Dlaczego wdrożenie AI Act oraz dyrektywy NIS2 powinno być realizowane we współpracy prawników, Compliance Officerów, zespołów merytorycznych, zespołów IT, programistów oraz specjalistów od cyberbezpieczeństwa?
W ostatnim czasie, przy okazji finalizacji prac nad AIAct oraz nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa uwzgledniających wytyczne dyrektywy NIS2, trafiłam na kilka wpisów i komentarzy w mediach społecznościowych, które zwracały (czasem w bardzo ostry sposób) uwagę, że zamiast wdrożenia wytycznych obu aktów prawnych, firmy zlecą prawnikom przygotowanie kilku dokumentów, które będą miały zapewnić „papierową” zgodność zamiast kompleksowego rozwiązania faktycznie minimalizującego wskazane ryzyka. Moim ulubionym wpisem jest „AIAct – atak na systemy IT, którego głównym celem jest wymuszenie okupu od branży IT dla kancelarii prawnych”
Wraz z dynamicznym rozwojem technologii oraz rosnącą liczbą cyberzagrożeń, Unia Europejska wprowadza nowe regulacje, które mają na celu zapewnienie bezpieczeństwa, przejrzystości oraz odpowiedzialnego wykorzystania nowoczesnych i kluczowych technologii. AI Act oraz dyrektywa NIS2 są ważnymi elementami tego procesu. Wdrożenie tych regulacji wymaga współpracy wielu różnych działów w organizacjach, w tym prawników, compliance officerów, zespołów merytorycznych, specjaistów IT, programistów oraz specjalistów od cyberbezpieczeństwa. W niniejszym wpisie omówimy, dlaczego taka współpraca jest niezbędna, jakie korzyści przynosi oraz jakie mogą być konsekwencje jej braku.
AI Act to propozycja regulacji mająca na celu ustanowienie kompleksowych ram prawnych dla sztucznej inteligencji w Unii Europejskiej. Główne cele AI Act obejmują zarządzanie ryzykiem związanym z AI, promowanie innowacji oraz ochronę praw podstawowych obywateli UE. Regulacja wprowadza czteropoziomowy system klasyfikacji ryzyka dla systemów AI, obejmujący systemy AI o minimalnym, niskim, wysokim i niedopuszczalnym ryzyku.
Natomiast Dyrektywa NIS2 to zaktualizowana wersja pierwszej dyrektywy NIS, która została przyjęta w 2016 roku. Jej celem jest wzmocnienie bezpieczeństwa cybernetycznego w państwach członkowskich Unii Europejskiej. NIS2 rozszerza zakres zastosowania, obejmując więcej sektorów i usług kluczowych dla społeczeństwa i gospodarki, takich jak sektor energetyczny, transportowy, zdrowotny, wodny, finansowy i cyfrowy.
Znaczenie współpracy międzyzespołowej
AI Act i NIS2 to regulacje, które wymagają podejścia interdyscyplinarnego. AI Act, na przykład, nie tylko nakłada obowiązki prawne, ale także techniczne i etyczne. Oznacza to, że aby skutecznie wdrożyć te regulacje, niezbędna jest współpraca między prawnikami, którzy rozumieją ramy prawne, a zespołami IT i programistami, którzy są odpowiedzialni za techniczne aspekty wdrożenia.
W przypadku NIS2, regulacja ta nakłada obowiązki na podmioty kluczowe (np: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (między przedsiębiorstwami), podmioty administracji publicznej, przestrzeń kosmiczna) oraz podmioty ważne (m.in usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, dostawcy usług cyfrowych, instytucje edukacyjne i badawcze), dotyczące zarządzania ryzykiem cybernetycznym, zgłaszania incydentów oraz wdrażania odpowiednich środków bezpieczeństwa. Wymaga to wiedzy zarówno prawniczej, jak i technicznej.
Warto przytoczyć przykłady niepowodzeń firm, które przy wdrażaniu RODO polegały wyłącznie na jednej grupie specjalistów. Firmy, które skupiły się tylko na aspektach prawnych, często nie uwzględniały technicznych wymogów ochrony danych, co prowadziło do luk w zabezpieczeniach i potencjalnych naruszeń danych. Z kolei firmy, które skupiły się wyłącznie na technicznych aspektach, zaniedbywały prawne i proceduralne wymogi, co skutkowało niepełnym wdrożeniem przepisów RODO.
Przyglądnijmy się kluczowym rolom w procesie wdrażania unijnych regulacji.
Prawnicy
Prawnicy odgrywają kluczową rolę w zrozumieniu i interpretacji wymagań prawnych wynikających z AI Act i NIS2. Są odpowiedzialni za zapewnienie zgodności z regulacjami, przygotowanie odpowiednich polityk i procedur oraz doradztwo w zakresie prawnych aspektów wdrożenia. Bez ich udziału, organizacje mogą mieć trudności z prawidłowym zrozumieniem i zastosowaniem przepisów.
Compliance Officer
Compliance officer monitoruje i zapewnia zgodność z przepisami wewnętrznymi i zewnętrznymi. W kontekście AI Act i NIS2, ich rola polega na monitorowaniu procesu wdrażania, przeprowadzaniu audytów wewnętrznych oraz zapewnieniu, że organizacja przestrzega wszystkich wymogów regulacyjnych. Ich współpraca z prawnikami i zespołami IT jest niezbędna dla skutecznego wdrożenia regulacji.
Zespoły IT i programiści
Zespoły IT i programiści są odpowiedzialni za techniczne wdrożenie systemów AI oraz zabezpieczeń wymaganych przez NIS2. Muszą oni ściśle współpracować z prawnikami i compliance officerami, aby upewnić się, że techniczne rozwiązania są zgodne z wymogami prawnymi. Bez ich udziału, organizacja może napotkać trudności w implementacji odpowiednich zabezpieczeń i systemów.
Specjaliści od cyberbezpieczeństwa
Specjaliści od cyberbezpieczeństwa odgrywają kluczową rolę w zapewnieniu bezpieczeństwa systemów informatycznych. W kontekście NIS2, są odpowiedzialni za zarządzanie ryzykiem cybernetycznym, wdrażanie środków bezpieczeństwa oraz reagowanie na incydenty. Ich wiedza i doświadczenie są niezbędne dla skutecznego wdrożenia wymogów dyrektywy NIS2.
Współpraca między prawnikami, Compliance Officerami, zespołami IT, programistami oraz specjalistami od cyberbezpieczeństwa pozwala na lepsze zrozumienie i wdrożenie wymogów regulacyjnych. Każdy z tych zespołów wnosi unikalne kompetencje, które są niezbędne dla kompleksowego podejścia do zgodności z AI Act i/lub NIS2. Taka współpraca zmniejsza ryzyko niezgodności, co może prowadzić do kar finansowych oraz utraty reputacji.
Efektywne zarządzanie ryzykiem jest kluczowe w kontekście AI Act i NIS2. Prawnicy i compliance officerzy mogą pomóc zidentyfikować ryzyka prawne i regulacyjne, podczas gdy zespoły IT i specjaliści od cyberbezpieczeństwa mogą zająć się technicznymi aspektami zarządzania ryzykiem. Dzięki współpracy, organizacja jest w stanie skutecznie zarządzać ryzykiem na wielu płaszczyznach.
Współpraca specjalistów z różnych dziedzin pozwala na lepsze zabezpieczenie systemów informatycznych. Specjaliści od cyberbezpieczeństwa mogą identyfikować i neutralizować zagrożenia, podczas gdy zespoły IT i programiści mogą wdrażać odpowiednie środki techniczne. Prawnicy i Compliance Officer mogą zapewnić, że wszystkie działania są zgodne z obowiązującymi przepisami. Dzięki temu organizacja jest lepiej chroniona przed zagrożeniami cybernetycznymi.
AI Act promuje innowacje poprzez stworzenie piaskownic regulacyjnych, które umożliwiają testowanie nowych technologii AI w bezpiecznym i kontrolowanym środowisku. Współpraca między zespołami pozwala na skuteczne wykorzystanie tych piaskownic, co może prowadzić do rozwoju innowacyjnych rozwiązań. Prawnicy mogą doradzać w kwestiach prawnych, podczas gdy zespoły IT i programiści mogą skupić się na technicznym rozwoju.
Skuteczne wdrożenie AI Act i NIS2 zwiększa zaufanie do technologii AI oraz systemów informacyjnych. Obywatele i klienci mają większe zaufanie do organizacji, które przestrzegają rygorystycznych standardów bezpieczeństwa i odpowiedzialności, co przekłada się na lepsze relacje biznesowe oraz lojalność klientów.
Podsumowanie
Wdrożenie AI Act oraz dyrektywy NIS2 jest kompleksowym procesem, który wymaga współpracy wielu zespołów w organizacji. Prawnicy, Compliance Officer, zespoły IT, programiści oraz specjaliści od cyberbezpieczeństwa muszą współpracować, aby zapewnić zgodność z regulacjami oraz skuteczne zarządzanie ryzykiem. Przykłady niepowodzeń przy wdrażaniu RODO pokazują, że brak współpracy międzyzespołowej może prowadzić do poważnych konsekwencji, takich jak kary finansowe oraz utrata reputacji. AI Act i NIS2 są ważne zarówno dla biznesu, jak i społeczeństwa, ponieważ zapewniają ochronę praw podstawowych, zwiększają bezpieczeństwo, promują innowacje oraz wzrost zaufania. Skuteczne wdrożenie tych regulacji może zminimalizować zagrożenia oraz przyczynić się do zrównoważonego rozwoju technologii w Unii Europejskiej.