Een complete vooruitblik op 2024 in slechts een beperkt aantal woorden is haast ondoenlijk. Zowel op nationaal als op EU niveau mogen we in 2024 een lawine aan nieuwe wetgeving verwachten die voor advocaten al nauwelijks bij te houden is, laat staan voor de gemiddelde GC. Kijken we naar wat gaat komen, dan vallen twee speerpunten op. ESG wetgeving en wetgeving naar aanleiding van de EU’s digitale agenda. In dit korte artikel staan wij stil bij dat laatste onderwerp en wel in het bijzonder bij AI maar ook Cybersecurity wetgeving, waaronder NIS2.
EU AI Act
De opkomst van kunstmatige intelligentie (AI) is een fascinerende reis geweest, doordrenkt met innovatie, vooruitgang en de uitdagingen van ethiek. De oorsprong van AI dateert uit de vroege dagen van computationele theorieën en de droom om machines te creëren die kunnen denken als mensen. Het Turing-testconcept, geïntroduceerd door Alan Turing in de jaren 50, legde de basis voor de ontwikkeling van AI, onderzoekers streefden naar de realisatie van intelligente machines.
In de daaropvolgende decennia werden belangrijke doorbraken geboekt, waaronder expertsystemen, neurale netwerken en machine learning-algoritmen. De opmars van krachtige computers en geavanceerde algoritmen stimuleerde de groei van AI-toepassingen in verschillende sectoren, van gezondheidszorg tot financiën en transport.
Naarmate AI krachtiger wordt, ontstaan er echter ook zorgen over ethische kwesties, privacy en de impact op de werkgelegenheid. In het licht van deze ontwikkelingen staan we nu op een kruispunt, waar technologische vooruitgang hand in hand gaat met de noodzaak om de impact van AI op onze samenleving te beheersen. De uitdaging ligt in het vinden van evenwicht: het omarmen van innovatie en vooruitgang, terwijl we ethische kaders vaststellen die de fundamenten van onze maatschappij respecteren en beschermen door middel van regulering en richtlijnen voor het verantwoordelijk gebruik van AI. Iedere regio in de wereld lijkt daarbij een eigen visie te ontwikkelen waarbij de EU voorop loopt, net als ten tijde van de GDPR, en naar het wetgevingswapen grijpt: de EU-AI Act.
De Europese Commissie introduceerde op 21 april 2021 haar concept AI Act, als onderdeel van bredere wetgevingsinitiatieven. Bedrijven met hoog risico-AI zullen aan specifieke verplichtingen moeten voldoen. Doen ze dat niet, dan riskeert men boetes tot 30 miljoen euro of 6% van de wereldwijde omzet, oplopend tot 40 miljoen euro of 7% volgens een Parlement-amendement.
De EU AI Act is, evenals de GDPR, een verordening. Deze zal dus in zijn geheel rechtstreeks verbindend zijn binnen alle EU lidstaten. Hoewel de AI Act naar verwachting pas in de zomer van 2026 definitief van kracht wordt, is het raadzaam voor bedrijven met afhankelijkheid van AI-systemen om zich nu al voor te bereiden. Grondige inventarisatie van AI-systemen, supply chain en contractanalyse, alsook menselijk toezicht zijn cruciaal om aan de toekomstige vereisten te voldoen en mogelijke gevolgen te anticiperen.
Ongeacht de exacte vorm die de regelgeving internationaal, dus ook buiten EU gaat aannemen, zal elk bedrijf dat AI gebruikt, of zal gebruiken, een risico assessment moeten uitvoeren als standaard handelswijze. Hiervoor hebben wij een tool ontwikkeld. De Eversheds Sutherland AI Mitigator-tool verschaft een inzichtelijk rapport over thematische risico’s en aanbevolen stappen voor uw AI-scenario.
NIS2 richtlijn
Eind 2022 heeft de Europese Unie de Network and Information Security Directive (NIS2-richtlijn) vastgesteld, gericht op het versterken van cyber weerbaarheid van kritische infrastructuur binnen EU-lidstaten. Deze richtlijn adresseert cyber risico’s voor netwerk- en informatiesystemen, inclusief internet en betalingsverkeer, en breidt de toepassing uit naar veel nieuwe sectoren. Onder de NIS2-richtlijn vallen essentiële en belangrijke entiteiten in sectoren zoals energie, transport, financiële marktinfrastructuur, gezondheidszorg, digitale infrastructuur, levensmiddelen- en retail industrie, en meer. Een opvallend verschil met de eerste NIS-richtlijn is dat organisaties nu automatisch onder NIS2 vallen als ze actief zijn in deze sectoren en aan specifieke criteria voldoen.
De implementatiedruk van het proces om tijdig (en dus voor 17 oktober 2024) aan de verplichtingen van deze richtlijn te voldoen, zal voor veel bedrijven van een vergelijkbare omvang zijn als die van de AVG. Bovendien kunnen directieleden door de nationale toezichthouder ook persoonlijk aansprakelijk worden gesteld, indien zij nalaten controle uit te oefenen over adequate cybermaatregelen en – beleid. Organisaties die onder de richtlijn vallen riskeren ook hier boetes op basis van hun omzet: 1,4% voor belangrijke entiteiten en 2% voor essentiële entiteiten.
Essentiële entiteiten, zoals aangewezen volgens de CER-richtlijn, grote organisaties in Annex I-sectoren en andere lokaal aangewezen organisaties zullen onder intensiever toezicht komen te staan dan belangrijke entiteiten. Beide categorieën hebben een registratieplicht en krijgen vergaande informatie en meldingsplichten. Micro- en kleinbedrijven vallen in principe niet onder NIS2, behalve echter als lidstaten ze aanwijzen op basis van een risicobeoordeling.
Houd onze kanalen en https://www.eversheds-sutherland.com/ in de gaten voor de lancering van onze NIS2-campagne. Onze NIS-landingspagina toont gratis en specifieke informatie per EU-lidstaat over de implementatiestatus en fungeert als een centrale bron voor betrokkenen om zich voor te bereiden op deze wetgeving.
