Rozporządzenie AI Act stanowi pierwszy na świecie kompleksowy dokument regulujący obszar sztucznej inteligencji. Celem dokumentu jest stworzenie solidnych ram prawnych, które zapewnią bezpieczne i etyczne wykorzystanie systemów AI, chroniąc Europejczyków przed negatywnymi skutkami jej rozwoju. Ostatecznym celem jest budowanie powszechnego zaufania do tej technologii, która niesie ze sobą ogromny potencjał rozwoju zarówno dla jednostek, jak i całych organizacji.

Czytaj też: Parlament Europejski zagłosował za przyjęciem przełomowego AI Act

- Rozwój generatywnej sztucznej inteligencji wiąże się z ogromnym wachlarzem zagrożeń – od klasycznego bezpieczeństwa informacji, po kwestie związane z podejmowaniem decyzji na temat finansów, kariery zawodowej, czy nawet zdrowia i życia. W obliczu tej rewolucji cyberbezpieczeństwo jest redefiniowane. Tradycyjne podejście do bezpieczeństwa systemów informatycznych jest niewystarczające. Wdrażanie sztucznej inteligencji wymaga zabezpieczenia integralności i poufności danych wykorzystywanych w procesie trenowania modelu AI. Rozwiązania oparte na sztucznej inteligencji pozyskiwane od zewnętrznych dostawców generują konieczność budowania mechanizmów zapewniających właściwy poziom zaufania oraz ochronę przed atakami na łańcuchy dostaw. W związku z szeregiem nowych wyzwań Rozporządzenie AI Act to bardzo potrzebna inicjatywa legislacyjna, dzięki której zapewnianie cyberbezpieczeństwa w procesie projektowania i wdrażania rozwiązań AI stanie się obligatoryjne – mówi Michał Kurek, Partner w Dziale Consultingu, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.

Nowe obowiązki już za dwa lata 

Pierwszy etap wejścia w życie rozporządzenia AI Act nastąpi po upływie 20 dni od publikacji w Dzienniku Urzędowym Unii Europejskiej, a w pełni będzie ono obowiązywać 36 miesięcy po opublikowaniu, czyli w pierwszej połowie 2027 roku. Definicja sztucznej inteligencji zawarta w unijnym akcie prawnym obejmuje szeroki zakres technologii i systemów, co w rezultacie znacząco wpłynie na funkcjonowanie firm. Istotne jest, że większość obowiązków, jakie nakłada regulacja, będzie musiała być spełniana już w pierwszej połowie 2026 roku. Ograniczenia dotyczące systemów AI o wysokim ryzyku będą obowiązywały już sześć miesięcy po wejściu w życie rozporządzenia, a zasady dotyczące wykorzystywania systemów AI ogólnego przeznaczenia już po 12 miesiącach.

Rozporządzenie opiera się na klasyfikacji ryzyka związanego ze sztuczną inteligencją na następujące poziomy: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy AI o wysokim ryzyku będą mogły być używane, ale podlegać będą surowym ograniczeniom, które dotyczyć będą zarówno użytkowników, jak i dostawców tych systemów. Termin „dostawca” obejmuje podmioty tworzące systemy AI, w tym organizacje, które robią to na własny użytek. Ważne jest zatem zrozumienie, że organizacja może pełnić zarówno rolę użytkownika, jak i dostawcy tych systemów.

-Wdrażanie sztucznej inteligencji w przedsiębiorstwach przynosi wymierne korzyści, ale stanowi także wyzwanie, szczególnie w kontekście regulacji prawnych. Implementacja unijnych przepisów dotyczących AI nakłada na firmy obowiązek zapewnienia zgodności z surowymi standardami dotyczącymi etyki i ochrony danych. Konieczność przestrzegania tych regulacji wymaga gruntownej analizy istniejących systemów AI oraz ewentualnych modyfikacji w procesach biznesowych, aby zagwarantować zgodność z nowymi wymogami prawnymi i etycznymi. Przedsiębiorstwa muszą być świadome konsekwencji naruszania przepisów i działać proaktywnie, aby zapobiec ewentualnym nieprawidłowościom i utracie zaufania klientów – mówi Radosław Kowalski, Partner w Dziale Consultingu, Szef Zespołu Data Intelligence Solutions w KPMG w Polsce.

Prawo sztucznej inteligencji i nowych technologii 3

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  

Jak przygotować biznes do zmian? 

Wśród kluczowych działań krótkoterminowych organizacje powinny postawić na odpowiednie zarządzanie, polegające na kształtowaniu polityki firmy zgodnie z kategoryzacją ryzyka związanego z AI. Muszą brać pod uwagę, że lista systemów AI o ryzyku sklasyfikowanym jako niedopuszczalne lub wysokie może wydłużać się z biegiem czasu. Istotne jest ciągłe ulepszanie ram zarządzania sztuczną inteligencją przy jednoczesnym stosowaniu przepisów prawa.

Kolejnym niezbędnym działaniem jest rozpoznanie ryzyka związanego z korzystaniem z systemów AI. Organizacje powinny skoncentrować się na ryzyku zarówno wewnętrznym, jak i zewnętrznym. Kluczowa jest klasyfikacja zagrożeń, identyfikacja luk w zakresie bezpieczeństwa cyfrowego oraz działania profilaktyczne w postaci testów systemów AI.

Jeszcze innym działaniem powinno być wdrażanie dobrych praktyk i działań wspierających proces adaptacji systemów AI. Pożądanymi działaniami są: automatyzacja i optymalizacja zarządzania technologią sztucznej inteligencji, prowadzenie rzetelnej dokumentacji i rejestrów działań, szkolenia pracowników oraz przejrzysta komunikacja względem klientów.

- Rozporządzenie AI Act jest ważnym krokiem na drodze do regulacji kwestii wprowadzania do obrotu i funkcjonowania systemów sztucznej inteligencji. Pomimo tego, że obowiązki wynikające z rozporządzenia, zgodnie z założeniem, powinny być spełniane od pierwszej połowy 2026 roku, przygotowania do jego wejścia w życie warto zacząć znacznie wcześniej. Dotyczy to w szczególności przedsiębiorstw stosujących rozwiązania AI zaliczane do kategorii systemów wysokiego ryzyka, takich jak zautomatyzowane narzędzia do rekrutacji pracowników, które już teraz są wykorzystywane przez wiele organizacji. W takich przypadkach konieczne będzie wdrożenie szeregu procedur i mechanizmów – oceny ryzyka (dotyczącego przetwarzanych danych osobowych) i wypracowanie właściwej dokumentacji – mówi Magdalena Bęza, Associate Director, radca prawny w KPMG Law.

O raporcie 

Raport KPMG "Decoding the EU AI Act: Understanding the AI Act’s impact and how you can respond" przybliża założenia rozporządzenia, które stanowi nowy, globalny standard regulujący obszar sztucznej inteligencji.