Regulatory Cyber Compliance: Bliv klar til EU’s AI Act

– Sofie Bøttiger Hansen, Senior Business Consultant, NNIT

EU’s forordning om kunstig intelligens, AI Act, sætter regulatoriske rammer for et teknologisk område i vild vækst. Men hvad betyder de nye regler i praksis? Her får du svar på, hvordan du bliver klar til AI Act og får bedre styr på den overordnede tilgang til regulatory cyber compliance.

Med EU’s netop vedtagne forordning om kunstig intelligens (Artificial Intelligence Act) bliver der sat rammer for brugen og udviklingen af kunstig intelligens (AI) i Europa. Behovet for øget kontrol og regulering har været omdiskuteret, men nu hvor lovgivningen er en realitet kan det være vanskeligt at vurdere, hvordan man som virksomhed eller organisation er omfattet af reglerne.

I denne artikel guider vi dig gennem de vigtigste spørgsmål om AI Act, så du fortsat kan anvende AI på en sikker og compliant måde.

Hvad er AI Act?

AI Act regulerer udviklingen, markedsføringen og anvendelsen af AI i EU. Formålet er at sikre, at AI udvikles ud fra et menneskeligt perspektiv og at brugen af AI harmonerer med europæiske værdier og etik, herunder demokrati, retssikkerhed og basale menneskerettigheder.

Forordningens tilgang er risiko-baseret og sigter efter at understøtte udbredelsen af sikre og pålidelige AI-løsninger, uden at bremse effektiviteten eller innovationen.

Det betyder i praksis, at AI-løsninger opdeles i fire risiko-kategorier:

F.eks. AI-systemer, der kan bruges til masseovervågning, diskrimination eller udnyttelse af svage grupper som børn eller ældre.

AI-systemer, der potentielt kan være til fare for sikkerhed, helbred eller fundamentale rettigheder, f.eks. AI til køretøjer, medicinsk udstyr eller politiarbejde.

AI-systemer, der udgør minimal risiko for sikkerhed, helbred eller fundamentale rettigheder er ikke reguleret af AI Act, men kan underlægges en Code of Conduct på frivillig basis.

AI-modeller til generelle formål (GPAI) omfatter blandt andet generativ AI og de store sprogmodeller (f.eks. ChatGPT eller Claude-3), der kan integreres i forskellige AI-løsninger. Der er krav om øget transparens og oplysningskrav til udbydere af GPAI.

Hvem er omfattet af AI Act?

AI Act regulerer anvendelsen af den enkelte AI-løsning og alle, der er en del løsningens værdikæde. Det vil sige både udviklere, importører, distributører, forhandlere og brugere. AI Act kan derfor gælde i alle brancher og sektorer og for alle typer virksomheder og organisationer.

Reglerne gælder for alle AI-systemer, der bruges indenfor EU eller påvirker EU-borgere, uanset om din virksomhed eller organisation opererer i eller udenfor EU.

Hvilke krav stiller AI Act til din virksomhed?

Kravene i AI Act varierer alt efter din rolle og AI-systemets risikoprofil. Herunder præsenteres de vigtigste krav for høj-risiko AI-systemer.

Højrisiko AI-systemer:

Selve AI-systemet er underlagt en række grundlæggende krav om compliance, teknisk dokumentation, logning, risikohåndtering og cybersikkerhed. Der skal altid være menneskelig kontrol og en vis grad af transparens overfor brugerne.

Hvis du har udviklet AI-systemet eller ændret det væsentligt, er du som leverandør ansvarlig for, at det overholder systemkravene.
Du skal etablere systemer til risiko- og kvalitetsstyring, dokumentere arbejdet, registrere AI-systemet hos EU og opfylde alle krav til CE-mærkning. Desuden er du forpligtet til at overvåge systemets brug, indrapportere alvorlige hændelser og rette fejl.

Som importør skal du sikre, at AI-systemet opfylder alle krav til CE-mærkning, at den tekniske dokumentation er korrekt og at leverandøren har udpeget en autoriseret repræsentant (hvis det er nødvendigt).
Du skal også levere dine egne kontaktoplysninger, sikre korrekt transport og opbevaring af systemet, gemme en kopi af systemets overensstemmelseserklæring i 10 år og samarbejde med relevante myndigheder for at minimere risici.

Som distributør skal du sikre, at AI-systemet opfylder alle krav til CE-mærkning samt at leverandøren og importøren har overholdt deres forpligtelser.

Inden du tager et AI-system i brug, skal du sikre, at det bliver anvendt korrekt og under menneskelig overvågning og kontrol. Hvis du har kontrol over input-data, skal du også sikre, at de er relevante og repræsentative. Hvis du på noget tidspunkt vurderer, at brugen af systemet udgør en risiko, skal du informere leverandøren og relevante myndigheder. Derudover skal du gemme logs i mindst 6 måneder og bruge information fra leverandøren i forbindelse med den påkrævede konsekvensanalyse i forhold til persondata. Hvis du arbejder inden for det finansielle område eller retshåndhævelse, er du underlagt yderligere specifikke krav.

For en mere udførlig gennemgang af roller og krav, så prøv NNIT’s quickguide til AI Act.

Hvornår træder AI Act i kraft?

EU Kommissionen vedtog AI Act 13. marts 2024 og loven forventes at træde i kraft i løbet af maj-juni 2024.

Fordi AI Act er en forordning, skal den ikke først implementeres i medlemslandenes lovgivning, men træder i kraft på tværs af hele EU 20 dage efter offentliggørelse i EU-Tidende og reglerne finder fuld anvendelse 24 måneder efter offentliggørelse, på nær:

Forbud mod AI systemer af uacceptabel risiko-niveau, som finder anvendelse 6 måneder efter offentliggørelse
Codes of practice, som finder anvendelse efter 9 måneder
Reglerne for GPAI-modeller, som finder anvendelse efter 12 måneder
Krav til høj-risiko AI-systemer, som finder anvendelse efter 36 måneder.

Selvom tidshorisonten umiddelbart kan virke lang, er det vores klare anbefaling at komme i gang med forberedelsesarbejdet hurtigst muligt.

Hvad kan din virksomhed gøre for at blive klar til AI Act?

Vi anbefaler følgende trin for at forberede dig på AI Act:

Begynd med at kortlægge al jeres brug af AI, lige fra offentligt tilgængelige værktøjer som ChatGPT til skræddersyede applikationer. Husk også at inkludere f.eks. Office 365 og andre systemer, hvor AI er blevet introduceret via opdateringer.

Når I har overblik over alle jeres AI-systemer, skal I for hvert enkelt af dem vurdere, om og hvordan de er omfattet af AI Act. Det afhænger som nævnt af både systemets risikoprofil (forbudt/høj/lav/GPAI) og jeres rolle(r) (leverandør/importør/distributør/bruger). Dette trin kan være ret omfattende, så sørg for at afsætte tilstrækkeligt med tid og ressourcer og søg vejledning, hvis I mangler kompetencerne.

Nedsæt en arbejdsgruppe, der har ansvaret for at sikre AI-compliance på tværs af organisationen. Inddrag alle relevante dele af forretningen, f.eks. kolleger med ansvar for compliance/jura, IT, indkøb og kontakt til leverandører og lignende.

Tag udgangspunkt i jeres eksisterende compliance-rammeværk, og vurder om det er tilstrækkeligt til at sikre compliance med de krav i AI Act, der gælder for jer.

På baggrund af de ovenstående trin er det tid til at undersøge, hvor jeres nuværende compliance-procedurer ikke dækker i forhold til AI Act og dermed identificere hullerne med jeres nuværende compliance rammeværk og dét, der er nødvendigt for at sikre compliance med AI Act.

Hvordan kan NNIT hjælpe dig?

Hos NNIT kan vi hjælpe jeres virksomhed med at blive klar til AI Act og med at få bedre styr på compliance-arbejdet i det hele taget.

Du får ikke kun rådgivning fra NNIT’s compliance-eksperter, men også dyb teknisk og industrispecifik viden og konkrete værktøjer, der understøtter compliance i det daglige arbejde. Så er der altid styr på, hvad der skal dokumenteres, automatiseres og valideres.

Helt overordnet er det værd at huske, at compliance med AI Act blot er én brik i det tværgående compliance-arbejde på det digitale område, hvor der lige nu introduceres en lang række nye lovgivninger. Derfor vil tilgangen og redskaberne typisk også være lignende dem for andre omfattende lovkrav, for eksempel NIS2 eller GDPR.

Af den årsag anbefaler vi hos NNIT, at du samler compliance med de enkelte regelsæt i en vedvarende regulatory cyber compliance indsats, så du kan sikre compliance med alle relevante regler uden at spilde ressourcer på gentagelser.

Vores eksperter står klar til at hjælpe dig

Kontakt os, så finder vi en løsning, der passer til dine behov

Kontakt Os