Skladnost

EU AI Act, DORA in GDPR - skladnost, vgrajena že v zasnovo

En strukturni odgovor na tri uredbe: najprej klasificirajte, nato ohranite podatke in inferenco EU-suverene ter zmožne delovanja v izoliranem (air-gapped) okolju - tako se vsaka obveznost preslika v dokaze, ki jih dostavimo, ne v obljubo, ki jo damo.

EU AI Act, DORA in GDPR se berejo kot trije ločeni pravilniki, a za večino sistemov AI si delijo eno temeljno tveganje: odvisnost od oblaka in modelov, gostovanih v ZDA, ki jih ne morete pregledati, zajeziti ali obdržati znotraj EU. Dve odločitvi opravita večino težkega dela pri vseh treh. Prvič, klasifikacija - zapišite raven tveganja po AI Act za vsak sistem, ali sodite v obseg DORA kot finančni subjekt ali kot tretja oseba na področju IKT, ter zakonito podlago za vsak tok osebnih podatkov; skoraj vsaka nadaljnja dolžnost izhaja iz tega, da to prvo presojo opravite pravilno in jo zabeležite. Drugič, suverenost - ohranite podatke in inferenco na svoji lastni infrastrukturi ali v EU-suverenem oblaku (Mistral AI za inferenco, Qdrant za vektorsko iskanje, EU-rezidenca podatkov), z možnostjo lastnega gostovanja, on-prem ali popolnoma izoliranega (air-gapped) delovanja, brez zahtevanega prenosa podatkov v ZDA in brez izpostavljenosti CLOUD Act. Ta stran obravnava vse tri režime v tej luči in nato pokaže, kako dokaze vgradimo v sistem, namesto da bi jih pripenjali tik pred revizijo. To ni pravni nasvet in nismo vaš organ za skladnost: odgovornost za klasifikacijo, zakonito podlago in regulativne prijave ostaja na vas in vašem pravnem svetovalcu. Opisuje, kako vam kot inženirji pomagamo izpolniti te uredbe in se nanje pripraviti, utemeljeno na produkcijski dostavi, ne kako jih razlagati - za karkoli zavezujočega in za potrditev trenutnih datumov postopnega uvajanja se zanesite na uradna besedila (Regulation (EU) 2024/1689, Regulation (EU) 2022/2554 in GDPR) ali na svojega pravnega svetovalca.

Začnite s klasifikacijo, ne s kontrolnim seznamom

Preden se dotaknete katerega koli kontrolnega ukrepa, odločite tri stvari in jih zapišite: raven tveganja po AI Act za vsak sistem, ki ga dostavite, ali sodite v obseg DORA kot finančni subjekt ali njegova tretja oseba na področju IKT, ter zakonito podlago za vsak tok osebnih podatkov. Če to zgrešite, bodisi preveč prezasnujete orodja z minimalnim tveganjem ali, še huje, premalo obvladujete nekaj posledičnega. Ob dvomu klasificirajte navzgor, imenujte enega odgovornega lastnika na sistem in zabeležite utemeljitev ob kodi, da odločitev preživi naslednjo izdajo. Ta klasifikacija je vaša odgovornost; sledi to, kar vsaka presoja nato zahteva, in kako podporne dokaze naredimo za lastnost gradnje.

EU AI Act - ravni tveganja in vaše dolžnosti kot uvajalca (deployer)

Regulation (EU) 2024/1689 razvršča sisteme AI v štiri ravni, in višja kot je raven, težja je dolžnost: prepovedanih sistemov ne gradite; visokotvegani sistemi (zaposlovanje, krediti, izobraževanje, kritična infrastruktura in podobne posledične domene) dolgujejo obvladovanje tveganj, upravljanje podatkov, tehnično dokumentacijo, beleženje in sledljivost, človeški nadzor ter točnost in robustnost; sistemi z omejenim tveganjem dolgujejo preglednost - uporabnikom povejte, da se pogovarjajo z AI, in označite sintetično vsebino; minimalno tveganje ne nosi posebnih obveznosti. Visoko tveganje je opredeljeno večinoma z rabo in kontekstom, ne s tem, kako pameten je model, tako da preprost klasifikator, ki odloča o tem, kdo dobi posojilo, prekaša močan model, ki povzema vaše lastne zapiske. Uredba tudi loči dolžnosti ponudnikov modelov za splošne namene od dolžnosti vas kot uvajalca (deployer), ki gradi izdelek na vrhu - večina produktnih ekip je uvajalcev, in Article 26 vas še vedno zavezuje, da sistem uporabljate skladno z njegovimi navodili, dodelite pristojni človeški nadzor z resnično potjo za zaustavitev in razveljavitev, in hranite dnevnike, ki jih sistem ustvari. Article 27 dodaja ločeno dolžnost za uvajalce - oceno učinka na temeljne pravice za rabo v javnih organih in določeno visokotvegano rabo. Vsako dolžnost preslikamo v artefakt: pripeti izvor modela in različice za tehnično evidenco; nespremenljiva, samo-dodajajoča (append-only), po najemniku ločena, na ravni podatkovne baze uveljavljena revizijska sled za obveznost beleženja; vgrajena vhodna točka za pregled s človekom v zanki (human-in-the-loop) za nadzor; ter obvestila o preglednosti glede interakcije z AI in sintetične vsebine, kjer se uporabljajo. Ohranjanje inference na EU-suvereni ali izolirani (air-gapped) infrastrukturi odstrani čezmejno spremenljivko, tako da klasifikacija in dokazi ostanejo čisti. Uredba se postopno uvaja približno od 2024 do 2027, zato potrdite trenutni rok za svojo raven glede na uradno besedilo, ne glede na trženjsko stran.

DORA - tveganje IKT in tretjih oseb, ki ga finančni subjekt lahko vpiše v svoj register

Digital Operational Resilience Act (Regulation (EU) 2022/2554) velja za banke, zavarovalnice, investicijska podjetja in širok nabor drugih finančnih subjektov - ter tretje ponudnike IKT, ki jih strežejo. Zavezuje k okviru za obvladovanje tveganj IKT, klasifikaciji in poročanju o incidentih, testiranju odpornosti ter registru informacij, ki opisuje vsako odvisnost od tretjih oseb na področju IKT, s posebno pozornostjo na tveganje koncentracije, kjer preveč kritične storitve sloni na enem ponudniku. Trda odvisnost od enega ameriškega hiperskalarja za inferenco AI je natanko tisto tveganje koncentracije, ki ga DORA zahteva, da ga prepoznate in zmanjšate. EU-suverena ali lastno gostovana namestitev - izvajanje inference in vektorskega iskanja znotraj EU na Mistral AI in Qdrant, lastno gostovana ali izolirana (air-gapped), brez zahtevanega prenosa podatkov v ZDA - odstrani to odvisnost od kritičnega ponudnika in izpostavljenost CLOUD Act, ki jo prinaša, ter ohrani dobavno verigo IKT znotraj vašega nadzora in jurisdikcije. Smo ponudnik storitev IKT, ki ga lahko ocenite in dokumentirate, ne jamstvo odpornosti: testiranje odpornosti in vzdrževanje registra ostajata vaš program. Kar dobavimo, so dejstva, na katera se opirata vaš register in testiranje - kje sistem teče, od česa je odvisen, nespremenljiva po najemniku ločena revizijska sled za njim ter možnost enonajemniške (single-tenant) ali izolirane (air-gapped) namestitve za najmočnejšo držo izolacije.

GDPR - podatkovna plast pod obema

AI Act ureja sistem in DORA ureja operativno odpornost, a GDPR ureja osebne podatke, ki tečejo skozi vse to, in če se vaš AI dotika osebnih podatkov, velja v celoti in vzporedno. Rezidenca podatkov, podpisan DPA, vzdrževan ROPA, obravnava DSAR in DPIA za bolj tvegano obdelavo so nosilni elementi - in večino tega dela lahko ponovno uporabite, saj GDPR DPIA in dokumentacija za obvladovanje tveganj po AI Act pokrivata veliko iste podlage, ko ju napišete tako, da se medsebojno sklicujeta. Naša EU-suverena pot ohranja podatke in inferenco znotraj EU po zasnovi, tako da vam poleg vsega drugega ni treba razmišljati o čezmejnih prenosih, in redakcija PII (osebnih podatkov) teče, preden model vidi podatke, kar zoži to, kar se sploh kdaj obdela. Priklic (retrieval) je pogosta past: indeksiranje dokumenta ne podeli nove zakonite podlage za njegovo prikazovanje, zato je treba zmanjšanje podatkov, omejitev namena in zagovorljivo hrambo dnevnikov zasnovati vnaprej, ne popravljati kasneje - in dostop obsegamo po najemniku s PostgreSQL Row-Level Security ter po najemniku ločenimi vektorskimi zbirkami, tako da je ta meja uveljavljiva, ne domnevana. Zakonita podlaga ostaja vaša odgovornost za vzpostavitev; mi gradimo kontrole, ki poskrbijo, da drži.

Kako pomaga TechRevati - ena namestitev, dokazi za vse tri režime

EU AI Act ureja sistem, DORA ureja operativno odpornost finančnega subjekta, ki ga upravlja, in GDPR ureja osebne podatke, ki tečejo skozi - a se močno prekrivajo, in večina dokazov je skupnih. Začnemo pri Sovereign RAG Pilot: namestitvi s fiksnim obsegom, enonajemniški (single-tenant) na vaši infrastrukturi ali EU-suverenem oblaku (Mistral AI inferenca, Qdrant vektorsko iskanje, EU-rezidenca, lastno gostovanje ali izolirano (air-gapped)), povezani z enim resničnim primerom rabe, katere lastnosti zadostijo dolžnostim v vseh treh režimih - nespremenljiva, samo-dodajajoča (append-only), po najemniku ločena, na ravni podatkovne baze uveljavljena revizijska sled za beleženje in sledljivost; pripeti izvor modela in različice za tehnično evidenco in vaš register; redakcija PII, preden model vidi podatke, za GDPR zmanjšanje; pot za zaustavitev in razveljavitev s človekom v zanki (human-in-the-loop) za Article 26; ter dostop, obsegan s PostgreSQL Row-Level Security in po najemniku ločenimi vektorskimi zbirkami, z enonajemniško (single-tenant) ali popolnoma izolirano (air-gapped) možnostjo za najmočnejše zagotovilo. Da bomo jasni glede lastne drže: naše kontrole so preslikane v dokaze SOC 2 in ISO 27001 in vas lahko popeljemo skozi to preslikavo, a je atestacija na naši načrtovani poti in je še ne posedujemo - ne bomo trdili, da imamo certifikate, ki jih nimamo, in za zdravstvo dostavimo HIPAA-ready arhitekturo, ne certifikata HIPAA. Dokaz je dostava: AI Nexus ITSM izvaja on-prem analizo incidentov ServiceNow brez izhodnega prometa (zero-egress), Ollama-ServiceNow Defender pa je popolnoma lokalna aplikacija ServiceNow - oba primera suverene drže brez izhodnega prometa (no-egress), ki jo opisuje ta stran, in oba zasnovana tako, da so dokazi o skladnosti lastnost sistema, ne panika pred zagonom.

FAQ

  • Ali vsebina o EU AI Act, DORA ali GDPR tukaj šteje za pravni nasvet?

    Ne. Vse na tej strani je inženirsko usmerjanje o tem, kako vam pomagamo izpolniti te uredbe in se nanje pripraviti, utemeljeno na produkcijski dostavi. Ni pravni nasvet in ni jamstvo skladnosti, in nismo vaš organ za skladnost - odgovornost za klasifikacijo tveganja, zakonito podlago, regulativne prijave in vzdrževanje registra ostaja na vas in vašem pravnem svetovalcu. Regulativni roki in obseg se premikajo, zato potrdite podrobnosti za svojo raven in subjekt glede na uradna besedila (Regulation (EU) 2024/1689, Regulation (EU) 2022/2554 in GDPR) ali svojega pravnega svetovalca, preden se na karkoli od tega zanesete.

  • Smo finančni subjekt v skladu z DORA - kako EU-suverena namestitev pomaga našemu registru tveganja tretjih oseb na področju IKT?

    DORA (Regulation (EU) 2022/2554) zahteva, da prepoznate, obvladujete in dokumentirate tveganje tretjih oseb na področju IKT, vključno s tveganjem koncentracije, kjer en kritični ponudnik nosi preveč obremenitve. Trda odvisnost od enega ameriškega hiperskalarja za inferenco AI je natanko takšno tveganje koncentracije. Izvajanje inference in vektorskega iskanja na EU-suverenem naboru (Mistral AI in Qdrant, EU-rezidenca podatkov), lastno gostovano ali izolirano (air-gapped), brez zahtevanega prenosa podatkov v ZDA in brez izpostavljenosti CLOUD Act, zmanjša to odvisnost in ohrani dobavno verigo IKT znotraj vaše jurisdikcije - in vam da konkretna dejstva za vpis v vaš register informacij: kje sistem teče, od česa je odvisen in nespremenljiva po najemniku ločena revizijska sled za njim. Smo ponudnik storitev IKT, ki ga lahko ocenite in dokumentirate; testiranje odpornosti in vzdrževanje registra ostajata vaš program, mi pa dobavimo dejstva o namestitvi, da ga dopolnite.

  • Ali posedujete certifikat SOC 2, ISO 27001 ali HIPAA?

    Ne, in ne bomo trdili, da imamo certifikate, ki jih nimamo. Naše kontrole so preslikane v dokaze SOC 2 in ISO 27001 in vas bomo popeljali skozi to preslikavo, a je formalna atestacija na naši načrtovani poti in je še ne posedujemo. Za zdravstvene delovne obremenitve dostavimo HIPAA-ready arhitekturo, ne certifikata HIPAA. Če je certifikat trda zahteva za vaše javno naročanje, vam bomo jasno povedali, kje stojimo, namesto da bi to prikrivali - in kar dostavimo danes, je dokazljivo: nespremenljiva, samo-dodajajoča (append-only), po najemniku ločena, na ravni podatkovne baze uveljavljena revizijska sled ter možnost enonajemniške (single-tenant) ali popolnoma izolirane (air-gapped) namestitve za najmočnejše zagotovilo izolacije.

  • Ali sem po EU AI Act ponudnik ali uvajalec (deployer), in ali me klic tretjega modela prek API-ja reši odgovornosti?

    Za večino ekip, ki gradijo izdelek na vrhu modela za splošne namene, ste uvajalec (deployer), ne ponudnik modela, in uporaba prek API-ja ne odstrani vaših dolžnosti. Obveznosti uvajalca po Article 26 vključujejo pristojni človeški nadzor z resnično potjo za zaustavitev in razveljavitev, hrambo dnevnikov, ki jih sistem ustvari, preglednost do prizadetih oseb (ocena učinka na temeljne pravice je ločena dolžnost po Article 27 za določeno rabo); dolžnosti ponudnika glede osnovnega modela slonijo na tistem, ki ga dobavlja. Pripnemo model in različico, od katere ste odvisni, in privzeto zajamemo operativne dokaze za tistimi dolžnostmi. Če osnovni model bistveno fino nastavite ali ga preimenujete kot svojega, se vam lahko začnejo pripenjati dolžnosti ponudnika, kar velja ponovno preveriti s pravnim svetovalcem - in klasifikacija tveganja ter odločitev o namestitvi ostajata vaši.

  • Ali je naš klepetalni robot AI visokotvegan po EU AI Act?

    Običajno ne privzeto. Klepetalni robot za podporo strankam ali pomočnik običajno sodi pod pravila preglednosti za omejeno tveganje, kar pomeni, da morate uporabnikom povedati, da vzajemno delujejo z AI, in označiti vsebino, ki jo ustvari AI. Visokotvegan postane šele, ko se uporablja v posledični domeni, ki jo Uredba navaja - na primer bistveno vpliva na odločitve o zaposlovanju, kreditih ali varnosti - tako da je klasifikacija odvisna od rabe in konteksta, ne od zmogljivosti modela. Ob dvomu klasificirajte navzgor in zabeležite utemeljitev.

  • Ali moramo vse preseliti v Evropo ali lahko ohranimo nekaj modelov, gostovanih v ZDA?

    Odločate se namensko po delovni obremenitvi. Mnoge delovne obremenitve odlično tečejo na modelih, gostovanih v ZDA, in to podpiramo - bistvo je, da je izbira namerna in da je revizijska sled nedotaknjena v vsakem primeru. Kjer EU AI Act, DORA ali GDPR naredijo čezmejno obdelavo za resnično obveznost, EU-suverena ali izolirana (air-gapped) pot (Mistral AI in Qdrant, EU-rezidenca podatkov) povsem odstrani čezmejno spremenljivko, brez zahtevanega prenosa podatkov v ZDA in brez izpostavljenosti CLOUD Act. Sovereign RAG Pilot vam omogoča, da suvereno pot dokažete na enem resničnem primeru rabe, preden se zavežete.

Poglejte suverenost dokazano, ne obljubljeno - začnite Sovereign RAG Pilot

Prinesite en resničen primer rabe in postavili bomo Sovereign RAG Pilot s fiksnim obsegom, enonajemniški (single-tenant) v vašem lastnem okolju ali na EU-suverenem oblaku - Mistral AI in Qdrant, EU-rezidenca podatkov, lastno gostovano ali izolirano (air-gapped) - z vgrajenimi dokazi o skladnosti: klasificirano po ravni tveganja, PII redakcija pred tem, ko model vidi podatke, nespremenljiva, samo-dodajajoča (append-only), po najemniku ločena, na ravni podatkovne baze uveljavljena revizijska sled, pot za zaustavitev in razveljavitev s človekom v zanki (human-in-the-loop) ter dostop, obsegan s PostgreSQL Row-Level Security in po najemniku ločenimi vektorskimi zbirkami. Videli boste, kako inženiring, ki je klasifikacija-najprej in suveren-po-zasnovi, naredi obveznosti AI Act, DORA in GDPR za lastnosti sistema, ne za papirologijo pred revizijo - in obseg bomo določili skupaj z vami. Začnite pilotni projekt.

Začni pilot