Блог DFCenter

ЕСжовые рукавицы

Европейские органы под конец года решили приготовить подарков всему работающему в и на Евроcоюз IT-бизнесу. И наделали новых законов, в самых трендах – про инфобез (не путать с инфобизом) и про тот самый ИИ. И там наверчено не хуже GDPR. В общем делать что-то айтишное на рынок Европы скоро будет тем еще интересным упражнением, для гурманов, так сказать. Но давайте к сути.

Закон о киберустойчивости, он же Закон о кибербезопасности цифровых продуктов, он же Cyber Resilience Act. В нем про установление обязательных требований по кибербезопасности для всех продуктов, программного обеспечения и прочего SaaS’a на рынке ЕС. Если есть в продукте «цифровые элементы» – добро пожаловать в клуб. Конечно будет градация рисков, но набор минимальных требований будет ко всем.

Из наиболее интересного:

  • сообщать куда следует о случившихся инцидентах ИБ, обо всех обнаруженных уязвимостях и «неисправностях продуктов»
  • самостоятельно проводить предварительную оценку ИБ-рисков и сообщать, какие требования безопасности могут применяться к их продукту
  • оказывать пользователям ИБ-поддержку в течение не менее 5 лет если сам продукт живет больше этого срока
  • обеспечить, чтобы любое обновление ИБ-составляющей в продукте было доступно пользователям в течение 10 лет (десяти, Карл, лет) или оставшегося периода поддержки, в зависимости от того, какой срок больше
  • проводить аудит ИБ «критически важных» продуктов (типа антивирусов и VPN) в сертифицированной организации

Кто из российских юристов в теме КИИ, тот увидит много схожего. Но это же КИИ, а не все-все-все, у кого этот самый элемент цифровой и у кого продукт «прямо или косвенно подключен к какому-либо другому устройству или сети передачи данных».

Закон о регулировании искусственного интеллекта, он же Artificial intelligence act. Это «первый в мире закон, регулирующий сферу ИИ» и «нечто большее, чем свод правил, это стартовая площадка для европейских стартапов и исследователей в глобальной гонке в сфере ИИ». Настолько важная тема, что аж целый Еврокомиссар по вопросам внутренней торговли и услуг Тьерри Бретон вночи написал в той самой соцсети Х: «Есть! ЕС стал самым первым среди континентов, кто установил четкие правила использования ИИ». Очень радуется, сразу видно. Возможно еще и тому, что ЕС теперь «континент».

Из наиболее интересного:

  • будут правила использования ИИ системах распознавания лиц, предиктивной аналитики, генеративного ИИ, беспилотных автомобилей и т.п.
  • запрещено использование систем распознавания лиц и других систем «удаленной биометрической идентификации» в режиме реального времени в общественных местах
  • запрещено распознавание эмоций и использование полицией систем предиктивной аналитики для профилактики правонарушений. Исключение – в некоторых конкретных случаях, например при угрозе теракта, для поиска жертв или в рамках расследования тяжкого преступления
  • опять же разделение всех систем с ИИ по уровню риска — от низкого до неприемлемого
  • будет жесткое регулирование генеративного ИИ, в частности, чат-ботов, таких как ChatGPT
  • от ген-ИИ потребуют объясниться, какие защищенные авторским правом книги, музыкальные произведения, картины и прочее использовались при обучении
  • штрафы до €30 млн или 6% годовой глобальной выручки компании-нарушителя

В общем что тут сказать, ждем новых интересных дел и кейсов для IT-юристов. GDPR освоили-переварили как-то – и с этим так же будет. А для понимания и доказывания, что там у компаний на самом деле внутри их IT-продуктов и ИИ-разработок и как это соотносится с требованиями закона очень пригодятся технические навыки в экспертизе и аналитике, которые у нас тоже имеются.