AI Act a NIS2: Dvojí compliance pro technologické firmy

Navigace regulatory tsunami: AI Act a NIS2 v kritické infrastruktuře

Digitální transformace přináší nebývalé příležitosti, ale s nimi i komplexní regulatory výzvy. Pro technologické firmy, zejména ty působící v sektorech kritické infrastruktury, se stává orientace v nové legislativě klíčovou. V popředí stojí dvě zásadní evropská nařízení: směrnice NIS2 a nedávno schválený EU AI Act (Nařízení EU 2024/1689). Obě nařízení mají za cíl zvýšit bezpečnost a odolnost digitálních systémů, avšak každé z jiného úhlu pohledu.

Zatímco NIS2 se soustředí na celkovou kyberbezpečnost a odolnost sítí a informačních systémů, AI Act cílí přímo na bezpečnost, transparentnost a etické aspekty systémů umělé inteligence. Pro organizace, které vyvíjejí nebo používají AI systémy v kritických odvětvích – od energetiky přes zdravotnictví až po dopravu – to znamená čelit náročnému úkolu: zajistit dvojí compliance. Nejde však jen o zdvojenou zátěž; správným přístupem lze nalézt významné synergie, které zefektivní procesy a posílí celkovou odolnost.

V tomto článku se podíváme na to, jak se AI Act a NIS2 překrývají, kde se doplňují a jaké praktické kroky mohou firmy podniknout, aby efektivně splnily požadavky obou nařízení a zajistily robustní kyberbezpečnost i odpovědné nasazení umělé inteligence.

NIS2: Základní pilíř kyberbezpečnosti

Směrnice NIS2 (Network and Information Systems Directive 2) je klíčovým legislativním nástrojem Evropské unie pro posílení celkové kyberbezpečnosti v členských státech. Jejím primárním cílem je zvýšit odolnost a schopnost reakce na kybernetické incidenty napříč širokým spektrem kritických sektorů a důležitých služeb. Oproti svému předchůdci (NIS1) podstatně rozšiřuje svůj rozsah, zahrnující více subjektů a zavádějící přísnější požadavky na řízení rizik a oznamování incidentů.

Mezi klíčové povinnosti vyplývající z NIS2 patří zavedení komplexních opatření pro řízení kybernetických bezpečnostních rizik, jako jsou analýza rizik, bezpečnostní politiky, řízení přístupu, šifrování, vícestupňové ověřování a zabezpečení dodavatelského řetězce. Důraz je kladen také na robustní plánování kontinuity provozu a krizové řízení. Pro mnoho firem v kritické infrastruktuře to znamená revizi a posílení stávajících bezpečnostních frameworků.

Dalším stěžejním prvkem NIS2 je povinnost oznamovat významné kybernetické incidenty příslušným národním orgánům. To zahrnuje včasné varování (do 24 hodin), podrobnější oznámení (do 72 hodin) a závěrečnou zprávu. Cílem je umožnit rychlou reakci, sdílení informací a prevenci širšího dopadu incidentů. Pro firmy to představuje nutnost mít zavedené efektivní procesy detekce, analýzy a reportování incidentů, které jsou plně integrovány do jejich provozních a bezpečnostních strategií.

AI Act: Regulace umělé inteligence pro bezpečnou budoucnost

EU AI Act představuje první komplexní právní rámec pro umělou inteligenci na světě a má ambici stát se globálním standardem pro odpovědný rozvoj a nasazení AI. Jeho hlavním cílem je zajistit, aby AI systémy byly bezpečné, transparentní, nediskriminační a respektovaly základní lidská práva. Nařízení zavádí přístup založený na riziku, který kategorizuje AI systémy do čtyř úrovní: nepřijatelné riziko, vysoké riziko, omezené riziko a minimální riziko.

Pro technologické firmy v kritické infrastruktuře je klíčové zaměřit se na systémy s vysokým rizikem. Definice těchto systémů je široká a zahrnuje například AI systémy používané jako bezpečnostní komponenty kritické digitální infrastruktury (článek 6, odst. 2, písm. a) nebo systémy určené k řízení a provozu kritické infrastruktury, které by mohly ohrozit život a zdraví osob, bezpečnost nebo veřejnou důvěru (článek 6, odst. 2, písm. b). Patří sem například AI pro řízení energetických sítí, dopravních systémů nebo pro detekci hrozeb v nemocnicích.

Provozovatelé a poskytovatelé vysoce rizikových AI systémů čelí přísným povinnostem, které zahrnují robustní systémy řízení rizik (článek 9), vysokou kvalitu datových souborů (článek 10), podrobnou technickou dokumentaci (článek 11), záznamy o činnosti (článek 12), transparentnost a poskytování informací uživatelům (článek 13), lidský dohled (článek 14) a přesnost, robustnost a kybernetickou bezpečnost (článek 15). Kromě toho je vyžadováno posouzení shody před uvedením systému na trh a monitorování po uvedení na trh. Zvláštní pozornost je věnována také oznamování závažných incidentů a nefunkčností, jak je popsáno v článku 50.

Průniky a synergie: Kde se NIS2 a AI Act potkávají?

Na první pohled se může zdát, že NIS2 a AI Act jsou dvě samostatné regulatory výzvy. Při bližším prozkoumání však odhalíme významné průniky a potenciální synergie, které mohou firmám usnadnit proces compliance. Jádrem těchto průniků je společný cíl: zajistit bezpečnost a odolnost digitálních systémů, přičemž AI systémy jsou dnes nedílnou součástí těchto systémů.

Jedním z hlavních styčných bodů je řízení rizik. NIS2 vyžaduje komplexní řízení kybernetických rizik. AI Act zase požaduje robustní systémy řízení rizik specifické pro AI systémy (článek 9), které musí identifikovat, analyzovat a zmírňovat rizika spojená s AI, jako je zaujatost, nedostatek transparentnosti nebo bezpečnostní zranitelnosti. Mnoho z těchto AI rizik má kybernetickou povahu (např. útoky na trénovací data, otravy dat, modely). Firma může integrovat své stávající frameworky pro řízení kybernetických rizik dle NIS2 a rozšířit je o AI-specifické aspekty, čímž vznikne jednotný a komplexní systém řízení rizik.

Další významnou synergií je oznamování incidentů. NIS2 klade důraz na včasné oznamování kybernetických incidentů. AI Act doplňuje tuto povinnost o požadavek na oznamování závažných incidentů nebo nefunkčností vysoce rizikových AI systémů (článek 50), které vedou k úmrtí, vážné újmě na zdraví, vážné újmě na majetku nebo vážnému narušení demokracie, právního státu nebo základních práv. Mnoho takových incidentů AI bude mít kybernetický rozměr (např. narušení AI systému hackerem). Integrace procesů pro detekci, analýzu a oznamování incidentů pod jednu střechu může dramaticky zefektivnit reakci a zajistit, že všechny relevantní požadavky budou splněny. Využití stávajících kanálů pro reportování NIS2 pro AI Act incidenty šetří čas i zdroje.

Praktické kroky pro efektivní dvojí compliance

Zvládnutí dvojí regulace – NIS2 a AI Act – vyžaduje strategický a integrovaný přístup. Namísto vnímání obou nařízení jako samostatných břemen je efektivnější hledat synergie a budovat jednotný systém compliance. Prvním krokem je detailní posouzení stávajících procesů kyberbezpečnosti dle NIS2 a identifikace, které AI systémy spadají pod vysoké riziko dle AI Act.

Klíčovým prvkem je vytvoření integrovaného systému řízení rizik. Již zavedený systém řízení kybernetické bezpečnosti (ISMS) dle NIS2 by měl být rozšířen o specifické požadavky AI Act. To zahrnuje identifikaci a hodnocení AI-specifických rizik (např. zaujatost dat, robustnost modelu, vysvětlitelnost) a implementaci opatření k jejich zmírnění. Dokumentace rizik a bezpečnostních opatření by měla být centralizovaná a pravidelně aktualizovaná, aby odrážela jak kybernetické, tak AI rizika.

Dále je nezbytné sjednotit procesy pro řešení a oznamování incidentů. Incident response plán by měl být navržen tak, aby efektivně pokrýval jak kybernetické incidenty (dle NIS2), tak závažné incidenty související s AI systémy (dle AI Act, článek 50). To znamená definovat jasné role a odpovědnosti, komunikační kanály a postupy pro eskalaci a reportování příslušným orgánům. Pravidelné testování a cvičení těchto integrovaných plánů pomůže zajistit jejich funkčnost v reálných situacích. Pro další informace o technické dokumentaci se podívejte na náš článek /blog/ai-act-technical-documentation.

Nezapomeňte na školení a osvětu. Zaměstnanci musí být informováni o požadavcích obou nařízení a o tom, jak se promítají do jejich každodenní práce. Vzdělávání v oblasti AI literacy a kyberbezpečnosti je klíčové pro budování kultury compliance a odpovědnosti. Nakonec, zvažte využití automatizovaných nástrojů a platforem, které mohou pomoci s monitorováním, dokumentací a řízením compliance napříč oběma nařízeními, čímž se sníží administrativní zátěž a riziko lidské chyby.

Závěr: Od výzvy k příležitosti

Dvojí regulace v podobě NIS2 a AI Act představuje pro technologické firmy, zejména ty v kritické infrastruktuře, významnou výzvu. Není to však jen břemeno, ale také příležitost k posílení celkové odolnosti, inovaci a budování důvěry v digitální služby a systémy umělé inteligence. Proaktivní a integrovaný přístup k compliance umožní firmám nejen vyhnout se vysokým pokutám, ale také získat konkurenční výhodu na trhu.

Efektivní správa kyberbezpečnosti a odpovědného nasazení AI je dnes nezbytností. AIshield.cz vám pomůže s komplexním řešením pro AI Act compliance, od skenování vašich webových stránek a AI systémů až po automatizaci dokumentace a řízení rizik. S námi budete připraveni na budoucnost, kde se technologie a regulace prolínají.

Chcete zjistit, jak jsou vaše webové stránky připraveny na AI Act a jaká data shromažďují? Využijte náš bezplatný sken webu a získejte okamžitý přehled.

Související články

• Více o rizicích AI systémů
• Přečtěte si o článku 50 AI Act
• Bezplatný sken webu