Komise předložila nová pravidla EU o kybernetické bezpečnosti pro bezpečnější hardwarové a softwarové výrobky, Komise schválila nová pravidla odpovědnosti za umělou inteligenci 

  • Komise chce poskytnout více ochrany spotřebitelům v otázce kybernetické bezpečnosti
  • Komise se zabývala odpovědností za umělou inteligenci

Komise předložila nová pravidla EU o kybernetické bezpečnosti pro bezpečnější hardwarové a softwarové výrobky

  • Návrh nového aktu o kybernetické odolnosti byl představen v rámci projevu o stavu Unie (SOTEU).
  • Návrh má spotřebitele a podniky chránit před výrobky s nedostatečnými bezpečnostními prvky.
  • Jedná se o 1. unijní právní předpis svého druhu, jež by zavedl povinné požadavky na kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu.
  • Nová pravidla mají přesunout odpovědnost na výrobce, kteří budou muset zajistit soulad výrobků s digitálními prvky, jež jsou dodávány na trh EU, s bezpečnostními požadavky.

Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for connected products and associated services (Cyber Resilience Act) (COM(2022)454)

  • Komise 15. 9. 2022 předložila návrh nového aktu o kybernetické odolnosti, který má spotřebitele a podniky chránit před výrobky s nedostatečnými bezpečnostními prvky.

Pozadí

Nárůst kybernetických útoků během koronavirové krize ukázal, jak důležité je chránit nemocnice, výzkumná střediska a další infrastrukturu. Náklady spojené s narušením ochrany údajů činí podle odhadů nejméně 10 mld. €/rok. Roční náklady spojené se škodlivými pokusy o narušení internetového provozu se pak odhadují na nejméně 65 mld. € (zpráva o posouzení dopadů připojená k nařízení Komise v přenesené pravomoci, kterým se doplňuje směrnice o rádiových zařízeních). Útoky ransomware postihují organizace po celém světě každých 11s a celosvětové roční náklady spojené s kyberkriminalitou dosáhly v roce 2021 odhadem 5,5 mld. €. S tím, jak inteligentních a propojených produktů neustále přibývá, může mít kybernetickobezpečnostní incident u jednoho výrobku dopad na celý dodavatelský řetězec. To pak může vést k vážnému narušení hospodářských a společenských činností, oslabit bezpečnost nebo dokonce ohrozit život.

Předsedkyně Komise Ursula von der Leyenová tento nový akt oznámila v září 2021 ve svém projevu o stavu Evropské unie. Staví na Strategii kybernetické bezpečnosti EU a Strategii bezpečnostní unie EU z roku 2020 (více v příspěvku „Předsedkyně Komise zhodnotila směřování EU v projevu o stavu Unie (SOTEU)”, Institucionální záležitosti v září 2021). Strategie kybernetické bezpečnosti představená v prosinci 2020 navrhuje začlenit kybernetickou bezpečnost do každého prvku dodavatelského řetězce a pokračovat v propojování činností a zdrojů EU ve všech 4 oblastech kybernetické bezpečnosti – vnitřní trh, vymáhání předpisů, diplomacie a obrana (více v příspěvku „EU chce zlepšit kybernetickou bezpečnost”, Informační společnost v prosinci 2020 a v příspěvku „Rada přijala závěry týkající se strategie EU v oblasti kybernetické bezpečnosti”, Informační společnost v březnu 2021). Tato strategie vychází ze sdělení Formování digitální budoucnosti EU a ze Strategie bezpečnostní unie EU a opírá se o řadu legislativních aktů, opatření a iniciativ, které EU přijala s cílem posílit kapacity v oblasti kybernetické bezpečnosti a zajistit větší odolnost EU vůči kybernetickým útokům (více v příspěvku „Komise pokračuje v provádění bezpečnostní unie”, Spravedlnost, svoboda a bezpečnost v červenci 2020, v příspěvku „Rada a EP se dohodly na pravidlech pro bezpečnější online prostředí v EU”, Informační společnost v prosinci 2020, v příspěvku „EU chce zlepšit kybernetickou bezpečnost”, Informační společnost v prosinec 2020). 

Nový akt o kybernetické odolnosti má doplnit rámec EU pro kybernetickou bezpečnost: směrnici č. 1148/2016 o bezpečnosti sítí a informací, směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2), na níž se dohodly EP a Rada, a akt EU o kybernetické bezpečnosti (více v příspěvku „V EU začal platit akt o kybernetické bezpečnosti“, Informační společnost v červnu 2019).

Klíčové a sporné body

Cílem návrhu nařízení o kybernetické odolnosti je zajistit, aby digitální výrobky, jako jsou bezdrátové i drátové výrobky a software, byly pro spotřebitele v celé EU bezpečnější. Na jedné straně zvyšuje odpovědnost výrobců, když jim ukládá povinnost poskytovat bezpečnostní podporu a aktualizace softwaru pro opravy odhalených zranitelností, a na straně druhé má zajistit, aby spotřebitelé byli dostatečně informováni o kybernetické bezpečnosti produktů, které kupují a používají.

Navržená opatření vycházejí z nového legislativního rámce pro právní předpisy EU o výrobcích a mají stanovit:

  1. pravidla pro uvádění výrobků s digitálními prvky na trh, která mají zajistit jejich kybernetickou bezpečnost;
  2. základní požadavky na návrh, vývoj a výrobu výrobků s digitálními prvky a povinnosti hospodářských subjektů ve vztahu k těmto výrobkům;
  3. základní požadavky na procesy řešení zranitelností zavedené výrobci s cílem zajistit kybernetickou bezpečnost výrobků s digitálními prvky během celého jejich životního cyklu a povinnosti hospodářských subjektů ve vztahu k těmto procesům. Výrobci budou rovněž muset aktivně hlásit případy zneužití zranitelností a incidenty;
  4. pravidla dozoru nad trhem a jejich vymáhání.

Nová pravidla mají přesunout odpovědnost na výrobce, kteří budou muset zajistit soulad výrobků s digitálními prvky, jež jsou dodávány na trh EU, s bezpečnostními požadavky. Měly by tak být přínosem pro spotřebitele a občany, ale i pro podniky používající digitální výrobky, neboť nejenže mají zvýšit transparentnost bezpečnostních charakteristik výrobků a podpořit důvěru ve výrobky s digitálními prvky, ale také mají zaručit lepší ochranu jejich základních práv, jako je právo na soukromí a ochranu údajů.

Navrhované nařízení se má vztahovat na všechny výrobky, které jsou přímo nebo nepřímo připojeny k jinému zařízení nebo síti. Pro výrobky, u nichž jsou požadavky na kybernetickou bezpečnost stanoveny již ve stávajících předpisech EU, například zdravotnické prostředky, výrobky pro letecký průmysl nebo automobily, by měly platit určité výjimky.

Předpokládaný další vývoj

Návrh aktu o kybernetické odolnosti musí nyní posoudit EP a Rada. Jakmile bude akt přijat, budou mít výrobci a členské státy 2 roky na to, aby se novým požadavkům přizpůsobily. Výjimkou z tohoto pravidla bude povinnost výrobců hlásit aktivně zneužité zranitelnosti a incidenty. Ta by měla platit již 1 rok po vstupu aktu v platnost, neboť vyžaduje méně náročnou reorganizaci než ostatní nově zaváděné povinnosti. Komise by měla akt o kybernetické odolnosti pravidelně přezkoumávat a měla by podávat zprávy o jeho fungování.

Odkazy

Komise schválila nová pravidla odpovědnosti za umělou inteligenci 

  • Komise přijala nová pravidla odpovědnosti za umělou inteligenci za účelem ochrany spotřebitelů a podpory inovací.
  • Přijetí 2 návrhů došlo v souvislosti s přizpůsobením pravidel odpovědnosti digitálnímu věku, oběhovímu hospodářství a dopadu globálních hodnotových řetězců.
  • Jedná se o 2 směrnice – směrnici o odpovědnosti za umělou inteligenci a revidovaná směrnici odpovědnosti za vadné výrobky.
  • Pravidla doplňují předchozí právní předpis – akt o umělé inteligenci.

Proposal for a directive of the European Parliament and of the Council on liability for defective products (COM(2022)495)

Proposal for a directive of the European Parliament and of the Council on adapting non-contractual civil liability rules to artificial intelligence (AI Liability Directive) (COM(2022)496)

  • Komise 28. 9. 2022 přijala 2 návrhy na přizpůsobení pravidel odpovědnosti digitálnímu věku, oběhovému hospodářství a dopadu globálních hodnotových řetězců. 

Pozadí

Stávající pravidla EU týkající se odpovědnosti za výrobky, založená na objektivní odpovědnosti výrobců, jsou téměř 40 let stará. Moderní pravidla odpovědnosti jsou důležitá pro ekologickou a digitální transformaci, zejména pro přizpůsobení se novým technologiím, jako je umělá inteligence. Jedná se o zajištění právní jistoty pro podniky a náležité ochrany spotřebitelů v případě problémů. Předsedkyně Komise Ursula von der Leyenová ve svých politických směrech vytyčila koordinovaný evropský přístup k umělé inteligenci. Komise se zavázala podporovat zavádění umělé inteligence a komplexně řešit rizika spojená s jejím používáním a potenciálními škodami. V bílé knize o umělé inteligenci z února 2020 se Komise zavázala podporovat zavádění umělé inteligence a zabývat se riziky spojenými s některými způsoby jejího využití podporou excelence a důvěry. Ve zprávě o odpovědnosti za umělou inteligenci, která je připojena k bílé knize, Komise identifikovala konkrétní výzvy, které umělá inteligence představuje pro stávající pravidla odpovědnosti (více v příspěvku „Rada přijala koordinovaný přístup pro rozvoj evropské umělé inteligence“, Informační společnost v únoru 2019, v příspěvku „Komise zveřejnila seznam etických principů pro umělou inteligenci“, Informační společnost v dubnu 2019, v příspěvku „Rada přijala priority pro digitální politiku po roce 2020“„Komise představuje strategie zaměřenou na data a umělou inteligenci”, Informační společnost v únoru 2020). V dubnu 2021 Komise přijala návrh aktu o umělé inteligenci, který stanoví horizontální pravidla pro umělou inteligenci se zaměřením na předcházení škodám. Akt o umělé inteligenci je stěžejní iniciativou pro zajištění bezpečnosti a důvěryhodnosti vysoce rizikových systémů umělé inteligence vyvinutých a používaných v EU. Má zaručit bezpečnost a základní práva občanů a podniků a zároveň posílit zavádění umělé inteligence a příslušné investice a inovace (více v příspěvku „Komise navrhuje nová pravidla a opatření pro umělou inteligenci”, Informační společnost v dubnu 2021). 

Klíčové a sporné body

Předložený balík týkající se odpovědnosti za umělou inteligenci doplňuje akt o umělé inteligenci tím, že má usnadňovat nároky z objektivní občanskoprávní odpovědnosti na náhradu škody a stanoví nový standard důvěry v nápravu. Směrnice o odpovědnosti za umělou inteligenci má přizpůsobovat soukromé právo novým výzvám, které umělá inteligence přináší. Spolu s revizí směrnice o odpovědnosti za vadné výrobky tyto iniciativy doplňují úsilí Komise o přizpůsobení pravidel odpovědnosti ekologické a digitální transformaci.

Komise jednak navrhuje modernizovat stávající pravidla objektivní odpovědnosti výrobců za vadné výrobky (od inteligentních technologií po léčiva). Revidovaná pravidla mají poskytnout podnikům právní jistotu, aby mohly investovat do nových a inovativních produktů, a zajistit, aby oběti mohly získat spravedlivé odškodnění v případě, že jim vadné výrobky, včetně digitálních a renovovaných produktů, způsobí újmu. Kromě toho Komise poprvé navrhuje i cílenou harmonizaci vnitrostátních pravidel odpovědnosti za umělou inteligenci, díky čemuž by se obětem újmy související s umělou inteligencí měla usnadnit cesta k odškodnění. V souladu s cíli bílé knihy o umělé inteligenci a s návrhem Komise ohledně aktu o umělé inteligenci z roku 2021, který stanoví rámec pro excelenci a důvěru v umělou inteligenci, mají nová pravidla zajistit, aby osoby poškozené produkty nebo službami umělé inteligence mohly požívat stejné úrovně ochrany, jako kdyby byla škoda způsobena za jakýchkoli jiných okolností (více v příspěvku .

Revidovaná směrnice o odpovědnosti za vadné výrobky

Revidovaná směrnice má modernizovat a posilovat stávající zavedená pravidla založená na objektivní odpovědnosti výrobců v případě odškodnění za újmu na zdraví, škody na majetku nebo ztráty údajů způsobené nebezpečnými výrobky od zahradních židlí až po vyspělá strojní zařízení. Má zajistit spravedlivá a předvídatelná pravidla pro podniky i spotřebitele tím, že by:

  • modernizovala pravidla odpovědnosti pro obchodní modely oběhového hospodářství: má zajistit, aby pravidla odpovědnosti byla jasná a spravedlivá pro společnosti, které podstatně mění výrobky,
  • modernizovala pravidla odpovědnosti pro výrobky v digitálním věku: má umožnit odškodnění v případě, že produkty, jako jsou roboti, drony nebo systémy chytrých domácností, přestanou být bezpečné na základě aktualizace softwaru, umělé inteligence nebo digitálních služeb, které jsou k provozu výrobku potřeba, jakož i v případě, že výrobci neodstraní nedostatky v oblasti kybernetické bezpečnosti,
  • vytvořila rovnější podmínky pro výrobce z EU a ze zemí mimo EU: spotřebitelé poškození nebezpečnými výrobky dováženými ze zemí mimo EU by se měli moci obrátit na dovozce nebo zástupce výrobce v EU s žádostí o odškodnění,
  • stavěla spotřebitele na úroveň s výrobci: má vyžadovat, aby výrobci zveřejňovali důkazy, zavádět větší flexibilitu lhůt pro vznášení nároků a zmírňovat důkazní břemeno pro oběti ve složitých případech, které se týkají například léčivých přípravků nebo umělé inteligence.

Směrnice o odpovědnosti za umělou inteligenci

Účelem směrnice o odpovědnosti za umělou inteligenci je stanovit jednotná pravidla pro přístup k informacím a zmírnění důkazního břemene v souvislosti se škodami způsobenými systémy umělé inteligence, zavést širší ochranu obětí (ať už se jedná o jednotlivce, nebo podniky) a podpořit odvětví umělé inteligence zvýšením záruk. Má harmonizovat některá pravidla pro nároky mimo oblast působnosti směrnice o odpovědnosti za vadné výrobky v případech, kdy je škoda způsobena protiprávním jednáním. To zahrnuje například narušení soukromí nebo škody způsobené nedostatky v oblasti bezpečnosti. Nová pravidla by měla usnadnit například získání odškodnění v případě, že někdo byl diskriminován v rámci přijímacího řízení využívajícího technologie umělé inteligence. Směrnice má zjednodušovat právní postup pro oběti, pokud jde o prokazování, že něčí zavinění způsobilo újmu, a zavádět 2 hlavní prvky: (1) Za okolností, kdy bylo zjištěno příslušné zavinění a příčinná souvislost s výkonem umělé inteligence se jeví jako přiměřeně pravděpodobná, by měla tzv. „domněnka příčinné souvislosti“ řešit obtíže, s nimiž se setkávají oběti, jež musí podrobně vysvětlit, jak byla újma způsobena konkrétním zaviněním nebo opomenutím, což může být ve snaze o pochopení složitých systémů umělé inteligence obzvláště obtížné; (2) Měly by mít oběti více nástrojů, jak usilovat o právní odškodnění, a to zavedením práva na přístup k důkazům od společností a dodavatelů v případech, kdy se jedná o vysoce rizikové systémy umělé inteligence. Nová pravidla mají nastolovat rovnováhu mezi ochranou spotřebitelů a podporou inovací, odstraňovat další překážky bránící obětem v přístupu k odškodnění a zároveň stanovit záruky pro odvětví umělé inteligence tím, že například mají zavést právo napadnout nárok z odpovědnosti na základě domněnky příčinné souvislosti.

Předpokládaný další vývoj

Návrh Komise musí nyní schválit EP a Rada. Navrhuje se, aby 5 let po vstupu směrnice o odpovědnosti za umělou inteligenci v platnost Komise – bude-li to nutné – posoudila potřebnost pravidel objektivní odpovědnosti u nároků souvisejících s umělou inteligencí.

Odkazy