חוק הבינה המלאכותית של האיחוד האירופי מגיע לשלב הסופי במסעו הארוך והמתפתל, מהצעת חקיקה לחוק בר אכיפה. הוא לקח זמן רב. החוק נכנס לתוקף ב-1 באוגוסט 2024, עם יישום מדורג שהוביל למועדים רבים במהלך החודשים והשנים שלאחר מכן. אלא אם כן... הצעת אומניבוס דיגיטלי יאושר בקרוב על ידי הפרלמנט האירופי, מועד אחרון מרכזי יגיע ב-2 באוגוסט 2026.
עסקים בריטיים המפתחים או משתמשים במערכות בסיכון גבוה באזור צריכים עד אז לסדר את ניהול הבינה המלאכותית שלהם. רגולטורים ירצו לראות ראיות לשליטה, לא רק הצהרות על תאימות. עבור ארגונים מסוימים, זה עשוי לדרוש שינוי תרבותי משמעותי. אבל סטנדרטים פרגמטיים של שיטות עבודה מומלצות כמו ISO 42001 יכולים להביא אותם לשם.
הסיפור עד כה
מאז אישורו, נכנסו לתוקף היבטים שונים של החוק. הבולט ביותר הוא שבפברואר 2025 ראינו דרישות אוריינות חדשות לצוות נכנסות לתוקף, מבני ממשל כמו משרד הבינה המלאכותית ומועצת הבינה המלאכותית הושקו, ואיסור על מערכות בינה מלאכותית המהוות "סיכונים בלתי מקובלים". עם זאת, במסגרת הגישה מבוססת הסיכונים של החוק, זהו החלק הקל. כאשר מערכות המהוות סיכונים בלתי מקובלים נאסרות, וללא כללים חדשים עבור אלו הנחשבות כמציבות סיכון מינימלי או ללא סיכון כלל (למשל מסנני דואר זבל), המוקד עובר למערכות "מוגבלות" ו"בסיכון גבוה".
אלו שנחשבים כבעלי סיכון מוגבל (כמו צ'אטבוטים וכמה מחוללי דיפפייק) יצטרכו "להבטיח שבני אדם יקבלו מידע בעת הצורך כדי לשמר אמון", על פי ה- הנציבות האירופיתאבל דווקא מערכות בעלות סיכון גבוה הן אלו שבהן טמונים אתגרי התאימות הגדולים ביותר.
תחת מיקרוסקופ הציות
כפי שעשינו הוסבר בעברמערכות בסיכון גבוה הן אלו המשמשות בתחומים כמו זיהוי ביומטרי, מגזרים קריטיים כמו שירותי בריאות, חינוך ותעסוקה (שם החלטות בינה מלאכותית יכולות להשפיע על חייהם של אנשים) ותשתיות חיוניות (למשל רשתות אנרגיה ומערכות תחבורה). בין מקרי השימוש שהוועדה מציינת נמנים ניקוד בחינות, ניתוחים בסיוע רובוטים, מיון קורות חיים, ניקוד אשראי ותוכנה המשמשת לקבלת החלטות לגבי ויזה ולהכנת פסקי דין בבית משפט.
אלה יהיו כפופים להתחייבויות מחמירות לפני שניתן יהיה להוציאם לשוק, דהיינו:
- הערכת סיכונים מתמשכת והפחתת סיכונים
- מערכי נתונים באיכות גבוהה לאימון ובדיקה של הבינה המלאכותית
- רישום מפורט של פעילות ותיעוד
- מידע ברור שיש לספק לפורס (ארגונים המשתמשים במודלים)
- פיקוח אנושי הולם
- רמות גבוהות של "חוסן, אבטחה ודיוק"
התחייבויות אלו מסתבכות במידה מסוימת עקב הדרישות השונות הנדרשות מספקים (מפתחי מודלים), פורסים (משתמשים), יבואנים ומפיצים. אלו נשמעות ברורות על הנייר. אך פורס יסווג כספק אם הוא משנה באופן מהותי את המטרה המיועדת של מערכת. כדי לסבך את העניינים עוד יותר, ארגונים עשויים למלא יותר מתפקיד אחד בו זמנית. חשבו על עסק SaaS שלוקח מודל בסיס של צד שלישי, מכוון אותו עדין ולאחר מכן פורס אותו ללקוחות במספר תחומי שיפוט.
מתחילים עם נראות
כל זה הופך את ניהול הבינה המלאכותית לבלתי נתון למשא ומתן. אבל מה צריכה לכלול אסטרטגיית שיטות עבודה מומלצות, בשוק המתפתח במהירות זה? עבור מנכ"ל PSE Consulting, כריס ג'ונס, נראות צריכה להיות בראש סדר העדיפויות.
"עסקים רבים כבר משתמשים בבינה מלאכותית בדרכים קטנות ומפוזרות על פני פונקציות שונות, אך למעטים יש רשימה ברורה של היכן היא ממוקמת, אילו החלטות היא משפיעה והאם היא נופלת לקטגוריית סיכון גבוה", הוא אומר ל-IO (לשעבר ISMS.online). "נקודת המוצא צריכה להיות סקירה מובנית של מקרי שימוש בבינה מלאכותית, בעלות על הסיכונים הנלווים, וכיצד סיכונים אלה קשורים לחובות קיימות במסגרת מסגרות כמו GDPR ו-NIS2."
כאן הציות יכול להסתבך, עקב החובות החופפות של כל אחת מהן, אומר ניק ריד, מנהל האסטרטגיה הראשי של Bizzdesign.
"לדוגמה, מערכת בינה מלאכותית המעבדת נתונים אישיים בהקשר של תשתית קריטית יכולה להפעיל בו זמנית התחייבויות של GDPR, NIS2 וחוק בינה מלאכותית. כאשר ארגונים מתייחסים אליהם כמסלולי תאימות נפרדים, הם משכפלים מאמצים ועשויים להחמיץ את המאפיינים המשותפים המאפשרים יעילות רבה יותר בניהול תאימות", הוא אומר ל-IO.
"התמודדות עם זה דורשת נראות מבנית ברחבי הארגון. ארגונים זקוקים לראייה קוהרנטית של האופן שבו בינה מלאכותית, פעילויות עסקיות, נתונים ומערכות קריטיות מצטלבים; לא רק בהקשרים רגולטוריים בודדים אלא בכולם. ארכיטקטורת ארגון מספקת מודל סמנטי משותף כלל-ארגוני, המחבר מערכות בינה מלאכותית ליכולות, לתהליכים, לנתונים, לצדדים שלישיים ולחובות שהן נוגעות בהם באופן המאפשר ממשל מתואם במקום יוזמות מקוטעות שמשכפלות מאמצים."
השלב הבא עבור ארגונים עומדים בתקנות הוא להבין את מיקומם בשרשרת האספקה של בינה מלאכותית.
"ארגונים רבים מניחים שהם רק משתמשים בבינה מלאכותית, אך בפועל הם עשויים לפעול כמשלבים או כמפיצים ברגע שהם מתאימים אישית או מטמיעים מודלים בשירותים שלהם", אומר ג'ונס מחברת PSE Consulting. "זה משנה את חובותיהם ואת חשיפתם לסיכונים, ולכן מיפוי מוקדם של התפקידים הללו הוא חיוני."
ריד מ-Bizzdesign מסכים, וטוען כי הנראות הופכת שוב לחיונית.
"כדי לקבוע את התפקיד ולהעריך את החשיפה לסיכונים, ארגונים צריכים לראות כיצד מערכות בינה מלאכותית מתחברות לארגון הרחב יותר: אילו יכולות עסקיות הן תומכות, אילו תהליכים הן מאפשרות, לאילו נתונים הן ניגשות, ואילו ספקים מספקים אותן", הוא אומר.
"ללא נקודת מבט מקושרת זו, סיווג תפקידים נמצא בסיכון להתבסס על דעה ולא על עובדות. המבחן מגיע כאשר משהו משתנה. אם כלי של ספק מסווג מחדש כבעל סיכון גבוה או מוצא מהשוק, האם תוכלו לענות באופן מיידי אילו תהליכים תלויים בו, באילו נתונים הוא נוגע, האם קיימות חלופות, וכמה מהר תוכלו לפעול?"
גישה בוגרת עם ISO 42001
על מנת לבנות את הגמישות הדרושה להם כדי להישאר תאימים לתקנות תוך כדי שינויים רגולטוריים, סיווג מחדש של ספקים ושינויים אסטרטגיים, ארגונים חייבים לאמץ גישה מובנית ועקבית לממשל, ממשיך ריד. כאן ISO 42001 יכול לעזור.
"זה מנסח ציפיות בנוגע לניהול סיכונים, תיעוד, פיקוח ושיפור מתמיד לאורך מחזור החיים של הבינה המלאכותית", הוא אומר. "עבור ארגונים המנווטים את חוק הבינה המלאכותית של האיחוד האירופי לצד GDPR ו-NIS2, מסגרות כמו ISO 42001 עוזרות לתרגם דרישות רגולטוריות לתהליכים חוזרים שצוותי תאימות וסיכונים יכולים ליישם בביטחון."
ניק קיירינוס, מנכ"ל ומייסד שותף של RAIDS AI, משתף סיבות פרקטיות יותר מדוע ISO 42001 יכול לעזור.
"האיחוד האירופי פיתח טיוטת תקן אירופאי המתייחסת ספציפית לדרישות סעיף 17 לחוק, המחייב מערכות ניהול איכות (QMS) עבור ספקי בינה מלאכותית בסיכון גבוה: prEN 18286 "(בינה מלאכותית - מערכת ניהול איכות למטרות רגולטוריות של חוק הבינה המלאכותית של האיחוד האירופי)", הוא אומר ל-IO.
"לארגונים בעלי הסמכת ISO 42001 קיימת יש יתרון משמעותי בכל הנוגע לציות לחוק הבינה המלאכותית של האיחוד האירופי, שכן הוא מספק את הבסיס התפעולי ל-prEN 18286. עם חזקת התאימות, ארגונים המיישמים את prEN 18286 יכולים להניח שהם עומדים בהתחייבויות סעיף 17 - ולכן על זה חברות צריכות להתמקד."
המטרה לא צריכה להיות להתחיל מאפס, אלא להרחיב את הבקרות והמודלים הרלוונטיים הקיימים של אבטחת מידע לתחום הבינה המלאכותית, אומר ג'ונס מ-PSE Consulting.
"הארגונים שיסתגלו בצורה המוצלחת ביותר הם אלו שמתייחסים לבינה מלאכותית אמינה כאל דיסציפלינה תפעולית ולא כאל תרגיל ציות", הוא מסכם. "אם אתם יודעים היכן נמצאת הבינה המלאכותית שלכם, למי היא הבעלים, וכיצד היא מתנהגת כשדברים משתבשים, אתם כבר בדרך הנכונה לעמידה במטרת הרגולציה."
עם קנסות פוטנציאליים בגין אי ציות המגיעים ל-15 מיליון אירו (13 מיליון ליש"ט) או 3% מהמחזור השנתי העולמי, אין זמן לחכות.
