EUs planlagte nye regelverk for kunstig intelligens, AI Act, er på mange måter kunstig intelligens (KI) sitt svar på GDPR. Vi som var med på den innføringen, husker fortsatt hvor mye tid som gikk med til å begrunne, dokumentere og endre bruk av persondata i ulike systemer i tiden frem mot 25. mai 2018. AI Act vil også kreve et lignende arbeid for alle eksisterende og fremtidige KI-systemer, med en viktig forskjell:
Systemer som er satt i drift før en gitt frist, får opptil flere år ekstra på å gjennomføre dette arbeidet. Hvis derimot et system settes i drift etter fristen, må dette arbeidet gjøres før man kan lansere det.
Dette er kravene du må oppfylle
For KI-system som kan klassifiseres som høy-risiko, må man blant annet dokumentere risikostyringssystemet, behandlingen av treningsdata og kvaliteten på responsen til systemet. Videre må man forberede detaljert teknisk dokumentasjon, skrive samsvarserklæring og få systemet CE-merket. En profesjonell aktør har nok mye av dette på plass gjennom GDPR og bransjestandarder som ISO 27001, men det er likevel mange nye krav å oppfylle.
Siden det fort kan være mange månedsverk med ekstraarbeid, er det neppe en overraskelse dersom lanseringene av KI-systemer kommer tett i månedene før fristene som er satt, og man får et hvileskjær i månedene etter. Man kan også tenke seg at prioriteringen mellom kvalitet og time-to-market påvirkes av deadlinen, siden man alltids kan «lappe sammen» ting i etterkant, før man tar fatt på AI Act-dokumentasjonen.
Kunstig intelligens møter ekte motstand
Fristene for KI-systemer
Hvilke datoer skal man så være obs på? AI Act er ikke endelig vedtatt, men den ventes å bli vedtatt før inneværende sesjon av EU-parlamentet utløper i juni. Medregnet litt tid til publisering i de offisielle journalene, kan vi altså ta utgangspunkt i sommeren i år for å gi en omtrentlig dato. Med litt finlesing av artiklene 111 og 113 i forordningen (det er litt å sette seg inn i), ser det ut til at dette er tidsfristene:
Årsskiftet 24/25: Seks måneder etter at regelverket er satt ut i livet, kommer forbudet mot systemene man ikke vil tillate i EØS. Dette er systemene som bevisst manipulerer borgere eller grupper av borgere, bedriver biometrisk sanntidsovervåking eller regner ut «sosial score». Her hjelper det ikke om de var lansert før denne datoen. De skal bort uansett.
Sommeren 2025: Etter 12 måneder begynner reglene å gjelde for KI-systemer som har begrenset risiko. Det kan være generelle chatboter og KI-generert innhold. Disse må blant annet opplyse om at det er brukt KI. Hvis systemet er lansert før denne datoen, får de to år ekstra til å innrette seg.
– Åpner for større risiko: Flere og flere tar i bruk «skygge-IT»
.jpg)
Sommeren 2026: Etter 24 måneder begynner alle reglene i AI Act å gjelde. Da slår også reglene inn for systemer som defineres til å ha høy risiko. Det kan for eksempel være systemer som overvåker kritisk infrastruktur eller kan vurdere søknader på lån, visum og lignende. Hvis systemet er lansert før denne datoen, må de kun innrette seg dersom systemet gjennomgår en signifikant endring i designet. Unntaket er hvis systemene benyttes av offentlige myndigheter. Da må de uansett innrette seg innen fire år etter denne datoen.
Sommeren 2027: Etter 36 måneder kommer fristen for to unntakstilfeller med høy risiko. Det ene er der KI brukes som en sikkerhetskomponent i regulerte varer, som medisinsk utstyr, biler og fly. Dette er fysiske gjenstander som ofte har lange utviklingsløp frem til produksjon, og her gis det ingen mulighet til å dokumentere i etterkant av fristen.
Det andre er EUs egne storskalasystemer for grensesikkerhet i Schengen, som for tiden er under utvikling. Systemene må være innrettet innen 31. desember 2030, uavhengig av når AI Act faktisk trer i kraft. Det at EU sikret en utvidet frist for sine egne prioriterte utviklingsprosjekter bør kanskje tas som et tegn på hvilken innvirkning fristen kan ha på fremdriften til et prosjekt.
Start planleggingen nå
Disse datoene bør inn i kalenderen, og noe man bør ta hensyn til i egen prosjektplanlegging. Både dersom du selv skal lansere noe KI-basert, og dersom virksomheten vurderer å kjøpe inn et system som blir lansert tett opp mot fristen.
De nye kravene til dokumentasjon bør følges opp fortløpende i utviklingsprosessen, slik at prosessen ikke går over fristen, og dermed ikke tvinger deg til å velge mellom redusert kvalitet og en enda større forsinkelse.
Hvem skal betale når tenkende maskiner feiler?
