoëns.

Verpligtinge: Die verpligtinge waartoe ondertekenaars van die Praktykkode hulle verbind, bv.:

dokumentasie
Die aanvaarding van 'n moderne veiligheids- en sekuriteitsraamwerk.

maatreëls: Die spesifieke stappe wat ondertekenaars neem om in lyn te kom met verbintenisse en te voldoen aan die verpligtinge van die Praktykkode, bv.:

Hou modeldokumentasie op datum
Skepping van die Veiligheids- en Sekuriteitsraamwerk.

EU KI-wet GPAI-praktykkode – Deursigtigheid

Die Deursigtigheidshoofstuk bevat een verbintenis – Dokumentasie – en drie maatreëls (1.1, 1.2 en 1.3) om die deursigtigheid, integriteit en relevansie van inligting wat deur verskaffers van GPAI-modelle en GPAI-modelle met sistemiese risiko verskaf word, te verseker.

Ondertekenaars moet al die inligting waarna verwys word in die Modeldokumentasievorm, wat ons hieronder beskryf, gedokumenteer het, en hulle moet die Modeldokumentasie opdateer om relevante veranderinge te weerspieël. Maatskappye moet ook vorige weergawes van die Modeldokumentasie vir tot 10 jaar behou.

Om deursigtigheid te verseker, moet organisasies ook kontakbesonderhede openbaar sodat die KI-kantoor toegang tot die nodige inligting kan aanvra. Hulle moet opgedateerde bykomende inligting verskaf wanneer dit versoek word, binne 'n redelike tydsbestek, en nie later nie as 14 dae na ontvangs van die versoek.

Organisasies moet verseker dat die inligting wat hulle verskaf, vir kwaliteit en integriteit beheer word en as bewys van voldoening behou word.

Wat is die Model Dokumentasievorm?

Die Deursigtigheidshoofstuk bevat 'n Modeldokumentasievorm, wat verskaffers in staat stel om die nodige inligting te dokumenteer om te voldoen aan die EU-KI-wet se verpligting om voldoende deursigtigheid te verseker. Die vorm dui vir elke item aan of inligting bedoel is vir stroomafverskaffers, die KI-kantoor of nasionale bevoegde owerhede.

Ontvangers van inligting wat in die Modeldokumentasievorm verskaf word, moet die vertroulikheid van die inligting respekteer in ooreenstemming met Artikel 78 van die EU-KI-wet en verseker dat kuberveiligheidsmaatreëls in plek is om inligtingsekuriteit en vertroulikheid te beskerm.

EU KI Wet GPAI Praktykkode – Kopiereg

Hoofstuk Twee van die Praktykkode spreek kopiereg aan, en bevat een verbintenis – Kopieregbeleid – en vyf maatreëls wat ondertekenaars moet implementeer om nakoming van EU-wetgewing oor kopiereg en verwante regte te verseker, in ooreenstemming met Artikel 53 van die EU-KI-wet.

Breedweg sluit hierdie hoofstuk die volgende in:

Die vestiging van 'n kopieregbeleid
Stappe neem om te voldoen aan die EU-kopieregbeleid en regtevoorbehoude
Vermindering van die risiko van kopieregskending in KI-modeluitsette
Die vestiging van 'n kontakpunt vir kommunikasie met regtehouers en die indien van klagtes.

Om aan die vereistes van hierdie hoofstuk te voldoen, moet ondertekenaars 'n kopieregbeleid vir GPAI-modelle wat hulle op die EU-mark plaas, implementeer en konsekwent opdateer, en hierdie beleid in 'n enkele dokument handhaaf. Hulle moet ook verseker dat hulle verantwoordelikhede binne hul organisasie toewys vir die implementering en instandhouding van die kopieregbeleid.

Organisasies wat wil in lyn kom met die Praktykkode moet ook verseker dat hulle slegs wettig toeganklike kopieregbeskermde inhoud reproduseer en onttrek wanneer hulle die internet deursoek. Dit behels die uitsluiting van webwerwe wat deur howe of owerhede in die EU as kopieregskendende erken word. 'n Lys van hierdie webwerwe sal publiek beskikbaar gestel word om dit te ondersteun.

In ooreenstemming hiermee moet organisasies voldoen aan regte-voorbehoude wanneer hulle die internet deursoek, byvoorbeeld deur webkruipers te gebruik wat instruksies lees en volg wat uitgedruk word in 'n webwerf se robots.txt-lêer, wat areas van die webwerf kommunikeer waartoe kruipers toegang mag hê. Daarbenewens moet organisasies ander toepaslike masjienleesbare protokolle identifiseer en voldoen om regte-voorbehoude uit te druk.

EU KI-wet GPAI-praktykkode – Veiligheid en Sekuriteit

Die derde en laaste hoofstuk van die Praktykkode is die mees intensiewe, en beskryf praktyke vir die bestuur van sistemiese risiko's en die ondersteuning van verskaffers in die nakoming van die verpligtinge van die EU KI-wet vir GPAI-modelle wat sistemiese risiko inhou. Hierdie hoofstuk bevat tien verbintenisse wat uit verskeie maatreëls bestaan:

Aanneming, implementering en opdatering van 'n toepaslike Veiligheids- en Sekuriteitsraamwerk om sistemiese risikobestuursprosesse en maatreëls uiteen te sit wat organisasies geïmplementeer het om te verseker dat sistemiese risiko's wat uit hul modelle voortspruit, aanvaarbaar is.

Sistemiese risiko-identifikasie: organisasies moet 'n gestruktureerde proses implementeer om sistemiese risiko's wat voortspruit uit hul KI-modelle te identifiseer en sistemiese risikoscenario's vir elke geïdentifiseerde sistemiese risiko te ontwikkel.

Sistemiese risiko-analise, insluitend die insameling van model-onafhanklike inligting, die uitvoering van evaluasies, die modellering van die sistemiese risiko, die beraming van die sistemiese risiko, en die uitvoering van monitering na die mark.

Bepaling van sistemiese risiko-aanvaarding, insluitend die spesifisering van aanvaardingskriteria, die bepaling of sistemiese risiko's wat voortspruit uit 'n KI-model aanvaarbaar is, en die besluit of daar met ontwikkeling en gebruik voortgegaan moet word op grond van die sistemiese risiko-aanvaardingsbepaling.

Implementering van veiligheidsversagting dwarsdeur die volle modellewensiklus om te verseker dat sistemiese risiko's wat uit die model voortspruit, aanvaarbaar is, byvoorbeeld, die wysiging van die model se gedrag in belang van veiligheid.

Implementering van sekuriteitsversagting soos 'n voldoende vlak van kuberveiligheidsbeskerming. Organisasies moet ook verseker dat sistemiese risiko's wat voortspruit uit ongemagtigde modeltoegang, -gebruik of -diefstal aanvaarbaar is.

Skep 'n Veiligheids- en Sekuriteitsmodelverslag voordat 'n model op die mark geplaas word en verseker word dat dit op datum is. Organisasies kan 'n enkele Modelverslag vir verskeie modelle skep indien die sistemiese risikobepaling en versagtingsprosesse en -maatreëls vir een model nie verstaan kan word sonder verwysing na die ander model(le) nie. KMO's kan die vlak van detail in hul Modelverslae verminder om grootte- en kapasiteitsbeperkings te weerspieël.

Verantwoordelikheidstoewysing vir sistemiese risiko's deur verantwoordelikhede vir die bestuur van modelle se sistemiese risiko's oor alle vlakke van die organisasie te definieer en toepaslike hulpbronne toe te ken aan diegene wat verantwoordelikhede vir die bestuur van sistemiese risiko toegewys is.

Rapportering van ernstige voorvalle, deur prosesse en maatreëls te implementeer vir die opsporing, dokumentasie en rapportering van ernstige voorvalle aan die KI-kantoor (en nasionale bevoegde owerhede waar van toepassing) sonder onnodige vertraging. Ondertekenaars moet ook die nodige hulpbronne vir sulke prosesse en maatreëls verskaf.

Bykomende dokumentasie en deursigtigheid – insluitend die dokumentasie van die implementering van hierdie Hoofstuk en die publikasie van opgesomde weergawes van hul Raamwerk- en Modelverslae soos nodig. Bykomende dokumentasie sluit in 'n gedetailleerde beskrywing van die model se argitektuur, die integrasie daarvan in KI-stelsels, modelevaluerings wat ingevolge hierdie Hoofstuk uitgevoer is, en die geïmplementeerde veiligheidsversagtings.

Voldoening aan die Praktykkode met ISO 42001

Die Praktykkode is vrywillig. Dit bied egter 'n manier vir verskaffers van GPAI-modelle en GPAI-modelle met sistemiese risiko om hul nakoming van die wetlike verpligtinge van die EU-KI-wet aan te toon.

Indien u besigheid beplan om die Praktykkode na te kom, die ISO 42001 Die standaard bied 'n raamwerk vir beste praktyke vir die bou, instandhouding en voortdurende verbetering van 'n KI-bestuurstelsel (AIMS) en kan ook breër voldoening aan die EU-KI-wet ondersteun. Die ISO 42001-standaard is ontwerp om te verseker dat organisasies spesifieke kwessies rakende KI oorweeg, insluitend sekuriteit, veiligheid, billikheid, deursigtigheid, datakwaliteit en die kwaliteit van KI-stelsels dwarsdeur hul lewensiklus.

Terwyl die GPAI-praktykkode gemik is op verskaffers van KI-modelle, nie stelsels nie, bied ISO 42001 'n basislyn vir organisasies om 'n etiese en deursigtige AIMS te implementeer wat beide KI-modelle en -stelsels dek.

Daar is 'n hoë vlak van oorvleueling tussen die vereistes van die standaard en die maatreëls en verbintenisse wat in die Praktykkode uiteengesit word. Byvoorbeeld, die ISO 42001-standaard vereis dat organisasies KI-risiko identifiseer en behandel (Klausule 6.1.2. KI-risikobepaling, Klausule 6.1.3, KI-risikobehandeling, en Klausule 8.3 KI-risikobehandeling).

ISO 42001-implementering behels ook die skep van dokumentasie- en rekordhoudingprosesse wat alle aspekte van die AIMS dek, insluitend beleide, prosedures, prestasiedata en voldoeningsrekords. Dit stem direk ooreen met die dokumentasievereiste van Hoofstuk Een van die Praktykkode.

'n Robuuste, ISO 42001-voldoenende AIMS kan organisasies in staat stel om maklik bewyse van voldoening aan die Praktykkode en die EU KI-wet te handhaaf en te demonstreer.

Volgende stappe

Die implementering van die nodige maatreëls om aan die Praktykkode te voldoen, kan 'n uitdaging wees. Nou is dit die tyd om u bestaande KI-dokumentasiepogings, kopieregbelyning en sistemiese risikobestuur te hersien, en gapings tussen u huidige bestuur en die maatreëls wat deur die Praktykkode vereis word, te identifiseer.

Indien u organisasie ISO 42001-nakoming oorweeg, uitreik om te sien hoe ISMS.online kan help. Neem die volgende stap in die rigting van verantwoordelike, metodiese KI-bestuur, en verseker dat jy KI-modelle en -stelsels eties, veilig en in lyn met jou wetlike verpligtinge kragtens die EU-KI-wet ontplooi.

Christie Rae

Christie is 'n inhoudbemarkingspesialis by ISMS.online. Met meer as sewe jaar se ondervinding beoog sy om insiggewende, boeiende inhoud te skryf en het oor 'n reeks industrieë gewerk, insluitend kuberveiligheid, sagteware as 'n diens, tegnologie en farmaseutiese produkte.

Lees meer van Christie Rae

cyber Security 31 Oktober 2025

die ruggraat tintelende kubervoorvalle maak ons bang hierdie Halloween-banier

Die ruggraat-tintelende kubervoorvalle wat ons hierdie Halloween bang maak

Die afgelope paar jaar het 'n reeks hoëprofiel-kubervoorvalle gesien, van voorsieningskettingaanvalle tot nuldag-kwesbaarhede, ransomware tot diep fake...

Christie Rae

cyber Security 19 September 2025

eu ai act die nuwe inhoudsopsommingsjabloon vir gpai-verskaffers banier

EU KI-wet: Die nuwe sjabloon vir inhoudsopleidingsopsomming vir GPAI-verskaffers

Wat is die Opsommingsjabloon vir Inhoudsopleiding? Die Europese Kommissie het onlangs 'n verduidelikende kennisgewing en sjabloon vrygestel om verskaffers van g te help...

Christie Rae

cyber Security 10 September 2025

io behou g2 grid®-leiertitel in grc vir herfs 2025-banier

IO behou G2 Grid®-leiertitel in GRC vir die herfs van 2025

Ons is verheug om te deel dat IO as 'n Leier in die G2 Grid®-verslae vir die herfs van 2025 aangewys is. Hierdie kwartaal het ISMS.online tien kentekens in die ...

Christie Rae