Tri stupa digitalnih propisa u Europi
Europska poduzeća suočena su s neviđenom akumulacijom propisa o digitalnoj sigurnosti, zaštiti podataka i umjetnoj inteligenciji. Direktiva NIS2 pooštruje zahtjeve kibernetičke sigurnosti za ključne i važne subjekte. GDPR, godinama nakon stupanja na snagu, nastavlja stvarati izazove — posebno u kontekstu obrade podataka AI sustavima. A AI Act uvodi potpuno novu kategoriju regulacije, klasificirajući AI sustave prema razini rizika i nameće obveze njihovim tvorcima i korisnicima.
Za tvrtke koje koriste umjetnu inteligenciju, ove tri regulative stvaraju kohezivan ali zahtjevan okvir usklađenosti. Ignoriranje bilo koje od njih izlaže organizaciju financijskim kaznama, reputacijskoj šteti i zabrani poslovanja u određenim područjima.
NIS2 — kibernetička sigurnost kao zakonska obveza
Direktiva NIS2 proširuje opseg subjekata podložnih zahtjevima kibernetičke sigurnosti. Tvrtke u ključnim sektorima (energetika, promet, zdravstvo, financije, digitalna infrastruktura) i važnim sektorima (proizvodnja, poštanske usluge, hrana, kemikalije) moraju implementirati sveobuhvatne mjere upravljanja rizicima kibernetičke sigurnosti.
U praksi to znači obvezni zahtjev za: politikama analize rizika, postupcima upravljanja incidentima, planovima poslovnog kontinuiteta, sigurnošću lanca opskrbe, redovitim revizijama i prijavljivanjem incidenata nadležnim tijelima unutar 24 sata. Kazne za nepoštivanje dosežu do 10 milijuna EUR ili 2% godišnjeg prometa.
Kako se pripremiti za NIS2
Revizija usklađenosti s NIS2 je prvi korak — identificiranje nedostataka između trenutnog sigurnosnog položaja i zahtjeva direktive. Zatim slijedi izgradnja plana sanacije s prioritetima: od kritičnih (procedure za incidente, sigurnosno kopiranje) do strateških (SIEM, SOC, kontinuirano praćenje). Također je bitno implementirati praćenje usklađenosti koje kontinuirano provjerava stanje i upozorava na odstupanja.
GDPR u doba umjetne inteligencije
GDPR je na snazi od 2018., ali obrada osobnih podataka kroz AI sustave stvara nove izazove. Jezični modeli obrađuju e-poštu, dokumente i prepisku koja sadrži osobne podatke — imena, adrese, identifikacijske brojeve. Bez odgovarajućih zaštitnih mjera, svaki upit AI modelu može predstavljati kršenje GDPR-a.
Rješenje je automatska anonimizacija osobnih podataka prije obrade AI modelima. Namjenski alati za anonimizaciju PII otkrivaju i maskiraju osjetljive podatke u stvarnom vremenu, zamjenjujući ih reverzibilnim tokenima. AI model obrađuje anonimizirane podatke, a izvorne vrijednosti vraćaju se samo u konačnom izlazu — vidljive samo ovlaštenim korisnicima.
AI Act — klasifikacija rizika i obveze
AI Act klasificira AI sustave u četiri kategorije rizika: neprihvatljivi (zabranjeni), visoki (strogi zahtjevi), ograničeni (obveze transparentnosti) i minimalni (bez dodatnih zahtjeva). Većina enterprise AI aplikacija — HR, kreditno bodovanje, medicinska dijagnostika — bit će klasificirana kao visoki rizik.
Sustavi visokog rizika moraju ispunjavati zahtjeve koji se tiču: kvalitete podataka za obuku, tehničke dokumentacije, transparentnosti prema korisnicima, ljudskog nadzora, točnosti i kibernetičke sigurnosti. AI revizija postaje nužnost — ne samo s tehničkog aspekta, već i s etičkog i pravnog stajališta.
Sveobuhvatan pristup usklađenosti
Umjesto tretiranja NIS2, GDPR-a i AI Acta kao tri odvojena projekta, vrijedi izgraditi integrirani okvir usklađenosti. Mnogi zahtjevi se preklapaju: upravljanje rizicima, revizije, dokumentacija, praćenje, prijavljivanje incidenata. Jedinstven pristup smanjuje troškove i eliminira dupliciranje. Redovito praćenje regulatornih promjena osigurava da organizacija uvijek bude u toku — ne samo u trenutku revizije, već kroz cijelu godinu.