EU AI ACT: Hvordan forberede virksomheten?

EU AI Act, eller KI-forordningen, markerer et viktig steg for regulering av kunstig intelligens (KI) i Europa. Dette er verdens første helhetlige lovgivning som omhandler utvikling og bruk av KI, og den innfører omfattende krav som vil påvirke alle sektorer. Fra kraftbransjen til finansnæringen vil regelverket kreve tilpasninger for å sikre ansvarlig utvikling og bruk av KI.

En viktig del av denne reguleringen er kravet om robust risikostyring, særlig for KI-anvendelser som faller inn under kategorien "høyrisiko". Ofte vil dette kunne sammenfalle med de KI-anvendelse med størst innovasjons- og forretningspotensialet.

EU AI Act har som mål å fremme ansvarlig bruk av KI, og det gjør den gjennom et strengt rammeverk, en «forordning», som etter hvert vil bli til norsk lov. Reglene vil tre i kraft i flere trinn, med fokus på forbud mot visse typer KI, regler for KI til «generelle formål» (herunder ChatGPT), og omfattende krav til høyrisiko KI-systemer. Regelverket vil gjelde for aktører både innenfor og utenfor EU som opererer KI-systemer i Europa.

Men hva defineres som høyrisiko KI-systemer, og hvordan etterleve regelverket gjennom robust risikostyring og bruk av standarder?

EU AI Act regulerer «KI-systemer», og gir også en slags definisjon av hva dette er:

“An AI System is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”

Dessverre er denne definisjonen verken presis eller lettfattelig, så den beste tilnærmingen kan være å behandle noe man anser som et KI-system for å være nettopp det. I begge tilfeller vil det være god praksis å dokumentere vurderingen, og ha den tilgjengelig for senere møter med internrevisor, compliance eller tilsynsmyndigheter.

Hovedformålet med EU AI Act er å sikre at kunstig intelligens brukes ansvarlig. I dette ligger mange bestanddeler, som at bruken skal være etisk, rettferdig, forklarbar og ivareta inkludering. Dette er faktorer som nok de færreste tar stilling til når de skal vurdere risikoen knyttet til behandling av data idag. EU AI Act endrer på dette, og dette innebærer at virksomheter må bygge opp sin evne til å gjøre slike vurderinger.

Hovedprinsippene i EU AI Act er basert på EUs verdier om frihet, likhet, sikkerhet, og respekt for menneskerettigheter, med særlig vekt på datasikkerhet, transparens og personvern. De betydelige sanksjonene for manglende etterlevelse (opptil 7% av global, årlig omsetning!) understreker hvor viktig dette er.

KI-forordningen er basert på en risikobasert tilnærming, der KI-systemene klassifiseres i fire kategorier basert på risiko: Uakseptabel risiko, høy risiko, begrenset risiko, og minimal risiko. KI-systemer med uakseptabel risiko vil bli forbudt.

KI-systemer som faller inn under "høy risiko" vil være underlagt strenge krav. Dette inkluderer blant annet krav til risikostyring, dataforvaltning, dokumentasjon, datasikkerhet, sporbarhet, åpenhet, menneskelig overvåkning, dokumentasjon og etterlevelse av forordningens krav før KI-systemer tas i bruk.

Det er verdt å merke seg at virksomheter som opererer i høyrisiko-bransjer, som f.eks. kraftbransjen, sannsynligvis har mange bruksområder for kunstig intelligens som ikke er av høy risiko. Tilsvarende kan lavrisiko-bransjer godt tenkes å ha høyrisiko-anvendelser av kunstig intelligens. Da må den faktiske anvendelsen av KI legges til grunn for risikoklassifiseringen, ikke bransjen eller selve systemet.

For organisasjoner som planlegger å utvikle eller bruke KI-systemer til høyrisiko-anvendelser, vil det være avgjørende å etablere robuste risikostyringsprosesser for å sikre at alle regulatoriske krav overholdes.

Risikostyringen må ta hensyn til både tekniske, etiske og sikkerhetsmessige aspekter ved KI, og involvere en bredere forståelse av KI-systemenes påvirkning på både individer og samfunn. Dette er uttrykk for at utvikling og bruk av KI innebærer andre risikoer enn dem som virksomheter normalt befatter seg med. Dermed blir evnen til å forstå og vurdere disse risikoene avgjørende for å kunne styre dem.

ISO 42001, verdens første standard for KI-ledelsessystemer («AIMS»), vil være en nyttig ressurs for virksomheter som ønsker å sikre etterlevelse av KI-forordningen. Standarden gir et strukturert rammeverk som hjelper organisasjoner med å etablere et effektivt styringssystem for KI, og som støtter de kravene som EU AI Act stiller.

ISO 42001 er designet for å fremme pålitelig og etisk KI, og tilbyr retningslinjer for å håndtere risikoer som oppstår i hele KI-livssyklusen.

Virksomheter som allerede har implementert ledelsessystemer basert på andre ISO-standarder, som ISO 27001 (informasjonssikkerhet) og ISO 27701 (personvern), vil kunne ha synergier fra disse om de også implementerer ISO 42001, ettersom de allerede vil ha relevante prosesser og ressurser på plass.

Som for alle andre ISO-styringssystemer stilles det krav til ledelsens involvering. Ledelsen må blant annet etablere en policy for utvikling og bruk av KI-systemer. Dette er noe de aller fleste virksomheter vil ha nytte av uansett om de skulle velge å implementere standarden eller ei. Alle som slipper KI «inn gjennom døra», bør ha klare retningslinjer for hva KI skal brukes til, av hvem og hvorfor – og ikke minst hva KI ikke skal brukes til.

Standarden krever også at ledelsen definerer og etablerer aktuelle roller og ansvar og at nødvendige resurser som data, verktøy, systemressurser og personell stilles til rådighet.

Dessuten stiller standarden krav til etablering av flere prosesser, bl.a.:

Ikke alle disse kravene er like relevante for alle – det kommer for eksempel an på om virksomheten utvikler eller bruker KI-systemer. Virksomheter som utvikler og leverer KI-systemer til andre, har flere krav enn de som bare bruker KI-systemer.

Standarden inneholder tillegg som gir et godt utgangspunkt for å utforme og etablere disse prosesser.

EU AI Act setter en ny standard for regulering av KI, og den krever at organisasjoner skal utvikle eller bruke KI-systemer først må gjøre en grundig vurdering av hvilken risiko KI-systemet kan medføre. Dette stiller nye krav til virksomheters evne til å gjøre risikovurdering, fordi KI kommer med risikoer de færreste er vant til å håndtere. ISO 42001 vil være et effektivt verktøy for å ivareta kravene i EU AI Act.

Det er grunn til å forvente at KI-anvendelser med stort innovasjons- og forretningspotensiale også vil kunne være av høy risiko. Derfor vil virksomhetenes risikoforståelse og -vilje være avgjørende.

Om du ikke allerede har begynt, her er 5 steg til hvordan komme i gang med forberedelsene for å sikre etterlevelse av den nye forordningen:

1. Få på plass en policy for virksomhetens bruk av kunstig intelligens

2. Skaff oversikt over hvilke KI-systemer som allerede er i bruk, av hvem, og til hva

3. Gjør en vurdering av hver enkelt anvendelse av KI og sørg for at risikoen er kjent og håndtert

4. Stans bruken av KI der risikoen større en virksomhetens risikoevne eller -vilje

5. Ta en beslutning om hvordan du vil sikre etterlevelse av KI-forordningen.

Lag en implementeringsplan og sikre ressurser som kan arbeide med implementeringen slik at du kan dokumentere etterlevelse av KI-forordningen når den trer i kraft.

Innholdet i denne artikkelen har blitt delt på konferansen 'Framtidens AI – sikkerhet, tillit og innovasjon' arrangert av AWS og GoforIT i samarbeid med Crayon, Experis og Twoday 14.10.2024.