Europar erregulazioen hiru zutabeak
Europar enpresek segurtasun digital, datuen babes eta adimen artifizialari buruzko araudien pilaketa aurrekaririk gabea bizi dute. NIS2 Zuzentarauak funtsezko eta garrantzitsuzko entitateentzako zibersegurtasun-eskakizunak zorrozten ditu. DBEOk, indarrean jarri eta urte batzuk igaro ondoren, erronkak sortzen jarraitzen du — bereziki AA sistemen bidezko datuen tratamenduaren testuinguruan. Eta AA Legeak araudi-kategoria guztiz berri bat sartzen du, AA sistemak arrisku-mailaren arabera sailkatuz eta beren sortzaile eta erabiltzaileei betebeharrak ezarriz.
Adimen artifiziala erabiltzen duten enpresentzat, hiru araudi hauek betetze-esparru koherente baina eskatzaile bat sortzen dute. Horietako edozein alde batera uzteak erakundea finantza-zigorren, ospe-kalteen eta jarduera-eremuetan debeku izateko arriskuari erakusten dio.
NIS2 — Zibersegurtasuna lege-betebehar gisa
NIS2 Zuzentarauak zibersegurtasun-eskakizunen menpeko entitateen irismena zabaltzen du. Funtsezko sektoreetan (energia, garraioa, osasuna, finantza, azpiegitura digitala) eta garrantzitsuzko sektoreetan (manufaktura, posta-zerbitzuak, elikadura, kimikak) dauden enpresek zibersegurtasuneko arrisku-kudeaketa neurri integralak inplementatu behar dituzte.
Praktikan, honek derrigorrezko eskakizuna esan nahi du: arrisku-analisi politikak, gorabehera-kudeaketa prozedurak, negozio-jarraipen planak, hornidura-katearen segurtasuna, aldizkako ikuskaritzak eta gorabeheren berri ematea agintari eskudunei 24 orduren barruan. Betetze ezagatiko zigorrak 10 milioi eurora edo urteko fakturazioaren %2ra iritsi daitezke.
Nola prestatu NIS2rako
NIS2 betetze-ikuskaritza da lehen urratsa — egungo segurtasun-jarraren eta zuzentarauaren eskakizunen arteko hutsuneei identifikatzea. Ondoren, lehentasunekin zuzentzeko plana eraikitzea: kritikoetatik (gorabehera-prozedurak, babeskopiak) estrategikoetara (SIEM, SOC, etengabeko monitorizazioa). Halaber, egoera etengabe egiaztatzen eta desbideratzeei buruz alertatzen duen betetze-monitorizazioa inplementatzea ezinbestekoa da.
DBEO adimen artifizialaren aroan
DBEO 2018tik dago indarrean, baina AA sistemen bidezko datu pertsonalen tratamenduak erronka berriak sortzen ditu. Hizkuntza-ereduek datu pertsonalak dituzten mezu elektronikoak, dokumentuak eta gutuneria prozesatzen dituzte — izenak, helbideak, identifikazio-zenbakiak. Babes egokirik gabe, AA eredu bati egindako kontsulta bakoitzak DBEO urraketa bat izan daiteke.
Irtenbidea datu pertsonalen anonimizazio automatikoa da AA ereduek prozesatu aurretik. PII anonimizaziorako tresna dedikatuek datu sentikorrak detektatzen eta maskaratzen dituzte denbora errealean, token itzulgarriekin ordezkatuz. AA ereduak datu anonimizatuak prozesatzen ditu, eta jatorrizko balioak azken irteeran soilik berrezartzen dira — erabiltzaile baimenduei soilik ikusgai.
AA Legea — Arrisku-sailkapena eta betebeharrak
AA Legeak AA sistemak lau arrisku-kategoriatan sailkatzen ditu: onartzezina (debekatua), altua (eskakizun zorrotzak), mugatua (gardentasun-betebeharrak) eta minimoa (eskakizun gehigarririk gabe). Enpresako AA aplikazio gehienak — GB, kreditu-puntuazioa, diagnostiko medikoak — arrisku altu gisa sailkatuko dira.
Arrisku handiko sistemek eskakizunak bete behar dituzte: entrenamendu-datuen kalitatea, dokumentazio teknikoa, erabiltzaileekiko gardentasuna, giza gainbegiratzea, zehaztasuna eta zibersegurtasuna. AA ikuskaritza beharrezkoa bihurtzen da — ikuspegi teknikotik ez ezik, etiko eta juridikotik ere.
Betetze-bermea ikuspegi integralarekin
NIS2, DBEO eta AA Legea hiru proiektu bereizi gisa tratatu beharrean, betetze-esparru integratu bat eraikitzea komeni da. Eskakizun askok gainjartzen dira: arrisku-kudeaketa, ikuskaritzak, dokumentazioa, monitorizazioa, gorabehera-txostenak. Ikuspegi bateratuak kostuak murrizten ditu eta bikoiztasunak ezabatzen ditu. Araudi-aldaketen monitorizazio erregularrak erakundea une oro eguneratuta mantentzen du — ez ikuskaritza momentuan soilik, baizik urte osoan zehar.