Keturi rizikos lygiai
ES DI aktas nustato rizika pagrįstą DI programų klasifikavimo sistemą. Nepriimtinos rizikos sistemos yra visiškai draudžiamos, įskaitant socialinį vertinimą vyriausybių, biometrinį identifikavimą realiuoju laiku viešose erdvėse (su siauromis išimtimis) ir manipuliavimo technikas, išnaudojančias pažeidžiamumus. Didelės rizikos sistemoms taikomi griežti reikalavimai – tai apima DI, naudojamą kritinėje infrastruktūroje, švietime, užimtume, esminėse paslaugose, teisėsaugoje ir imigracijoje. Ribotos rizikos sistemos privalo atitikti skaidrumo įsipareigojimus. Minimalios rizikos sistemos, apimančios daugumą DI programų, neturi specifinių reguliacinių reikalavimų.
Didelės rizikos klasifikavimo kriterijai
DI sistema klasifikuojama kaip didelės rizikos, jei ji patenka į specifines naudojimo kategorijas, apibrėžtas Akto III priede, arba jei ji yra produkto saugos komponentas, kuriam taikomi esami ES harmonizavimo teisės aktai. Didelės rizikos sistemos privalo įdiegti rizikos valdymo sistemą, palaikyti aukštos kokybės mokymo duomenis su tinkamu valdymu, teikti techninę dokumentaciją, įgalinti registravimą ir atsekamumą, užtikrinti skaidrumą ir žmogaus priežiūrą bei demonstruoti tikslumą, tvirtumą ir kibernetinį saugumą. Teikėjai privalo atlikti atitikties vertinimus ir registruoti sistemas ES duomenų bazėje prieš pateikdami jas rinkai.
Įmonės atitikties strategija
Organizacijos turėtų pradėti nuo išsamaus visų DI sistemų inventorizavimo ir kiekvienos priskirimo atitinkamai rizikos kategorijai. Didelės rizikos sistemoms sukurkite atitikties sistemas, apimančias visus privalomus reikalavimus, įskaitant dokumentaciją, testavimą, stebėjimą ir žmogaus priežiūrą. Ugdykite vidinę kompetenciją klasifikavimo kriterijų srityje ir sekite Europos DI biuro įgyvendinimo aktus bei gaires. Ankstyvasis dalyvavimas klasifikavimo procese padeda išvengti brangių retroaktyvių atitikties pastangų ir suteikia organizacijai konkurencinį pranašumą reguliuojamose rinkose.