Šta 'EU AI Act' propisuje: Obaveze monitoringa, kontrole i bezbednosti AI sistema

Ovaj pregled objašnjava kada se obaveze primenjuju, šta konkretno znači monitoring, koje bezbednosne mere zakon propisuje i kako specijalizovane firme mogu preuzeti AI usklađivanje za klijente.

Kada se primenjuju obaveze monitoringa i kontrole

EU AI Act ne tretira sve AI sisteme jednako – već primena obaveza zavisi od nivoa rizika:

Visokorizični AI sistemi podlaze najstrožim pravilima. Tu spadaju npr. sistemi u medicini, zapošljavanju, obrazovanju, kritičnoj infrastrukturi, pravosuđu i dr.

Korisnici (deployeri) i pružaoci (provideri) ovih sistema imaju različite, ali međusobno povezane obaveze.

Obaveze za deployere visokorizičnih AI sistema

Deployeri moraju:

koristiti sistem isključivo u skladu sa uputstvima proizvođača

obezbediti ljudski nadzor kroz obučeno i ovlašćeno lice

prikupljati i čuvati automatski generisane logove najmanje 6 meseci

obustaviti upotrebu i obavestiti provajdera i nadležne organe kada otkriju rizik ili neispravnost

Obaveze za provajdere (proizvođače) visokorizičnih AI sistema

Provajderi moraju:

uspostaviti post-market monitoring sistem, proporcionalan vrsti rizika

kontinuirano prikupljati, dokumentovati i analizirati podatke o radu sistema

izraditi i održavati plan post-market monitoringa u tehničkoj dokumentaciji

obezbediti mehanizme za ažuriranja, kontrolu kvaliteta i upravljanje rizicima tokom celog životnog veka sistema

Šta znači monitoring i kontrola prema EU AI Act-u

Monitoring obuhvata:

praćenje funkcionisanja sistema u realnom okruženju

otkrivanje potencijalnih grešaka, degradacije performansi i novih rizika

proveru usklađenosti sa tehničkim i bezbednosnim zahtevima

dokumentovanje i čuvanje svih relevantnih tehničkih zapisa

saradnju sa nadležnim telima i prijavljivanje incidenata

Drugim rečima, kontinualni nadzor više nije preporuka – već zakonska obaveza.

Bezbednosne i sigurnosne mere prema EU AI Act-u

Zakon uvodi nekoliko ključnih kategorija zaštite:

1. Robustnost, tačnost i sajberbezbednost (Article 15)

Visokorizični sistemi moraju biti:

tačni, stabilni i pouzdani

otporni na napade poput data poisoning-a, model manipulation-a i adversarial napada

projektovani sa fail-safe mehanizmima i procedurama za reagovanje

2. Post-market monitoring i incident reporting (Articles 72–73)

Provajderi moraju:

pratiti sistem tokom celog životnog ciklusa

identifikovati nove rizike ili promene u okruženju

prijaviti ozbiljne incidente državnim organima

3. Zabranjene AI prakse (Article 5)

Zakon zabranjuje sisteme koji:

manipulišu ljudima putem podsvesnih tehnika

eksploatišu ranjivosti određene grupe

vrše socijalno bodovanje

izvode masovno, neciljano biometrijsko nadziranje

analiziraju emocije u radnim i obrazovnim okruženjima

4. Posebni uslovi za visokorizične sisteme

Pre nego što se ovakav sistem stavi na tržište, mora imati:

procenu rizika

tehničku i organizacionu dokumentaciju

ljudsku superviziju

plan monitoringa i mehanizme izveštavanja

sertifikaciju (kada je propisana)

5. Institucionalni okvir

EU uvodi:

nacionalna nadzorna tela

centralni evropski AI Office

koordinaciju i nadzor nad primenom zakona u svim državama članicama

6. Kazne

Za najteže povrede zakona kazne mogu dostići i preko 7% globalnog godišnjeg prihoda kompanije.

Kako firme mogu ispuniti obaveze – primer usluge CompliAI / Lexai

Specijalizovane kompanije, poput CompliAI (Lexai), preuzimaju kompletnu usklađenost sa EU AI Act-om za svoje klijente. To uključuje:

identifikaciju i klasifikaciju AI sistema

kontinuirani tehnološki i operativni monitoring

prikupljanje i arhiviranje logova

procene rizika (AI risk assessments)

ljudsku superviziju i upravljanje incidentima

dokumentaciju i pripremu za sertifikaciju

sprovođenje post-market monitoringa u skladu sa zakonom

Za kompanije koje ne žele same da organizuju AI compliance, ovo predstavlja najefikasnije rešenje.

Autor: D.Bošković