+ 48 730 668 341
AI ACT

AI Act i ISO/IEC 42001: Nowa Era Regulacji i Standardów dla Sztucznej Inteligencji

1. Wprowadzenie

Sztuczna inteligencja (AI) staje się coraz bardziej powszechna w naszym codziennym życiu, wpływając na różne sektory gospodarki i społeczeństwa. Wraz z rosnącym znaczeniem AI, pojawia się potrzeba odpowiednich regulacji i standardów, które zapewnią jej bezpieczny i etyczny rozwój oraz wdrażanie.

Znaczenie regulacji i standardów w kontekście AI

Regulacje i standardy w dziedzinie AI są kluczowe z kilku powodów:

  1. Zapewnienie bezpieczeństwa: Pomagają minimalizować potencjalne zagrożenia związane z wykorzystaniem AI.
  2. Ochrona praw człowieka: Gwarantują, że systemy AI są projektowane i używane z poszanowaniem praw i wolności jednostek.
  3. Promowanie innowacji: Tworzą jasne ramy dla rozwoju AI, zachęcając do innowacji w bezpiecznym środowisku.
  4. Budowanie zaufania: Zwiększają zaufanie społeczeństwa do technologii AI poprzez zapewnienie przejrzystości i odpowiedzialności.
  5. Harmonizacja praktyk: Umożliwiają spójne podejście do rozwoju i wdrażania AI na poziomie międzynarodowym.

Cel AI Act i normy ISO/IEC 42001

AI Act i norma ISO/IEC 42001 to dwa kluczowe instrumenty mające na celu regulację i standaryzację w dziedzinie AI:

  1. AI Act:
    • Jest to kompleksowa regulacja prawna Unii Europejskiej.
    • Ma na celu stworzenie zharmonizowanych zasad dla rozwoju, wprowadzania do obrotu i używania systemów AI w UE.
    • Dąży do zapewnienia, że systemy AI używane w UE są bezpieczne i respektują prawa podstawowe oraz wartości UE.
  2. ISO/IEC 42001:
    • Jest to międzynarodowy standard zarządzania systemami AI.
    • Zapewnia wytyczne dotyczące rozwoju, wdrażania i utrzymania systemów AI.
    • Koncentruje się na zarządzaniu jakością, zarządzaniu ryzykiem i ciągłym doskonaleniu w kontekście AI.

Obie te inicjatywy mają na celu stworzenie kompleksowych ram dla odpowiedzialnego rozwoju i wdrażania AI, zapewniając jednocześnie ochronę praw jednostek i promując innowacje w tej dziedzinie. Ich wdrożenie ma kluczowe znaczenie dla budowania zaufania do technologii AI i maksymalizacji jej potencjału z korzyścią dla społeczeństwa.

2. AI Act

Definicja i zakres regulacji

AI Act to pierwsza na świecie kompleksowa regulacja prawna dotycząca sztucznej inteligencji, która ma na celu zarządzanie ryzykiem związanym z AI oraz promowanie bezpiecznego i etycznego wykorzystania tej technologii w Unii Europejskiej. Regulacja ta dotyczy wszystkich dostawców, użytkowników, importerów oraz dystrybutorów systemów AI w UE, niezależnie od tego, gdzie są zlokalizowani.

Cele i korzyści AI Act

AI Act ma na celu:

  • Zwiększenie zaufania: Zapewnienie, że systemy AI są bezpieczne i respektują prawa podstawowe oraz wartości UE.
  • Ochrona praw jednostki: Gwarantowanie, że systemy AI są projektowane i używane z poszanowaniem praw i wolności jednostek.
  • Stymulacja innowacji: Tworzenie jasnych ram dla rozwoju AI, zachęcając do innowacji w bezpiecznym środowisku.
  • Zapewnienie bezpieczeństwa: Minimalizowanie potencjalnych zagrożeń związanych z wykorzystaniem AI.
  • Wzmocnienie konkurencyjności: Promowanie europejskiego podejścia do regulacji technologii na arenie międzynarodowej.

Klasyfikacja systemów AI według poziomu ryzyka

AI Act wprowadza cztery poziomy ryzyka dla systemów AI:

  1. Nieakceptowalne ryzyko: Systemy AI, które stanowią zagrożenie dla ludzi, będą zakazane (np. systemy manipulacji behawioralnej, scoring społeczny).
  2. Wysokie ryzyko: Systemy AI, które mogą negatywnie wpływać na bezpieczeństwo lub prawa podstawowe, będą podlegać surowym regulacjom (np. systemy używane w krytycznej infrastrukturze, edukacji, zatrudnieniu).
  3. Ograniczone ryzyko: Systemy AI z umiarkowanym ryzykiem będą musiały spełniać określone wymagania dotyczące przejrzystości (np. chatboty, deepfake’i).
  4. Minimalne ryzyko: Większość systemów AI, które nie stanowią znaczącego ryzyka, będzie mogła być swobodnie używana (np. gry wideo, filtry antyspamowe).

Zakazane zastosowania AI

AI Act zakazuje stosowania systemów AI, które:

  • Manipulują zachowaniem ludzi w sposób szkodliwy.
  • Stosują scoring społeczny.
  • Używają identyfikacji biometrycznej w czasie rzeczywistym bez odpowiednich zabezpieczeń[5].

Obowiązki dostawców i operatorów systemów AI

Dostawcy i operatorzy systemów AI mają obowiązek:

  • Przeprowadzania oceny zgodności przed wprowadzeniem systemu na rynek.
  • Zapewniania nadzoru ludzkiego i monitorowania systemów AI.
  • Raportowania poważnych incydentów i nieprawidłowości.
  • Przestrzegania wymagań dotyczących przejrzystości i bezpieczeństwa

AI Act stanowi fundament dla przyszłych regulacji i standardów w dziedzinie sztucznej inteligencji, mając na celu stworzenie bezpiecznego i zaufanego środowiska dla rozwoju tej technologii w Europie i na świecie.

Główne przepisy AI Act dotyczące oceny zgodności

AI Act wprowadza szczegółowe przepisy dotyczące oceny zgodności systemów sztucznej inteligencji (AI), szczególnie tych klasyfikowanych jako wysokiego ryzyka. Oto kluczowe przepisy dotyczące tego procesu:

1. Procedury oceny zgodności

Dostawcy systemów AI wysokiego ryzyka muszą przeprowadzić ocenę zgodności przed wprowadzeniem systemu na rynek. Istnieją dwie główne procedury oceny zgodności, które dostawcy mogą wybrać w zależności od zastosowanych standardów:

  1. Ocena zgodności oparta na wewnętrznej kontroli (Annex VI):
  • Stosowana, gdy dostawca zastosował zharmonizowane standardy określone w Artykule 40 lub wspólne specyfikacje z Artykułu 41.
  • Nie wymaga zaangażowania jednostki notyfikowanej.
  1. Ocena zgodności oparta na ocenie systemu zarządzania jakością i dokumentacji technicznej z udziałem jednostki notyfikowanej (Annex VII):
  • Wymagana, gdy zharmonizowane standardy nie istnieją, nie są dostępne, lub dostawca zastosował je tylko częściowo.
  • Wymaga zaangażowania jednostki notyfikowanej, która ocenia zgodność systemu.

2. Wymagania dotyczące dokumentacji technicznej

Dokumentacja techniczna musi być przygotowana przed wprowadzeniem systemu na rynek i musi być aktualizowana. Powinna zawierać wszystkie niezbędne informacje, aby wykazać zgodność systemu z wymaganiami AI Act oraz umożliwić ocenę zgodności przez organy krajowe i jednostki notyfikowane.

3. Nowa ocena zgodności po modyfikacjach

Systemy AI wysokiego ryzyka muszą przejść nową ocenę zgodności w przypadku istotnych modyfikacji, niezależnie od tego, czy zmodyfikowany system będzie dalej dystrybuowany, czy używany przez obecnego użytkownika. Systemy, które uczą się po wprowadzeniu na rynek, muszą mieć określone zmiany i wydajność z góry ocenione podczas początkowej oceny zgodności.

4. Delegowane akty prawne

Komisja Europejska ma uprawnienia do przyjmowania delegowanych aktów, aby aktualizować załączniki VI i VII w świetle postępu technicznego oraz wprowadzać zmiany w procedurach oceny zgodności, aby lepiej zapobiegać lub minimalizować ryzyka dla zdrowia, bezpieczeństwa i ochrony praw podstawowych[1][3].

5. Wybór jednostki notyfikowanej

Dostawcy mogą wybrać dowolną jednostkę notyfikowaną do przeprowadzenia oceny zgodności, chyba że system AI ma być używany przez organy ścigania, imigracyjne lub azylowe, wówczas odpowiednia władza nadzoru rynku działa jako jednostka notyfikowana.

6. Przestrzeganie harmonizowanych standardów

Systemy AI wysokiego ryzyka, które są zgodne z odpowiednimi zharmonizowanymi standardami, są uznawane za zgodne z wymaganiami AI Act. W przypadku braku takich standardów, Komisja może przyjąć wspólne specyfikacje, których przestrzeganie również prowadzi do uznania zgodności.

7. Deklaracja zgodności UE i oznakowanie CE

Po zakończeniu oceny zgodności, dostawcy muszą sporządzić deklarację zgodności UE oraz umieścić oznakowanie CE na systemie AI, aby wskazać jego zgodność z AI Act. Dokumentacja ta musi być przechowywana przez okres dziesięciu lat po wprowadzeniu systemu na rynek.

Te przepisy mają na celu zapewnienie, że systemy AI wysokiego ryzyka są bezpieczne, niezawodne i zgodne z przepisami, co ma na celu ochronę zdrowia, bezpieczeństwa i praw podstawowych użytkowników.

Jakie będą zharmonizowane standardy wymienione w artykule 40

Artykuł 40 AI Act odnosi się do zharmonizowanych standardów i dokumentów normalizacyjnych dotyczących systemów sztucznej inteligencji. Oto kluczowe informacje na temat zharmonizowanych standardów wymienionych w tym artykule:

  1. Domniemanie zgodności: Systemy AI wysokiego ryzyka, które są zgodne z harmonizowanymi standardami lub ich częściami, uznaje się za zgodne z wymaganiami określonymi w rozdziale 2 AI Act, w zakresie objętym tymi standardami[1].
  2. Publikacja odniesień: Odniesienia do harmonizowanych standardów są publikowane w Dzienniku Urzędowym Unii Europejskiej[1].
  3. Zakres standardów: Zharmonizowane standardy mogą obejmować różne aspekty systemów AI, takie jak:
  • Zarządzanie ryzykiem
  • Zarządzanie danymi i jakość danych
  • Dokumentacja techniczna
  • Prowadzenie rejestrów
  • Przejrzystość i dostarczanie informacji użytkownikom
  • Nadzór ludzki
  • Dokładność, odporność i cyberbezpieczeństwo[1]
  1. Rola Komisji Europejskiej: Komisja może zwrócić się do jednej lub kilku europejskich organizacji normalizacyjnych o opracowanie harmonizowanych standardów dla wymagań określonych w rozdziale 2 AI Act[1].
  2. Elastyczność: Artykuł pozwala na stosowanie częściowe zharmonizowanych standardów, co oznacza, że dostawcy mogą wybrać, które części standardu chcą zastosować.
  3. Aktualizacja standardów: Zharmonizowane standardy mogą być aktualizowane w miarę rozwoju technologii i zmieniających się potrzeb rynku

Warto podkreślić, że zharmonizowane standardy będą pełnić kluczową rolę w zapewnieniu zgodności systemów AI z wymaganiami AI Act. Stosowanie tych standardów nie tylko ułatwia proces oceny zgodności, ale także przyczynia się do zwiększenia bezpieczeństwa i niezawodności systemów AI na rynku europejskim.

Wykorzystanie istniejących standardów w kontekście AI Act

Harmonizowane standardy

Harmonizowane standardy są kluczowym narzędziem wspierającym zgodność z AI Act. Standardy te, opracowane przez europejskie i międzynarodowe organizacje normalizacyjne, zapewniają techniczne wytyczne i wymagania, które pomagają dostawcom systemów AI spełniać regulacyjne wymogi. Oto, jak istniejące standardy mogą być wykorzystane w kontekście AI Act:

1. ISO/IEC 42001:2023 – System zarządzania sztuczną inteligencją (AIMS)

ISO/IEC 42001 to pierwszy na świecie standard dotyczący systemów zarządzania sztuczną inteligencją. Standard ten oferuje wytyczne dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania AI w organizacji. Zgodność z ISO/IEC 42001 może służyć jako dowód odpowiedzialności i zgodności organizacji z wymogami AI Act[3][4].

2. ISO/IEC 23894:2023 – Zarządzanie ryzykiem AI

ISO/IEC 23894 koncentruje się na zarządzaniu ryzykiem związanym z AI. Standard ten dostarcza wytycznych dotyczących identyfikacji, oceny i zarządzania ryzykiem w systemach AI. Choć standard ten głównie adresuje ryzyka organizacyjne, może być używany jako punkt wyjścia do zrozumienia i zarządzania ryzykiem, co jest kluczowe dla zgodności z AI Act[4].

3. ISO/IEC 5259 – Jakość danych i zarządzanie danymi

Seria ISO/IEC 5259 obejmuje różne aspekty jakości danych i zarządzania danymi, które są istotne dla zgodności z AI Act. Standardy te dostarczają wytycznych dotyczących atrybutów jakości danych i praktyk zarządzania danymi, które mogą pomóc organizacjom w spełnieniu wymagań dotyczących jakości danych określonych w AI Act[4].

4. ISO/IEC 12792 – Przejrzystość systemów AI

ISO/IEC 12792 koncentruje się na taksonomii przejrzystości systemów AI, a ISO/IEC CD TS 6254 na celach i podejściach do wyjaśnialności modeli uczenia maszynowego i systemów AI. Te standardy, choć wciąż rozwijane, mogą dostarczyć wytycznych dotyczących przejrzystości i wyjaśnialności, które są kluczowe dla zgodności z AI Act[4].

5. ISO/IEC 42001 – Prowadzenie rejestrów i śledzenie

ISO/IEC 42001 obejmuje również aspekty prowadzenia rejestrów i śledzenia, które są istotne dla zgodności z wymaganiami AI Act dotyczącymi dokumentacji i przejrzystości. Standard ten pomaga w określeniu niezbędnych działań związanych z prowadzeniem rejestrów i śledzeniem, co jest kluczowe dla spełnienia wymagań regulacyjnych[4].

6. Zarządzanie ryzykiem i nadzór ludzki

Standardy takie jak ISO/IEC 23894 i przyszłe prace normalizacyjne dotyczące nadzoru ludzkiego będą kluczowe dla zgodności z AI Act. Te standardy dostarczają wytycznych dotyczących zarządzania ryzykiem oraz środków organizacyjnych i technicznych, które zapewniają odpowiedni nadzór ludzki nad systemami AI[4].

Podsumowanie

Istniejące standardy, takie jak ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 5259, i inne, mogą być wykorzystane przez organizacje do spełnienia wymagań AI Act. Stosowanie tych standardów nie tylko ułatwia proces oceny zgodności, ale także przyczynia się do zwiększenia bezpieczeństwa, przejrzystości i zaufania do systemów AI. Organizacje mogą również angażować się w proces normalizacyjny, aby kształtować przyszłe standardy i dostosować je do specyficznych potrzeb branży

Zapytaj o wdrożenie i certyfikację systemu

Kliknij tutaj

Spis treści

Podobne wpisy

Zapytaj o certyfikat lub wdrożenie

Renata Wojnowska
Tel: + 48 730 668 341

Multicert Sp. z o.o.

Jednostka certyfikacyjna zajmująca się certyfikacją i inspekcjami systemów zarządzania. Więcej na www.multicert.pl

Dane rejestrowe

Sąd rejonowy dla m.st. Warszawy ,XIII wydział gospodarczy krajowego rejestru sądowego
KRS 0000681322
NIP 9522163792
REGON 67470425

Adres

Mydlarska 47
Warszawa 04-690​
E;mail : biuro@multicert.com.pl
Tel:(+48)508 354 190​
Tel (+48)22 300 00 18

Godziny Pracy

PN-Pt od 8.00 do 17.00
Sobota od 9. 00 do 16.00​
Na zapytania wysłanie drogą mailową odpowiadamy w ciągu 24 godzin

©2019. Multicert Sp. z o.o.. All Rights Reserved.

Ta strona wykorzystuje pliki cookie. Używamy informacji zapisanych za pomocą plików cookies w celu zapewnienia maksymalnej wygody w korzystaniu z naszego serwisu. Mogą też korzystać z nich współpracujące z nami firmy badawcze oraz reklamowe. Jeżeli wyrażasz zgodę na zapisywanie informacji zawartej w cookies kliknij.

Akceptuj