Förra månaden inträffade EU:s landmärke för artificiell intelligens gå in i lagböckerna. EU AI Act, som överväldigande antog Europaparlamentet med 523-46 omröstningar, beskriver en rad risknivåer, skyldigheter och krav för företag som utvecklar, distribuerar och använder AI-lösningar eller modeller.
Även om detta är en europeisk lag, kommer brittiska teknikföretag som vill erbjuda sina AI-tjänster och -modeller på EU-marknaden att behöva följa detta eller få höga böter. Detta kommer att kräva en konkret förståelse för hur den slutliga versionen av lagen fungerar och en fullständig översyn av företagens efterlevnadsprogram.
Viktiga ändringar i EU:s AI-lag
En av de viktigaste ändringarna i den slutliga versionen av EU:s AI-lag är "en mer riskbaserad strategi" för att reglera tekniken, enligt Jake Moore, global cybersäkerhetsrådgivare på antivirustillverkaren ESET.
Moore säger till ISMS.online att reglerna kommer att skilja sig åt för AI-tillämpningar med låg och hög risk, där de strängaste gäller för "de med större risk för skada". Exempel på det senare skulle vara AI-driven medicinsk utrustning och automatiserad polisteknik.
Han tillägger att lagen också kommer att tvinga företag att vara transparenta om sin AI-användning, förbjuda farliga AI-applikationer som förutsägande polisarbete och granska generativa AI-modeller som ChatGPT 4 och Google Gemini.
"Detta är det första tecknet på insikten att en AI-storlek inte passar alla", fortsätter Moore.
Leonie Power, en partner och AI-specialist på advokatfirman Fieldfisher, säger att viktiga förändringar inkluderar en AI-definition som liknar den som antagits av Organisationen för ekonomiskt samarbete och utveckling (OECD), förutom särskilda bestämmelser för deepfakes och allmänna syften AI-modeller.
Paolo Sbuttoni, partner på advokatbyrån Foot Anstey, påpekar att många av dessa förändringar beskrivs i ett läckt lagförslag som EU:s lagstiftare provisoriskt enades om i december förra året. Det inkluderade en slutgiltig AI-systemdefinition, krav på en konsekvensbedömning av grundläggande rättigheter, begränsningar för biometrisk identifiering i realtid och regler för allmänna AI-system, säger han.
"Medlagstiftarna genomförde några tekniska ändringar av lagen i januari 2024 för att anpassa texten i skälen till artiklarna som överenskommits under decemberförhandlingarna, men det har inte skett några väsentliga ändringar i utkastet från december 2023", säger han till ISMS .uppkopplad.
Inverkan på brittiska organisationer
Storbritannien kan ha lämnat Europeiska unionen och utvecklat sitt eget tillvägagångssätt att reglera AI-teknik, men detta betyder inte att EU:s AI-lag inte kommer att påverka brittiska företag. Enligt Foot Ansteys Sbuttoni måste alla Storbritannien-baserade företag som vill sälja eller installera AI-tjänster i EU följa reglerna.
Men enligt artikel 28 kommer dessa skyldigheter att variera beroende på ändringar som görs av EU-baserade distributörer, distributörer eller importörer av AI-tjänster som utvecklats eller erbjuds av brittiska företag, klargör han. Dessa grupper är mer allmänt kända som "nedströmsanvändare", medan AI-tjänsteleverantörer är "uppströms" enheter.
Med hänvisning till artikel 3 punkt 23 säger Sbuttoni att EU:s tillsynsmyndigheter kommer att se dessa grupper som tjänsteleverantörer om de gör betydande förändringar i system som tillhandahålls av brittiska företag. I detta innehåll säger han att den brittiska enheten skulle behöva ge nedströmsanvändaren i EU – nu tjänsteleverantören – tekniska dokument, kapacitetsinformation och teknisk åtkomst och assistans så att den andra parten kan följa lagen.
Att uppfylla dessa skyldigheter
När det gäller att uppfylla dessa nya lagkrav kommer brittiska AI-företag som vill verka på EU-marknaden att behöva göra en rad ändringar i sina efterlevnadsprogram. Fieldfisher's Power rekommenderar att organisationer startar denna process genom att granska alla utvecklade, utplacerade eller planerade AI-system och bestämma vilken inverkan EU:s AI-lag kommer att ha på dem.
Hon ger sedan råd till organisationer att klassificera AI-modeller och -system baserat på deras risknivå, såsom en hög eller systematisk risk, och förstå vilken roll de spelar i AI-försörjningskedjan. Det sista steget är att implementera ett ramverk för AI-styrning. Power säger att organisationer kan utnyttja beprövade risk- och styrningsramverk, som de som används för datasekretess, för att göra detta.
"Tänk särskilt på överlappningen med GDPR efterlevnad och i vilken utsträckning organisationen kan bygga på dessa efterlevnadsåtgärder för att ta itu med EU:s AI-lagsförpliktelser”, säger hon till ISMS.online. "Genom att använda ovanstående tillvägagångssätt bör organisationer tänka på övergångsperioderna för specifika krav, som varierar mellan sex och 36 månader."
Foot Anstey's Sbuttoni säger att organisationer bör utforma efterlevnadsprogram kring de potentiella riskerna som deras AI-system utgör. De fyra riskkategorier som antas av EU:s AI-lag är: minimal, begränsad, hög och oacceptabel.
”Låg/minimal risksystem kommer att vara föremål för begränsade skyldigheter medan lagen ställer ett antal betydande krav på operatörer av högrisksystem. Dessa inkluderar riskhantering, överensstämmelse- och konsekvensbedömningar, datakvalitet, transparens eller mänsklig tillsyn”, säger han.
Underlåtenhet att följa dessa regler kan leda till en hög ekonomisk kostnad. EU kan bötfälla företag med upp till 35 miljoner euro (30 miljoner pund) eller 7 % av föregående års globala omsättning om de ägnar sig åt förbjudna metoder, 15 miljoner euro (13 miljoner pund) eller 3 % för att de inte uppfyller andra lagstadgade krav och 7.5 miljoner euro (6.4 miljoner GBP) eller 1 % för att lämna falsk information.
Hur ISO 42001 kan hjälpa
Eftersom brittiska företag anpassar sina efterlevnadsprogram baserat på kraven i EU:s AI-lag, kan det också vara en bra idé att implementera ISO 42001-standard för AI-ledningssystem.
Fieldfisher's Power säger att att utnyttja denna branschstandard skulle göra det möjligt för företag att följa EU:s AI-lag genom att "skapa en kultur av transparens, ansvarighet och etisk användning av AI".
Foot Ansteys Sbuttoni tillägger att den tekniska vägledningen som erbjuds av ISO 42001 kommer att hjälpa företag att hantera AI-risker och -möjligheter.
"Även om det inte garanterar efterlevnad av lagen, är det ett bra steg för att hjälpa företag som använder AI att följa industrins eller juridiska krav", hävdar han.
Med tanke på storleken på den europeiska marknaden kommer många brittiska företag som hoppas kunna utnyttja kraften i AI i sina produkterbjudanden att lyfta upp standarden som ett sätt att effektivisera sin internationella expansion.
