Elfogadta az EU a mesterséges intelligenciáról szóló törvényt

A Nemzeti Kibervédelmi Intézet tájékoztatója

Az Európai Unió törvényhozói jóváhagyták a mesterséges intelligenciáról szóló törvényt, amely garantálja a biztonságot és az alapvető jogok betartását, miközben ösztönzi az innovációt. Így a világelső szabályok még az idén hatályba léphetnek.
Az Európai Parlamentben szavaztak a mesterséges intelligenciáról szóló törvény mellett, öt évvel azután, hogy először javasolták a szabályozást. A mesterséges intelligenciáról szóló törvény várhatóan globális útjelzőként fog működni más kormányok számára, amelyek azzal küzdenek, hogyan szabályozzák a gyorsan fejlődő technológiát.

A rendelet célja, hogy megvédje az alapvető jogokat, a demokráciát, a jogállamiságot és a környezeti fenntarthatóságot a magas kockázatú mesterséges intelligenciával szemben, miközben fellendíti az innovációt és vezető szerepet biztosít Európának ezen a területen. A rendelet a mesterséges intelligenciára vonatkozó kötelezettségeket állapít meg a potenciális kockázatok és a hatás mértéke alapján.

Számos uniós rendelethez hasonlóan a mesterséges intelligenciáról szóló törvényt is eredetileg fogyasztóvédelmi jogszabályként kívánták alkalmazni, “kockázatalapú megközelítést” alkalmazva a mesterséges intelligenciát alkalmazó termékekkel és szolgáltatásokkal kapcsolatban.

Minél kockázatosabb egy mesterséges intelligencia alkalmazás, annál nagyobb ellenőrzésnek kell alávetni. Az AI rendszerek túlnyomó többsége várhatóan alacsony kockázatú lesz, mint például a tartalomajánló rendszerek vagy a spamszűrők.
A magas kockázatú mesterséges intelligencia alkalmazására, például az orvosi eszközökben vagy a kritikus infrastruktúrában, például a víz- vagy elektromos hálózatokban, szigorúbb követelmények vonatkoznak.

A mesterséges intelligencia egyes felhasználási módjai tiltottak, mert elfogadhatatlan kockázatot jelentenek, mint például az emberek viselkedését szabályozó szociális pontozási rendszerek, a prediktív rendőri ellenőrzés egyes típusai és az iskolai és munkahelyi érzelemfelismerő rendszerek.

További tiltott felhasználási módok közé tartozik a rendőrség által a nyilvánosság előtt végzett arcszkennelés a mesterséges intelligenciával működő távoli “biometrikus azonosítási” rendszerek segítségével, kivéve az olyan súlyos bűncselekmények esetében, mint az emberrablás vagy a terrorizmus.

Az AI által generált, létező emberekről, helyekről vagy eseményekről készült deepfake képeket, videókat vagy hangfelvételeket mesterségesen manipuláltnak kell jelölni.
A legnagyobb és legerősebb, “rendszerszintű kockázatot” jelentő mesterséges intelligenciamodelleket, köztük az OpenAI legfejlettebb rendszerét, a GPT4-et és a Google Gemini-t is fokozottan ellenőrzik.
Brüsszel először 2019-ben tett javaslatot a mesterséges intelligenciára vonatkozó szabályozásra. A mesterséges intelligenciáról szóló törvény várhatóan májusban vagy júniusban válik hivatalosan is jogszabállyá. A rendelkezések fokozatosan lépnek majd hatályba. Az általános célú mesterséges intelligencia-rendszerekre, például a chatbotokra vonatkozó szabályokat a jogszabály hatályba lépése után egy évvel kezdik alkalmazni. 2026 közepére a teljes szabályrendszer hatályba lép.
Ami a jogérvényesítést illeti, minden uniós ország létrehozza majd a saját mesterséges intelligencia felügyeleti szervét, ahol a polgáraik panaszt tehetnek. Eközben Brüsszel létrehoz egy AI hivatalt, amelynek feladata az általános célú AI rendszerekre vonatkozó jogszabályok végrehajtása és felügyelete lesz.


NIS2 – Európai Uniós szintű kiberbiztonsági irányelv

Célja, hogy a tagállamok egységes, magas szintű kiberbiztonsági szintet érjenek el, továbbá hogy a kritikus szektorokban működő és szolgáltatásokat nyújtó köz- és magánszereplők megfelelő ellenálló képességét növelje és incidenskezelési készségét bővítse.
Az EU 2022/2555 számú irányelveként fogadták el és 2023-ban lépett hatályba. A NIS2 direktíva, tehát nem közvetlenül hatályos, hanem minden tagállamnak el kell végeznie a lokális törvényalkotási munkát. Magyarországon a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szabályozza.

Kiket érint?

Olyan iparágakat von hatálya alá, amelyek szereplőinek eddig törvényi megfelelőségi okokból nem kellett ennyire hangsúlyosan információbiztonsággal foglalkozniuk.

Kritikussági szint szerint két kategóriába sorolhatóak az érintett szervezetek:

• A „Kiemelten kritikus” kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.

• A törvény az „Egyéb kritikus” ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.

Időbeliség:
A NIS2 direktíva 2023. január 03-án lépett hatályba, a 2023. XXIII. törvényt 2023. május 23-án hirdették ki.
A 2023. XXIII. törvénynek való megfelelés határideje 2024. október 28., melynek ellenőrzését, és nem megfelelőség esetén a szankcionálást a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja végezni.

• Amennyiben az adott szervezet úgy ítéli meg, hogy a Kibertan. Tv., hatálya alá tartozik, legkésőbb 2024. június 30-ig nyilvántartásba kell venniük magukat a 23/2023. (XII. 19.) SZTFH rendelet alapján. A nyilvántartási kérelem az SZTFH honlapján elérhető űrlap kitöltésével, cégkapun keresztül egyszerűen végrehajtható.

• 2024. október 18-ig kell kialakítani egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert.

• Legkésőbb 2024. október 18-ig, vagy a nyilvántartásba vételt követő 120 napon belül auditori szerződéssel kell rendelkezzen az érintett szervezet.

• A független audit lefolytatására 2025. december 31-ig van lehetősége a vállalatoknak.

Mit kell tenni?
A NIS2 és a Kibertan. Tv. Alapvetően információbiztonsági elvárásokat fogalmaz meg a szervezetekkel szemben. Leegyszerűsítve, egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. A törvénynek való megfelelést kétévente független féllel kell auditáltatni.

Miért kulcsfontoságú a megfelelés?
Cél: csökkenteni a kiberfenyegetések, támadások és a digitális bűnözés kockázatait, valamint minimalizálni a működéskieséseket és a támadások által okozott gazdasági és társadalmi károkat.
A NIS2 irányelv és a 2023. évi XXIII. törvény büntetési tételeket is megfogalmaz:
• Kiemelten Kritikus szervezetek esetén maximum 10.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 2%-a
• Kritikus szervezetek esetén maximum 7.000.000 EUR vagy előző pénzügyi évi globális éves forgalma teljes összegének 1,4%-a
Az elvárások nem teljesítése esetén a kiszabott bírságok újból kiszabhatóak. A hazai büntetési tételek egyelőre nem ismertek.

A cyberkockázatokra ajánlott cyberbiztosítás megkötése.
Kérem, írjon nekünk:
info@hungarorisk.hu