Cybersecurityproducten, de AI-verordening en de CRA

In augustus 2024 trad de Europese AI-verordening in werking. In deze wet staan regels voor het verantwoord ontwikkelen en gebruiken van artificial Intelligence (AI) door bedrijven, overheden en andere organisaties. AI-toepassingen worden steeds vaker geïntegreerd in tools die door zowel de publieke als de private sector worden gebruikt. Dit roept vragen op bij cybersecurityspecialisten. Zij moeten nu beoordelen hoe de nieuwe regels van invloed zijn op AI-gestuurde beveiligingsoplossingen. Security experts willen bijvoorbeeld weten of deze oplossingen worden aangemerkt als ‘verboden’ of ‘risicovol’ volgens de AI-wet, maar ook wanneer er conformiteitsbeoordelingen door derden zijn vereist, of welke verantwoordelijkheden op leveranciers en aanbieders rusten.

Belangrijke overwegingen voor CISO’s en compliance-teams

Het is essentieel dat CISO’s, productmanagers en compliance-professionals inzicht hebben in hoe de AI -verordening en de Cyber Resilience Act (CRA) elkaar overlappen. Vooral nu AI-toepassingen steeds vaker worden toegepast in cybersecuritytechnologieën. De twee kaders pakken verschillende soorten risico’s aan, maar er zijn regels die elkaar overlappen, en deze kunnen van invloed zijn op conformiteitsverplichtingen, productclassificatie en operationele planning.

Hoewel AI-gestuurde cyberbeveiligingsoplossingen over het algemeen niet als risicovol worden aangemerkt onder de AI-wet, kan hun compliance-profiel veranderen afhankelijk van de integratie, implementatie of de functie. De volgende overwegingen helpen de situatie te verduidelijken:

• AI-gebaseerde cyberbeveiligingstools zijn niet inherent risicovol
  volgens de AI-wet, aangezien ze mogelijk niet direct voldoen aan zeer specifieke criteria die verband houden met veiligheidsfuncties of andere gebruikssituaties uit annex III.
• De CRA is niet opgenomen in annex I van de AI-wet
  wat betekent dat producten die uitsluitend onder de CRA vallen, niet onderworpen zijn aan de classificatie als hoog risico van artikel 6, lid 1, van de AI-wet.
• AI-tools die worden gebruikt voor cyberbeveiligingsdoeleinden zijn niet onderworpen aan de verbodsbepalingen van artikel 5
  aangezien zij niet de onaanvaardbare maatschappelijke risico’s inhouden die de AI-wet beoogt te voorkomen.
• De CRA kan nog steeds aanleiding geven tot beoordelingsverplichtingen door derden
  op basis van de classificatie van een product als “belangrijk” of “kritiek”, zelfs wanneer de AI-wet dat niet doet.
• Verduidelijkende richtlijnen van de Europese Commissie zouden waardevol zijn
  om af te bakenen hoe gebruikssituaties op het gebied van cyberbeveiliging moeten worden behandeld in het kader van de AI-wet, met name wanneer de implementatiescenario’s variëren.

Cyberbeveiligingsoplossingen die gebruik maken van AI zijn essentieel voor de bescherming van de digitale infrastructuur van Europa. Ze verschillen echter fundamenteel van de systemen die de AI-wet beoogt te reguleren. Deze beveiligingstools worden niet ingezet voor surveillance, sociale controle of discriminatie – activiteiten die een classificatie als hoog risico op grond van de AI-wet kunnen rechtvaardigen.

De AI-verordening en de CRA overlappen elkaar op regelgevingsgebied, maar ze werken op basis van verschillende logica’s. De ene geeft prioriteit aan maatschappelijke bescherming, de andere aan technische veerkracht. Het samenvoegen van de twee zou leiden tot overregulering, zonder dat er noemenswaardige voordelen zijn voor de veiligheid of bescherming van rechten.

Wat wel werkt is een afgewogen, op risico’s gebaseerde aanpak, ondersteund door praktische richtlijnen en duidelijk omschreven regelgevingsgrenzen. Dit zal ervoor zorgen dat AI-gebaseerde beveiligingstechnologieën effectief en conform de regelgeving blijven. Deze duidelijkheid is van cruciaal belang nu organisaties zich voorbereiden op de operationele gevolgen van de inwerkingtreding van beide regelgevingskaders.