EU AI Act: rozszyfrowanie kluczowych aspektów unijnego rozporządzenia o AI

Wdrażanie sztucznej inteligencji to wyznacznik zmian w świecie biznesu. Współczesne firmy stoją przed wyzwaniem adaptacji i wykorzystania potencjału tej przełomowej technologii. Kluczowe jest utrzymywanie tempa konkurencji w obszarze cyfryzacji i automatyzacji, przy jednoczesnym zapewnieniu bezpieczeństwa organizacji. Raport KPMG "Decoding the EU AI Act: Understanding the AI Act’s impact and how you can respond" przybliża założenia rozporządzenia, które aspiruje do roli nowego globalnego standardu regulującego obszar sztucznej inteligencji.

Czym jest EU AI Act?

EU AI Act stanowi pierwszy na świecie kompleksowy dokument regulujący obszar sztucznej inteligencji. Rozporządzenie ma pomóc w ustanowieniu klarownej i spójnej definicji tej technologii, zgodnej z innymi unijnymi przepisami. Głównym celem dokumentu jest stworzenie solidnych ram prawnych, które zapewnią bezpieczne i etyczne wykorzystanie systemów AI, chroniąc Europejczyków przed negatywnymi skutkami jej rozwoju. Ostatecznym celem jest budowanie powszechnego zaufania do tej technologii, która niesie ze sobą ogromny potencjał rozwoju zarówno dla jednostek, jak i całych organizacji.

„Rozwój generatywnej sztucznej inteligencji wiąże się z ogromnym wachlarzem zagrożeń – od klasycznego bezpieczeństwa informacji, po kwestie związane z podejmowaniem decyzji na temat finansów, kariery zawodowej, czy nawet zdrowia i życia. W obliczu tej rewolucji cyberbezpieczeństwo jest redefiniowane. Tradycyjne podejście do bezpieczeństwa systemów informatycznych jest niewystarczające. Wdrażanie sztucznej inteligencji wymaga zabezpieczenia integralności i poufności danych wykorzystywanych w procesie trenowania modelu AI. Rozwiązania oparte na sztucznej inteligencji pozyskiwane od zewnętrznych dostawców generują konieczność budowania mechanizmów zapewniających właściwy poziom zaufania oraz ochronę przed atakami na łańcuchy dostaw. W związku z szeregiem nowych wyzwań Rozporządzenie AI Act to bardzo potrzebna inicjatywa legislacyjna, dzięki której zapewnianie cyberbezpieczeństwa w procesie projektowania i wdrażania rozwiązań AI stanie się obligatoryjne.”

Michał Kurek

Partner, Advisory, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej

KPMG w Polsce

mail
call

Co warto wiedzieć o założeniach rozporządzenia o sztucznej inteligencji?

W kwietniu 2021 roku Komisja Europejska złożyła wniosek legislacyjny w sprawie rozporządzenia dotyczącego sztucznej inteligencji. W grudniu 2023 roku Parlament, Rada i Komisja Europejska wypracowały kompromis w zakresie głównych założeń tego dokumentu. 13 marca 2024 roku Parlament Europejski przyjął rozporządzenie.

Pierwszy etap wejścia w życie EU AI Act nastąpi po upływie 20 dni od publikacji w Dzienniku Urzędowym Unii Europejskiej, a w pełni będzie on obowiązywać 36 miesiący po opublikowaniu, czyli w pierwszej połowie 2027 roku. Definicja sztucznej inteligencji zawarta w unijnym akcie prawnym obejmuje szeroki zakres technologii i systemów, co w rezultacie znacząco wpłynie na funkcjonowanie firm. Istotne jest, że większość obowiązków, jakie nakłada regulacja, będzie musiała być spełniana już w pierwszej połowie 2026 roku. Ograniczenia dotyczące systemów AI o wysokim ryzyku będą obowiązywały już sześć miesięcy po wejściu w życie rozporządzenia, a zasady dotyczące wykorzystywania systemów AI ogólnego przeznaczenia już po 12 miesiącach.

EU AI Act opiera się na klasyfikacji ryzyka związanego ze sztuczną inteligencją na następujące poziomy: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy AI o wysokim ryzyku będą mogły być używane, ale podlegać będą surowym ograniczeniom dotyczącym zarówno użytkowników, jak i dostawców tych systemów. Termin „dostawca” obejmuje podmioty tworzące systemy AI, w tym organizacje, które robią to na własny użytek. Ważne jest zatem zrozumienie, że organizacja może pełnić zarówno rolę użytkownika, jak i dostawcy tych systemów.

„Wdrażanie sztucznej inteligencji w przedsiębiorstwach przynosi wymierne korzyści, ale stanowi także wyzwanie, szczególnie w kontekście regulacji prawnych. Implementacja unijnych przepisów dotyczących AI nakłada na firmy obowiązek zapewnienia zgodności z surowymi standardami dotyczącymi etyki i ochrony danych. Konieczność przestrzegania tych regulacji wymaga gruntownej analizy istniejących systemów AI oraz ewentualnych modyfikacji w procesach biznesowych, aby zagwarantować zgodność z nowymi wymogami prawnymi i etycznymi. Przedsiębiorstwa muszą być świadome konsekwencji naruszania przepisów i działać proaktywnie, aby zapobiec ewentualnym nieprawidłowościom i utracie zaufania klientów.”

Radosław Kowalski

Partner, Advisory, Partner, Szef Zespołu Data & Cloud w KPMG w Polsce, Microsoft Alliance CEE Leader

KPMG w Polsce

mail
call

Jak przygotować biznes do zmian?

Kluczowe działania krótkoterminowe

Rozpoznanie ryzyka związanego z korzystaniem z systemów AI.

Organizacje powinny skoncentrować się na ryzyku zarówno wewnętrznym, jak i zewnętrznym. Kluczowa jest klasyfikacja zagrożeń, identyfikacja luk w zakresie bezpieczeństwa cyfrowego oraz działania profilaktyczne w postaci testów systemów AI.

Wdrażanie dobrych praktyk i działań wspierających proces adaptacji systemów AI.

Pożądanymi działaniami są: automatyzacja i optymalizacja zarządzania technologią sztucznej inteligencji, prowadzenie rzetelnej dokumentacji i rejestrów działań, szkolenia pracowników oraz przejrzysta komunikacja względem klientów.

Odpowiednie zarządzanie, polegające na kształtowaniu polityki firmy zgodnie z kategoryzacją ryzyka związanego z AI.

Należy brać pod uwagę, że lista systemów AI o ryzyku sklasyfikowanym jako niedopuszczalne lub wysokie może wydłużać się z biegiem czasu. Istotne jest ciągłe ulepszanie ram zarządzania sztuczną inteligencją przy jednoczesnym stosowaniu przepisów prawa.

Perspektywa średnio- i długoterminowa

Poszerzanie wiedzy na temat etycznego wykorzystywania sztucznej inteligencji.

Rekomendowane jest planowanie szkoleń dotyczących AI oraz utworzenie dedykowanego zespołu odpowiedzialnego za zapewnienie zgodności z normami etycznymi i wymogami legislacyjnymi.

Wykorzystywanie zaufanych systemów AI już na wczesnych etapach realizacji projektów.

Regularny audyt oraz aktualizacje używanej technologii są istotne. Priorytetem powinno być zachowanie zgodności z zasadami etyki, również w procesach wspierania innowacyjnych rozwiązań opartych na AI.

Prognozowanie wpływu nowych regulacji na działalność organizacji.

Ważne jest zachowanie przejrzystości działań i utrzymanie zaufania klientów poprzez współpracę z otoczeniem, w tym prowadzenie otwartego dialogu z innymi podmiotami z branży. Dostosowanie strategii firmy do nowych wymogów prawnych może pomóc w przewidywaniu zmian.

„EU AI Act jest ważnym krokiem na drodze do regulacji kwestii wprowadzania do obrotu i funkcjonowania systemów sztucznej inteligencji. Pomimo tego, że obowiązki wynikające z EU AI Act, zgodnie z założeniem, powinny być spełniane od pierwszej połowy 2026 roku, przygotowania do jego wejścia w życie warto zacząć znacznie wcześniej. Dotyczy to w szczególności przedsiębiorstw stosujących rozwiązania AI zaliczane do kategorii systemów wysokiego ryzyka, takich jak zautomatyzowane narzędzia do rekrutacji pracowników, które już teraz są wykorzystywane przez wiele organizacji. W takich przypadkach konieczne będzie wdrożenie szeregu procedur i mechanizmów – oceny ryzyka (dotyczącego przetwarzanych danych osobowych) i wypracowanie właściwej dokumentacji.”