Akt o umelej inteligencii (AIA)

Dňa 01.08.2024 nadobudlo účinnosť nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 z 13. júna 2024, ktorým sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie a ktorým sa menia nariadenia (ES) č. 300/2008, (EÚ) č. 167/2013, (EÚ) č. 168/2013, (EÚ) 2018/858, (EÚ) 2018/1139 a (EÚ) 2019/2144 a smernice 2014/90/EÚ, (EÚ) 2016/797 a (EÚ) 2020/1828 (akt o umelej inteligencii), ktoré sa uplatňuje od 02.08.2026, pričom niektoré ustanovenia sa začali uplatňovať skôr, a to od 02.08.2025.

Aktom o umelej inteligencii sa upravuje povoľovanie systémov umelej inteligencie (AI) na jednotnom trhu EÚ. Vzťahuje sa ako na verejné, tak aj na súkromné subjekty v EÚ a aj mimo nej, ak je systém AI uvedený na trh alebo ak bude mať jeho používanie vplyv na ľudí nachádzajúcich sa v EÚ. Stanovuje harmonizované pravidlá v oblasti umelej inteligencie:

  • Jednotné pravidlá pre vývoj a využívanie technológií AI v EÚ.
  • Identifikuje a reguluje systémy AI podľa ich rizikovosti, ktoré sú kategorizované na 4 úrovne a z toho vyplývajúce stanovenie rôznych pravidiel.
  • Stanovuje povinnosti pre poskytovateľov, distribútorov a používateľov systémov AI tak, aby bola zabezpečená transparentnosť, bezpečnosť a ochrana základných práv občanov EÚ pri používaní technológií s AI.
  • Zakazuje praktiky AI, ktoré predstavujú neprijateľné riziká.
  • Určuje zoznam vysoko rizikových systémov AI, ktorých klasifikácia je uvedená v článku 6 aktu o umelej inteligencii.
  • Základné požiadavky pre vysokorizikové systémy AI.
  • Posúdenie zhody pred uvedením daného systému umelej inteligencie do prevádzky alebo pred uvedením na trh a označenie CE.
  • Vysoké pokuty za porušenie pravidiel, ktoré sú založené na percentuálnom podiele celosvetového obratu spoločnosti z predchádzajúceho roka alebo na stanovenej sume, podľa toho, ktorá suma je vyššia.

Akt o umelej inteligencii sa nevzťahuje napr. na činnosť výskumu, vývoja a prototypovania, ktoré prebiehajú pred uvedením systému AI na trh; na systémy umelej inteligencie, ktoré sú výlučne navrhnuté na vojenské, obranné alebo národné bezpečnostné účely, bez ohľadu na typ subjektu, ktorý tieto činnosti vykonáva.

Systémy AI, ktoré sú bezpečnostnými komponentmi výrobkov, alebo ktoré sú sami o sebe výrobkami a patria do rozsahu pôsobnosti harmonizačných právnych predpisov EÚ uvedených v prílohách I a III aktu o umelej inteligencii, sú klasifikované ako vysokorizikové a pred svojím uvedením na trh alebo do prevádzky podliehajú posudzovaniu zhody podľa aktu o umelej inteligencii. V prípade vysokorizikových systémov AI súvisiacich s výrobkami, na ktoré sa vzťahujú existujúce harmonizačné právne predpisy EÚ, sa posudzuje súlad týchto systémov AI s požiadavkami aktu o umelej inteligencii v rámci posudzovania zhody, ktoré je už stanovené v uvedených právnych predpisoch.

Aktom o umelej inteligencii sa vysokorizikové systémy AI zaradili do skupiny určených výrobkov a budú sa označovať označením CE.

Akt o kybernetickej odolnosti (CRA)

Dňa 10.12.2024 nadobudlo účinnosť nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847 z 23. októbra 2024 o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadení (EÚ) č. 168/2013 a (EÚ) 2019/1020 a smernice (EÚ) 2020/1828 (akt o kybernetickej odolnosti), ktorý sa uplatňuje od 11.12.2027, s výnimkou čl. 12 (vysokorizikové systémy AI), ktorý sa uplatňuje od 11.09.2026 a kapitoly IV (čl. 35 až 51 – notifikácia orgánov posudzovania zhody), ktoré sa uplatňuje od 11.06.2025.

Akt o kybernetickej odolnosti dopĺňa existujúce horizontálne legislatívne rámce v oblasti kybernetickej bezpečnosti, ako napr. nariadenie (EÚ) 2019/881 o agentúre ENISA a certifikácii kybernetickej bezpečnosti (Akt o kybernetickej bezpečnosti) alebo smernicu (EÚ) 2022/2555 (NIS 2) o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v EÚ. Tieto predpisy sa zaoberajú systémovými otázkami, ako napr. bezpečnosť dodávateľských reťazcov, či sieťových služieb, ale neobsahujú explicitné požiadavky na kybernetickú bezpečnosť digitálnych produktov (výrobkov) ako takých.

Aktom o kybernetickej odolnosti sa vytvárajú podmienky pre vývoj bezpečných produktov (výrobkov) s digitálnymi prvkami tak, aby sa na trh uvádzali hardvérové a softvérové produkty s menším počtom zraniteľností, a aby výrobcovia brali bezpečnosť vážne počas celého životného cyklu produktu. Ďalej sa vytvárajú podmienky, ktoré používateľom umožňujú zohľadniť kybernetickú bezpečnosť pri výbere a používaní produktov s digitálnymi prvkami, napríklad zlepšením transparentnosti, pokiaľ ide o obdobie podpory produktov s digitálnymi prvkami dostupnými na trhu. Vzťahuje sa aj na spoločnosti mimo EÚ, pokiaľ uvádzajú na trh EÚ digitálne produkty. Stanovuje harmonizované pravidlá v oblasti kybernetickej bezpečnosti pre produkty s digitálnymi prvkami:

  • Prísne bezpečnostné požiadavky pre výrobcov, vývojárov a distribútorov hardvéru a softvéru s cieľom minimalizovať zraniteľnosti, zabezpečiť dlhodobé bezpečnostné aktualizácie a zvýšiť odolnosť voči kybernetickým hrozbám.
  • Výrobcovia musia zabezpečiť, aby bezpečnosť bola zabudovaná do produktov už od začiatku, a nebola riešená až dodatočne.
  • Dlhodobé bezpečnostné aktualizácie, aby sa zabránilo zastaranému a zraniteľnému softvéru, t. j. poskytovať dlhodobú bezpečnostnú podporu pre softvér a pripojené zariadenia, zaviesť automatizované mechanizmy aktualizácie, aby sa predišlo bezpečnostným rizikám.
  • Transparentný proces hlásenia zraniteľností, aby sa urýchlila reakcia na bezpečnostné hrozby, t. j. monitorovanie kybernetických hrozieb v reálnom čase a automatické bezpečnostné kontroly, rýchle poskytovanie bezpečnostných opráv a to tak, aby kritické chyby boli opravené okamžite, bezpečnostné incidenty musia byť hlásenie do 24 hodín.
  • Klasifikácia produktov s digitálnymi prvkami na základe rizika, riziko má 4 úrovne a z toho vyplývajúce stanovenie rôznych pravidiel, čím vyššie je riziko produktu, tým prísnejšie sú požiadavky.
  • Produkty s digitálnymi prvkami podľa prílohy III aktu o kybernetickej odolnosti podliehajú posúdeniu zhody pred uvedením do prevádzky alebo pred uvedením na trh a majú označenie CE.
  • Vysoké pokuty za porušenie pravidiel, ktoré sú založené na percentuálnom podiele celosvetového obratu spoločnosti z predchádzajúceho roka alebo na stanovenej sume, podľa toho, ktorá suma je vyššia.

Aktom o kybernetickej odolnosti sa produkty (výrobky) s digitálnymi prvkami zaradili do skupiny určených výrobkov a budú sa označovať označením CE.

Vzťah medzi aktom o umelej inteligencii a aktom o kybernetickej odolnosti

Akt o umelej inteligencii a akt o kybernetickej odolnosti sú prepojené, čím je zabezpečené, že systémy umelej inteligencie, ktoré zároveň spadajú pod akt o kybernetickej odolnosti, podliehajú ucelenému a jednotnému režimu kybernetickej bezpečnosti, a to bez duplicity v posudzovaní zhody.

Uvedené však nesmie viesť k zníženiu úrovne bezpečnostných záruk, ktoré sú stanovené pre dôležité a kritické produkty (výrobky) s digitálnymi prvkami podľa aktu o kybernetickej odolnosti. Akt o umelej inteligencii vyžaduje, aby systémy AI boli odolné voči pokusom neoprávnených tretích strán o zmenu ich používania, výstupov alebo výkonu využívaním zraniteľnosti systému, pričom príslušné technické riešenia na zabezpečenie tohto účelu musia byť primerané príslušným okolnostiam a rizikám. Podľa čl. 12 aktu o kybernetickej odolnosti príslušný vysokorizikový systém AI spĺňa požiadavky kybernetickej bezpečnosti, ak spĺňa základné požiadavky kybernetickej bezpečnosti stanovené v časti I prílohy I aktu o kybernetickej odolnosti a procesy zavedené výrobcom/poskytovateľom sú v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I aktu o kybernetickej odolnosti, pričom dosiahnutá úroveň ochrany kybernetickej bezpečnosti požadovaná podľa článku 15 aktu o umelej inteligencii musí byť preukázaná v EÚ vyhlásení o zhode vydanom podľa aktu o kybernetickej odolnosti.