AI Act – kolejny rozdział w kształtowaniu cyfrowej przyszłości Europy

AI Act oraz Dyrektywa NIS2: Wzrost regulacji dotyczących sztucznej inteligencji i cyberbezpieczeństwa

Sztuczna inteligencja (AI) staje się coraz bardziej integralną częścią naszego życia, wpływając na gospodarkę, społeczeństwo i sposób, w jaki funkcjonujemy na co dzień. W odpowiedzi na rosnące znaczenie AI oraz związane z nią wyzwania, Unia Europejska przyjęła AI Act – pierwsze na świecie kompleksowe rozporządzenie regulujące rozwój i wykorzystanie sztucznej inteligencji. Z kolei, Dyrektywa NIS2, która dotyczy bezpieczeństwa sieci i systemów informatycznych, również wprowadza istotne regulacje w kontekście zabezpieczeń cyfrowych, mając wpływ na firmy i instytucje w Unii Europejskiej.

Wspólne wyzwania obu regulacji to zapewnienie bezpieczeństwa oraz transparentności działań w świecie zdominowanym przez technologie. Choć AI Act dotyczy głównie sztucznej inteligencji, a NIS2 – cyberbezpieczeństwa, obie regulacje muszą współistnieć, aby zapewnić odpowiednią ochronę i stabilność w cyfrowym ekosystemie.

Czym jest AI Act?

AI Act to rozporządzenie mające na celu ustanowienie jednolitych zasad dotyczących rozwoju, wdrażania i użytkowania systemów AI w Europie. Opiera się na podejściu opartym na ryzyku, co oznacza, że różne systemy AI są klasyfikowane według stopnia potencjalnego zagrożenia dla użytkowników i społeczeństwa. Wyróżniono cztery kategorie ryzyka:

  • Niedopuszczalne ryzyko – obejmuje systemy AI uznane za zagrożenie dla podstawowych praw człowieka, np. techniki manipulacyjne czy scoring społeczny. Takie systemy będą zakazane.
  • Wysokie ryzyko – AI stosowana np. w systemach rekrutacyjnych, medycynie, wymiarze sprawiedliwości czy infrastrukturze krytycznej. Wymaga ścisłej kontroli, certyfikacji i przejrzystości działania.
  • Ograniczone ryzyko – obejmuje systemy AI, które wymagają jedynie podstawowej przejrzystości, np. chatboty muszą informować użytkowników, że komunikują się z AI.
  • Minimalne ryzyko – obejmuje AI stosowaną np. w grach komputerowych czy filtrach antyspamowych, gdzie regulacje są najmniej restrykcyjne.

Jakie zmiany wprowadza AI Act?

Regulacja wprowadza szereg nowych obowiązków dla dostawców i użytkowników AI, w tym:

  • Wymóg przejrzystości i dokumentacji dla systemów wysokiego ryzyka.
  • Obowiązek przeprowadzania audytów i oceny zgodności AI.
  • Sankcje finansowe za naruszenia (nawet do 6% rocznego obrotu firmy).
  • Wymóg informowania użytkowników o wykorzystaniu AI w pewnych kontekstach.

AI Act i zagrożenia związane z technologią deepfake

Deepfake’i stały się szczególnie groźne w świecie biznesu i finansów, gdzie wiarygodność i autorytet liderów odgrywają kluczową rolę. Oszustwa polegające na wykorzystaniu fałszywych nagrań wideo i dźwięku stały się nowym narzędziem wyłudzania pieniędzy. AI Act, w ramach klasyfikacji systemów AI, może pomóc w ograniczeniu stosowania takich technologii w obszarach, które stanowią niedopuszczalne ryzyko. Przykłady realnych ataków deepfake’owych w biznesie i finansach to m.in.:

  • Oszustwa CEO fraud: W 2019 roku oszuści wykorzystali deepfake’owy głos prezesa niemieckiej firmy energetycznej, aby przekonać dyrektora oddziału do przelania 220 000 euro na zagraniczne konto.
  • Fałszywe reklamy inwestycyjne: UK Advertising Standards Authority ostrzega, że deepfake’i są coraz częściej wykorzystywane do oszustw finansowych, w których celebryci „promują” nieistniejące produkty i inwestycje.
  • Manipulacja rynkami finansowymi: Deepfake’y mogą być wykorzystywane do wpływania na kursy akcji i decyzje inwestorów, wywołując panikę lub wzbudzając fałszywe zaufanie.

Wprowadzenie do NIS2

Dyrektywa NIS2 obejmuje szeroki zakres podmiotów prywatnych i instytucji publicznych, które muszą spełniać określone wymogi w zakresie cyberbezpieczeństwa. Podmioty objęte regulacją zostały podzielone na dwie kategorie:

  • Podmioty kluczowe: Firmy zatrudniające powyżej 250 pracowników lub osiągające roczny obrót powyżej 50 mln EUR.
  • Podmioty ważne: Firmy zatrudniające powyżej 50 pracowników lub osiągające roczny obrót powyżej 10 mln EUR.

Obowiązki firm objętych NIS2

Firmy objęte NIS2 mają obowiązek wdrożenia szeregu środków związanych z zarządzaniem ryzykiem cyberbezpieczeństwa. Należy do nich:

  • Wdrożenie systemu zarządzania ryzykiem.
  • Przeprowadzanie audytów i oceny ryzyka.
  • Zgłaszanie incydentów cyberbezpieczeństwa.
  • Stosowanie polityki analizy ryzyka, procedury stosowania kryptografii, uwierzytelniania wieloskładnikowego i zabezpieczonych połączeń głosowych.

AI w systemach zabezpieczeń i zakresie cyberbezpieczeństwa

W kontekście NIS2, istotnym elementem jest integracja sztucznej inteligencji w systemach zabezpieczeń. AI znajduje coraz szersze zastosowanie w monitorowaniu zagrożeń w czasie rzeczywistym, analizie behawioralnej oraz w metodach uwierzytelniania. Dzięki AI można:

  • Identyfikować zagrożenia: AI analizuje ogromne ilości danych w czasie rzeczywistym, wykrywając anomalie i potencjalne cyberzagrożenia.
  • Monitorować i analizować zachowania: Algorytmy AI analizują wzorce aktywności użytkowników i urządzeń, co pozwala na wykrywanie potencjalnych zagrożeń.
  • Wspierać uwierzytelnianie: AI wspiera implementację nowoczesnych metod weryfikacji, takich jak analiza kontekstowa i biometryczna.

Jak się chronić? Stosowanie uwierzytelniania wieloskładnikowego

Wszyscy klienci C&C Partners mają dostęp do platformy szkoleniowej, a uczestnictwo w regularnych szkoleniach potwierdzamy odpowiednim certyfikatem. Szkolenia te są kluczowe dla firm, które chcą być przygotowane na nowe regulacje, takie jak AI Act i NIS2, oraz dla tych, które planują wdrożenie silnych procesów uwierzytelniania i monitorowania incydentów bezpieczeństwa.

Kary za nieprzestrzeganie NIS2

Firmy, które nie będą przestrzegać obowiązków wynikających z Dyrektywy NIS2, będą narażone na sankcje finansowe, które mogą wynosić od 2% do 4% rocznego obrotu. Sankcje te mają na celu zmotywowanie firm do przestrzegania nowych regulacji i wdrożenia odpowiednich środków ochrony przed cyberzagrożeniami.

Wpływ na biznes i innowacje: bezpieczeństwo łańcucha dostaw

AI Act to zarówno wyzwanie, jak i szansa dla firm technologicznych. Z jednej strony wymaga dostosowania się do nowych regulacji, z drugiej – zapewnia jednolite standardy w całej UE, co może ułatwić ekspansję na rynku europejskim. Firmy, które wdrożą transparentne i etyczne systemy AI, zyskają przewagę konkurencyjną i większe zaufanie klientów.

Co dalej? W kierunku wysokiego wspólnego poziomu cyberbezpieczeństwa

AI Act wchodzi w życie etapami, a pełne wdrożenie planowane jest na najbliższe lata. W międzyczasie firmy powinny już teraz analizować swoje systemy AI i przygotowywać się na nadchodzące wymagania. Należy zacząć dostosowywać swoje procedury, oceniać ryzyko i wprowadzać odpowiednie zmiany, aby sprostać wymaganiom regulacji.

Autor

Akademia.png

C&C Partners

Materiał stworzony przy współpracy ekspertów Akademii Technologii C&C. Nasi eksperci z Akademii Technologii C&C to doświadczeni profesjonaliści, którzy na co dzień zajmują się przekazywaniem wiedzy i umiejętności z zakresu najnowszych technologii. Posiadają bogate doświadczenie zawodowe oraz akademickie w dziedzinach telekomunikacji, teleinformatyki i systemów zabezpieczeń. Są autorami licznych szkoleń, warsztatów i seminariów, które pomagają uczestnikom zrozumieć złożone zagadnienia techniczne i wykorzystać je w praktyce.