EY označuje globální organizaci a může se vztahovat na jednu nebo více členských firem Ernst & Young Global Limited, z nichž každá je samostatným právním subjektem. EYG, britská společnost s ručením omezeným, neposkytuje služby klientům.
Zobrazit všechny výsledky pro
'
'
Nebyly nalezeny žádné výsledky
Obecné
Zobrazit všePeople
Zobrazit všePoslední hledání
Populární
-
Blahoslav Němeček: Velké podniky musí kvůli zastropování cen energií zohlednit limity majetkového prospěchu
19 čvc 2024 EY -
Práce s daty, AI i nová očekávání. Jak zvládnout přerod výrobního průmyslu
01 srp 2024 EY -
Jan Pich: Umělá inteligence je pouze tak dobrá, jaká jsou data, na nichž je vyškolena
09 lis 2023 Technology
V červnu 2024 se londýnské nemocnice a ordinace staly terčem kybernetického útoku ransomwaru, který způsobil značné narušení zdravotnických služeb. Útok ochromil 90 % kapacity pro krevní testy, což si vynutilo přesměrování stovek pacientů na operace a vyšetření do jiných zařízení. Tato událost nejen zdůrazňuje bezprostřední nebezpečí kybernetických hrozeb, ale slouží také jako jasný příklad širších rizik spojených se stále propojenějšími a inteligentnějšími technologiemi, včetně těch řízených umělou inteligencí (AI).
Složitost a sofistikovanost AI signalizuje novou éru technologického pokroku, která s sebou nese obrovský potenciál, ale i rizika. Mohla by vést k transformaci v oblastech jako je zaměstnanost, kde automatizace může vést k zániku některých pracovních pozic. Další oblastí je soukromí, shromažďování a analýza dat s pomocí AI vyvolává otázky ohledně ochrany osobních údajů. Zneužití AI k škodlivým účelům, například k šíření dezinformací, představuje bezpečnostní hrozbu. Rozhodování AI v oblastech jako je zdravotnictví vyžaduje důkladné etické zvážení. Vlády si uvědomují nutnost regulovat vývoj a nasazení AI, aby se podpořily inovace a zároveň se minimalizovala rizika pro jednotlivce i společnost.
Nástup AI a s ním spojené regulatorní změny představují pro společnosti velkou výzvu, a to nejen z pohledu dodržování předpisů, ale i z pohledu kybernetické bezpečnosti. Vedení firem a klíčoví pracovníci musí detailně porozumět novým regulacím a jejich dopadu na vlastní podnikání, a to včetně aspektů týkajících se ochrany dat a systémů využívajících AI. Neznalost nebo podcenění těchto pravidel, ať už se jedná o pravidla pro samotnou AI nebo o obecná pravidla kybernetické bezpečnosti, může mít vážné následky.
V tomto článku se zaměříme na klíčové regulace AI, které vstupují v platnost v Evropě, a jejich propojení s kybernetickou bezpečností. Probereme nejdůležitější aspekty a představíme soubor opatření a doporučení, která pomohou organizacím se na ně efektivně připravit a minimalizovat tak rizika.
Není vám jasné, zda se vás směrnice NIS2 týká?
Svěřte to nám! Prověříme vaši situaci a v případě potřeby vám pomůžeme s nahlášením NÚKIB a s implementací všech nutných opatření.
Čtyři klíčové regulace
Evropa se nachází uprostřed bouřlivého rozvoje regulací v oblasti AI a kybernetické bezpečnosti. Série ničivých kybernetických útoků v posledních letech vedla k tomu, že vlády a regulační orgány v Evropě kladou čím dál větší důraz na preventivní opatření a prosazují řadu regulačních reforem. Tato spleť celoevropských, národních a odvětvových regulací však může být pro firmy obtížně srozumitelná a orientovat se v ní může být náročné. Zejména pro nadnárodní a víceoborové organizace může být dosažení souladu s touto složitou regulační sítí velmi komplikované.
Nejnovější regulace AI a kybernetické bezpečnosti v Evropě kladou na organizace nové požadavky. Existují čtyři klíčové regulační rámce, kterým by vedení a osoby s rozhodovací pravomocí měly věnovat zvláštní pozornost. Tyto rámce budou mít zásadní dopad na jejich činnost a je nezbytné se s nimi detailně seznámit.
Nařízení EU o umělé inteligenci (AI Act)
Nařízení EU o umělé inteligenci (AI Act) je první komplexní zákon na světě, který reguluje systémy umělé inteligence. Tento předpis rozděluje AI systémy do kategorií podle míry rizika, které představují, a pro každou kategorii stanovuje specifická pravidla.
AI Act definuje čtyři úrovně rizika pro systémy AI: nepřijatelné riziko (zakázané systémy), vysoké riziko (systémy s potenciálem ohrozit bezpečnost nebo základní práva), omezené riziko (systémy s požadavky na transparentnost) a minimální riziko (většina AI systémů). Každá úroveň má různé požadavky na shodu. Shrnutí naleznete v tomto článku.
Organizace si musí být vědomy vlastností a složitostí systémů, které vyvíjejí, aby identifikovaly úroveň rizika, zejména s ohledem na tendenci AI zesilovat předsudky a zkreslení. Toto povědomí se musí vztahovat i na činnosti dodavatelů, dovozců, distributorů a společností které řešení nasazují, protože organizace mohou být částečně odpovědné za jednání těchto třetích stran.
Důsledky pro organizace, které tyto otázky nezohlední, mohou být závažné: za nedodržení předpisů budou uloženy pokuty až do výše 35 milionů eur nebo 7 % ročního obratu společnosti.
Směrnice NIS 2
Směrnice NIS 2 je směrnice Evropské unie, jejíž cílem je posílit kybernetickou bezpečnost napříč členskými státy. Na rozdíl od první verze, která se zaměřovala primárně na poskytovatele digitálních služeb, energetiku a kritickou infrastrukturu, se aktualizovaná pravidla směrnice NIS2 vztahují na širší spektrum odvětví – od dopravy, přes zdravotnictví a veřejnou správu až po vodárenství a e-commerce. Jelikož se jedná o směrnici, musí být transponována do legislativních rámců jednotlivých členských států. Termín transpozice NIS2 byl 17. říjen 2024, což většina států včetně České republiky nestihla.
Dodržování směrnice může být pro některé subjekty náročné, a to z několika důvodů:
Rozdílný výklad: I když směrnice NIS2 stanovuje základní rámec, každý členský stát EU si ji implementuje do své legislativy s určitou mírou volnosti. To může vést k rozdílům ve výkladu a aplikaci pravidel v jednotlivých zemích.
Složitost pro menší subjekty: Menší subjekty a subjekty zapojené do kritických odvětví mohou mít s orientací v nové směrnici a s implementací požadovaných opatření potíže, a to i z důvodu omezených zdrojů.
Výměna zkušeností a sdílení znalostí mezi organizacemi jsou v tomto kontextu klíčové pro dosažení souladu s NIS2.
NIS2 se nepřímo dotýká i systémů umělé inteligence. Organizace, které využívají AI, musí zajistit, aby jejich systémy byly v souladu s oběma nařízeními. To znamená dodržovat pravidla pro kybernetickou bezpečnost a zároveň splňovat požadavky AI Act na transparentnost, kvalitu dat a minimalizaci rizik.
Nařízení digitální provozní odolnosti (The Digital Operational Resilience Act - DORA)
Nařízení o digitální provozní odolnosti (DORA) má za cíl posílit ochranu finančního sektoru v Evropě před kybernetickými útoky. Vztahuje se na banky, pojišťovny, investiční společnosti a další finanční instituce. DORA jde nad rámec pouhého dodržování předpisů, jako je GDPR, a usiluje o vytvoření kultury kybernetické bezpečnosti v organizacích. To znamená, že finanční instituce musí zavést komplexní politiky řízení rizik, aby identifikovaly a vyhodnotily potenciální hrozby. Zároveň musí zapojit dostatečný počet odborníků na kybernetickou bezpečnost a pravidelně provádět audity svých systémů a procesů. Důležitou součástí DORA je i vzdělávání zaměstnanců o kybernetických hrozbách a bezpečnostních pravidlech. Cílem je zvýšit povědomí o rizicích a zajistit, aby všichni zaměstnanci chápali svou roli v ochraně citlivých dat a systémů.
DORA vstoupila v platnost 16. ledna 2023, ale finanční instituce mají čas na implementaci nových pravidel do 17. ledna 2025.
DORA je důležitým krokem k zajištění stability a odolnosti finančního sektoru v Evropě.
CRA – Akt EU o kybernetické odolnosti (The EU Cyber Resilience Act)
Nařízení EU o kybernetické odolnosti (CRA) si klade za cíl zvýšit bezpečnost digitálních produktů – hardwaru i softwaru – v Evropě. Toto nařízení, které vstoupí v platnost koncem roku 2024, bude chránit spotřebitele tím, že zavede povinné požadavky na kybernetickou bezpečnost pro výrobce a prodejce digitálních produktů.
Společnosti, které prodávají digitální produkty v EU, budou muset před jejich uvedením na trh provést důkladné posouzení rizik v oblasti kybernetické bezpečnosti. Zároveň budou muset být transparentnější ohledně bezpečnostních vlastností svých produktů.
Organizace by měly zavést otevřenou architekturu pro hlášení zranitelností a bezpečnostních incidentů, kterou lze snadno aktualizovat. Tato architektura by měla být nedílnou součástí bezpečného životního cyklu vývoje softwaru, nikoliv jen doplňkovým prvkem.
CRA je dalším krokem k posílení kybernetické bezpečnosti v Evropě. Firmy by měly včas implementovat požadovaná opatření, aby se vyhnuly potenciálním sankcím a ochránily své zákazníky.
Jak by měly organizace reagovat
Organizace by si měly aktivně udržovat přehled o všech relevantních politikách a regulacích v oblasti kybernetické bezpečnosti, a to jak o těch, které jsou již platné, tak i o připravovaných. To jim pomůže včas se adaptovat a vyhnout se nákladnému přepracování procesů a systémů.
Mnoho rámců bude implementováno ve fázích. Společnosti by se měly zaměřit nejdříve na ty požadavky, které je třeba splnit v nejbližší době. Různé rámce (např. NIS2, GDPR) obsahují překrývající se prvky. Jejich analýza a pochopení souvislostí pomůže organizacím získat komplexní přehled o regulační mapě a zefektivnit proces implementace.
Umělá inteligence (AI) se stává důležitým pomocníkem i v oblasti dodržování předpisů. Může vám pomoci sledovat změny v regulacích a automatizovat některé procesy, což vám ušetří čas a zdroje.
Na druhou stranu je potřeba si uvědomit, že i samotná AI může představovat bezpečnostní riziko. Proto je důležité pečlivě a neustále dohlížet na systémy AI a implementovat bezpečnostní opatření, která ochrání vaše data a systémy před zneužitím.
Doporučená opatření
Orientace v regulacích a jejich praktická implementace
Jak se v té záplavě nových pravidel zorientovat a co dělat, aby vaše firma byla v souladu s legislativou? Především je nutné identifikovat ty regulace, které se vaší organizace přímo dotýkají. Nestačí však jen znát zákonné požadavky, klíčové je pochopit, jak je v praxi uvést do života.
Právníci vám sice pomohou s interpretací legislativy, ale skutečná implementace vyžaduje zapojení expertů z různých oblastí, jako jsou IT, bezpečnost a HR. Je nezbytné, aby všichni chápali dopady nových předpisů na jejich práci a spolupracovali na jejich zavedení.
Provedení posouzení nedostatků vám pomůže určit aktuální stav souladu a kam zaměřit úsilí o zlepšení. Nezapomeňte také na vznikající rizika spojená s bezpečností a ochranou osobních údajů v systémech a procesech řízených AI, zejména v dodavatelském řetězci softwaru a AI.
Svět technologií se rychle vyvíjí a s ním i legislativa. Je důležité být proaktivní a průběžně sledovat změny v regulacícha přizpůsobovat tomu své procesy a systémy.
Zavést řízení, politiky, sledování a řízení rizik
Informace z posouzení nedostatků je třeba začlenit do rámce řízení, který by měl být vytvořen multidisciplinárním týmem, jehož členy budou zástupci kybernetických, technických, právních a doménových expertů. Společně by měli dostat za úkol vytvořit soubor interních politik a pokynů, které budou v souladu s legislativou, srozumitelné pro všechny zaměstnance a pravidelně aktualizované.
Rámec řízení by měl dále zahrnovat procesy pro sledování a řízení rizik, mechanismy pro reportování a řešení kybernetických incidentů a program pravidelného školení a zvyšování povědomí zaměstnanců o kybernetické bezpečnosti.
Vytvoření a důsledná implementace robustního rámce řízení pomůže organizaci minimalizovat rizika a zajistit soulad s legislativními požadavky, jako je směrnice NIS2.
Školení, povědomí a komunikace
Školení zaměstnanců o kybernetické bezpečnosti je naprostý základ. Nestačí jen mít propracovanou strategii a nejmodernější technologie, pokud vaši lidé neumí rozpoznat hrozby a správně reagovat. Proto je důležité pravidelně školit všechny zaměstnance i vedení o aktuálních hrozbách, bezpečnostních pravidlech a důležitosti dodržování předpisů. Vytvořte otevřené prostředí, kde se lidé nebojí hlásit potenciální problémy a sdílet informace o bezpečnosti. Zapojte všechny do snahy o ochranu dat a systémů a budujte tak kulturu kybernetické bezpečnosti ve firmě. Pravidelné simulace útoků pomohou zaměstnancům lépe rozpoznat a reagovat na skutečné hrozby. Nezapomínejte, že lidé jsou často nejslabším článkem v systému kybernetické bezpečnosti. Investice do jejich vzdělávání se vám mnohonásobně vyplatí.
Kontinuální zlepšování
Organizace se musí zavázat k dlouhodobé strategii dodržování předpisů a kybernetické bezpečnosti, která vyžaduje neustálé sledování a zlepšování. To zahrnuje přijetí uznávaných bezpečnostních rámců a automatizaci procesů dodržování předpisů, kdekoli je to možné. Využití nástrojů pro monitorování a analýzu hrozeb v reálném čase umožní organizacím proaktivně reagovat na zranitelnosti a minimalizovat rizika.
Kultura „shift-left “
Jelikož se svět technologií neustále vyvíjí, je nutné se přizpůsobovat i v oblasti kybernetické bezpečnosti. Firmy by měly opustit reaktivní přístup "hašení požárů" a místo toho se zaměřit na proaktivní strategii "posouvání doleva" (shift-left). To znamená integrovat kybernetickou bezpečnost do všech procesů a produktů už od samého začátku. Čím více se společnostem podaří začlenit kybernetickou bezpečnost od samého začátku každého produktu a procesu, tím lepší bude jejich celková bezpečnostní pozice.
Obecně platí, že ochrana produktu nebo služby po jeho sestavení je vždy dražší než jeho zabezpečení od začátku. Organizace proto musí přezkoumat všechny stávající procesy a zjistit, kde lze od začátku začlenit aspekty kybernetické bezpečnosti. U nových projektů a postupů musí být do diskusí od samého počátku zahrnuti i odborníci na kybernetickou bezpečnost.
Společně tyto kroky představují zásadní odklon od vnímání regulace jako pouhého „odškrtávání políček“ a vytvářejí podnik, který je proaktivní a klade regulaci kybernetické bezpečnosti do centra svého fungování.