Usklađenost

EU AI Act, DORA i GDPR - usklađenost, ugrađena od temelja

Jedan strukturni odgovor na tri regulative: prvo klasifikacija, a zatim zadržavanje podataka i inferencije kao EU-suverenih i sposobnih za air-gapped rad - tako da se svaka obaveza preslikava na dokaze koje isporučujemo, a ne na obećanje koje dajemo.

EU AI Act, DORA i GDPR čitaju se kao tri odvojena skupa pravila, ali za većinu AI sistema dele jedan zajednički rizik: zavisnost od cloud-a i modela hostovanih u SAD koje ne možete da pregledate, obuzdate ili zadržite unutar EU. Dve odluke obavljaju najveći deo posla kroz sve tri. Prvo, klasifikacija - zapišite AI Act nivo rizika (risk tier) svakog sistema, da li potpadate pod opseg DORA kao finansijski entitet ili kao ICT treća strana, i pravni osnov za svaki tok ličnih podataka; gotovo svaka naredna obaveza proističe iz toga da tu prvu odluku donesete ispravno i da je zabeležite. Drugo, suverenost - zadržite podatke i inferenciju na sopstvenoj infrastrukturi ili na EU-suverenom cloud-u (Mistral AI za inferenciju, Qdrant za vektorsku pretragu, EU rezidencija podataka), uz opciju self-hosted, on-prem ili potpuno air-gapped, bez obaveznog prenosa podataka u SAD i bez izloženosti CLOUD Act. Ova stranica prolazi kroz tri režima iz te perspektive, a zatim pokazuje kako dokaze ugrađujemo u sam sistem, umesto da ih naknadno prikačimo pred reviziju. Ovo nije pravni savet, i mi nismo vaš organ za usklađenost: odgovornost za klasifikaciju, pravni osnov i regulatorne prijave ostaje na vama i vašim pravnim savetnicima. Opisuje kako vam kao inženjeri pomažemo da ispunite ove regulative i pripremite se za njih, utemeljeno u produkcionoj isporuci, a ne kako da ih tumačite - za sve što je obavezujuće, kao i za potvrđivanje aktuelnih datuma postepenog uvođenja, oslonite se na zvanične tekstove (Regulation (EU) 2024/1689, Regulation (EU) 2022/2554 i GDPR) ili na sopstvene pravne savetnike.

Počnite od klasifikacije, ne od kontrolne liste

Pre nego što dodirnete ijednu kontrolu, odlučite tri stvari i zapišite ih: AI Act nivo rizika (risk tier) svakog sistema koji isporučujete, da li potpadate pod opseg DORA kao finansijski entitet ili kao njegova ICT treća strana, i pravni osnov za svaki tok ličnih podataka. Ako ovo pogrešite, ili preterano inženjerski obrađujete alate minimalnog rizika ili, još gore, nedovoljno upravljate nečim što ima ozbiljne posledice. Kada ste u nedoumici, klasifikujte na viši nivo, imenujte jednog odgovornog vlasnika po sistemu i zabeležite obrazloženje pored koda, tako da odluka preživi sledeći release. Ta klasifikacija je vaša odgovornost; ono što sledi jeste ono na šta vas svaka odluka zatim obavezuje i kako prateće dokaze činimo svojstvom same izgradnje.

EU AI Act - nivoi rizika i vaše obaveze kao deployer-a

Regulation (EU) 2024/1689 razvrstava AI sisteme u četiri nivoa, i što je viši nivo, teža je obaveza: zabranjene sisteme ne gradite; sistemi visokog rizika (zapošljavanje, kreditiranje, obrazovanje, kritična infrastruktura i slične oblasti sa ozbiljnim posledicama) duguju upravljanje rizikom, upravljanje podacima (data governance), tehničku dokumentaciju, logovanje i sledljivost, ljudski nadzor, kao i tačnost i robusnost; sistemi ograničenog rizika duguju transparentnost - recite korisnicima da razgovaraju sa AI i obeležite sintetički sadržaj; minimalni rizik ne nosi nikakve posebne obaveze. Visoki rizik se najvećim delom definiše prema slučaju upotrebe i kontekstu, a ne prema tome koliko je model sofisticiran, pa jednostavan klasifikator koji odlučuje ko dobija kredit ima viši rang od moćnog modela koji sažima vaše sopstvene beleške. Regulativa takođe razdvaja obaveze provajdera modela opšte namene (general-purpose models) od obaveza koje imate vi kao deployer koji na tome gradi proizvod - većina proizvodnih timova su deployer-i, a Article 26 vas i dalje obavezuje da sistem koristite u skladu sa njegovim uputstvima, da dodelite kompetentan ljudski nadzor sa stvarnom putanjom za zaustavljanje i preglašavanje (stop and override), i da čuvate logove koje sistem generiše. Article 27 dodaje zasebnu obavezu za deployer-e - procenu uticaja na osnovna prava za upotrebu od strane javnih tela i određene upotrebe visokog rizika. Svaku obavezu preslikavamo na artefakt: fiksirano poreklo modela i verzije (model and version provenance) za tehničku evidenciju; nepromenljiv, append-only, po-tenantu, na nivou baze podataka sproveden revizijski trag za obavezu logovanja; ugrađena human-in-the-loop kapija za pregled radi nadzora; i obaveštenja o transparentnosti AI-interakcije i sintetičkog sadržaja tamo gde se primenjuju. Zadržavanje inferencije na EU-suverenoj ili air-gapped infrastrukturi uklanja prekograničnu promenljivu, tako da klasifikacija i dokazi ostaju čisti. Regulativa se postepeno uvodi otprilike od 2024. do 2027. godine, pa potvrdite aktuelni rok za svoj nivo prema zvaničnom tekstu, a ne prema marketinškoj stranici.

DORA - ICT rizik i rizik trećih strana koji finansijski entitet može da upiše u svoj registar

Digital Operational Resilience Act (Regulation (EU) 2022/2554) primenjuje se na banke, osiguravače, investiciona društva i širok skup drugih finansijskih entiteta - kao i na ICT provajdere trećih strana koji ih opslužuju. Obavezuje na okvir za upravljanje ICT rizikom, klasifikaciju i prijavljivanje incidenata, testiranje otpornosti, i registar informacija koji opisuje svaku ICT zavisnost od treće strane, uz posebnu pažnju na rizik koncentracije tamo gde previše kritične usluge počiva na jednom provajderu. Tvrda zavisnost od jednog američkog hyperscaler-a za AI inferenciju upravo je onaj rizik koncentracije koji DORA traži da identifikujete i smanjite. EU-suvereno ili self-hosted postavljanje - pokretanje inferencije i vektorske pretrage unutar EU na Mistral AI i Qdrant, self-hosted ili air-gapped, bez obaveznog prenosa podataka u SAD - uklanja tu zavisnost od kritičnog provajdera i izloženost CLOUD Act koja uz nju ide, i zadržava ICT lanac snabdevanja unutar vaše kontrole i jurisdikcije. Mi smo ICT provajder usluga kog možete da procenite i dokumentujete, a ne garancija otpornosti: testiranje otpornosti i održavanje registra ostaju vaš program. Ono što mi obezbeđujemo jesu činjenice od kojih vaš registar i testiranje zavise - gde sistem radi, od čega zavisi, nepromenljiv revizijski trag po-tenantu iza njega, i single-tenant ili air-gapped opcija za najjaču poziciju izolacije.

GDPR - sloj podataka ispod oba

AI Act uređuje sistem, a DORA uređuje operativnu otpornost, ali GDPR uređuje lične podatke koji protiču kroz sve to, i ako vaš AI dodiruje lične podatke, primenjuje se u potpunosti i paralelno. Rezidencija podataka, potpisan DPA, održavan ROPA, obrada DSAR, i DPIA za obradu višeg rizika jesu noseći elementi - i najveći deo tog posla možete ponovo iskoristiti, jer GDPR DPIA i dokumentacija o upravljanju rizikom iz AI Act pokrivaju najvećim delom iste osnove kada ih napišete tako da se međusobno pozivaju. Naša EU-suverena putanja zadržava podatke i inferenciju unutar EU po konstrukciji, tako da ne rasuđujete o prekograničnim prenosima povrh svega ostalog, a redakcija PII se izvršava pre nego što model vidi podatke, sužavajući ono što se ikada obrađuje. Retrieval je uobičajena zamka: indeksiranje dokumenta ne daje novi pravni osnov da se on prikaže, pa minimizacija podataka, ograničenje svrhe i odbranjivo zadržavanje logova moraju biti dizajnirani od početka, a ne zakrpljeni kasnije - i mi ograničavamo pristup po-tenantu pomoću PostgreSQL Row-Level Security uz vektorske kolekcije po-tenantu, tako da je ta granica sprovodiva, a ne pretpostavljena. Pravni osnov ostaje vaša odgovornost da ga uspostavite; mi gradimo kontrole koje ga čine održivim.

Kako TechRevati pomaže - jedno postavljanje, dokazi za sva tri režima

EU AI Act uređuje sistem, DORA uređuje operativnu otpornost finansijskog entiteta koji ga pokreće, a GDPR uređuje lične podatke koji protiču kroz njega - ali se oni u velikoj meri preklapaju, i najveći deo dokaza je zajednički. Polazimo od Sovereign RAG Pilot: postavljanje fiksnog opsega, single-tenant, na vašoj infrastrukturi ili na EU-suverenom cloud-u (Mistral AI inferencija, Qdrant vektorska pretraga, EU rezidencija, self-host ili air-gapped), povezano sa jednim stvarnim slučajem upotrebe, čija svojstva zadovoljavaju obaveze kroz sva tri režima - nepromenljiv, append-only, po-tenantu, na nivou baze podataka sproveden revizijski trag za logovanje i sledljivost; fiksirano poreklo modela i verzije (model and version provenance) za tehničku evidenciju i vaš registar; redakcija PII pre nego što model vidi podatke za GDPR minimizaciju; human-in-the-loop putanja za zaustavljanje i preglašavanje (stop and override) za Article 26; i pristup ograničen pomoću PostgreSQL Row-Level Security uz vektorske kolekcije po-tenantu, sa single-tenant ili potpuno air-gapped za najjaču uverljivost. Da budemo jasni u pogledu sopstvene pozicije: naše kontrole su preslikane na SOC 2 i ISO 27001 dokaze i možemo vas provesti kroz to preslikavanje, ali atestacija je na našoj mapi puta i još je ne posedujemo - nećemo tvrditi da posedujemo sertifikate koje nemamo, a za zdravstvo isporučujemo HIPAA-ready arhitekturu, a ne HIPAA sertifikaciju. Dokaz je isporuka: AI Nexus ITSM pokreće on-prem, zero-egress analizu ServiceNow incidenata, a Ollama-ServiceNow Defender je potpuno lokalna ServiceNow aplikacija - oba primera suverene, no-egress pozicije koju ova stranica opisuje, i oba dizajnirana tako da dokaz o usklađenosti bude svojstvo sistema, a ne trka pred lansiranje.

FAQ

  • Da li se sadržaj o EU AI Act, DORA ili GDPR ovde smatra pravnim savetom?

    Ne. Sve na ovoj stranici je inženjersko uputstvo o tome kako vam pomažemo da ispunite ove regulative i pripremite se za njih, utemeljeno u produkcionoj isporuci. Nije pravni savet niti garancija usklađenosti, i mi nismo vaš organ za usklađenost - odgovornost za klasifikaciju rizika, pravni osnov, regulatorne prijave i održavanje registra ostaje na vama i vašim pravnim savetnicima. Regulatorni rokovi i opseg se menjaju, pa potvrdite specifičnosti za svoj nivo i entitet prema zvaničnim tekstovima (Regulation (EU) 2024/1689, Regulation (EU) 2022/2554 i GDPR) ili sopstvenim pravnim savetnicima pre nego što se oslonite na bilo šta od ovoga.

  • Mi smo finansijski entitet pod DORA - kako EU-suvereno postavljanje pomaže našem registru rizika ICT trećih strana?

    DORA (Regulation (EU) 2022/2554) zahteva od vas da identifikujete, upravljate i dokumentujete rizik ICT trećih strana, uključujući rizik koncentracije tamo gde jedan kritični provajder nosi previše opterećenja. Tvrda zavisnost od jednog američkog hyperscaler-a za AI inferenciju upravo je ta vrsta rizika koncentracije. Pokretanje inferencije i vektorske pretrage na EU-suverenom stack-u (Mistral AI uz Qdrant, EU rezidencija podataka), self-hosted ili air-gapped bez obaveznog prenosa podataka u SAD i bez izloženosti CLOUD Act, smanjuje tu zavisnost i zadržava ICT lanac snabdevanja unutar vaše jurisdikcije - i daje vam konkretne činjenice za upis u vaš registar informacija: gde sistem radi, od čega zavisi, i nepromenljiv revizijski trag po-tenantu iza njega. Mi smo ICT provajder usluga kog možete da procenite i dokumentujete; testiranje otpornosti i održavanje registra ostaju vaš program, a mi obezbeđujemo činjenice o postavljanju da biste ga upotpunili.

  • Da li posedujete SOC 2, ISO 27001 ili HIPAA sertifikaciju?

    Ne, i nećemo tvrditi da posedujemo sertifikate koje nemamo. Naše kontrole su preslikane na SOC 2 i ISO 27001 dokaze i provešćemo vas kroz to preslikavanje, ali formalna atestacija je na našoj mapi puta i još je ne posedujemo. Za zdravstvene radne opterećenja isporučujemo HIPAA-ready arhitekturu, a ne HIPAA sertifikaciju. Ako je sertifikacija tvrd zahtev za vašu nabavku, jasno ćemo vam reći gde stojimo umesto da to prikrivamo - a ono što danas isporučujemo jeste dokazivo: nepromenljiv, append-only, po-tenantu, na nivou baze podataka sproveden revizijski trag i opcija single-tenant ili potpuno air-gapped postavljanja za najjaču uverljivost izolacije.

  • Da li sam ja provajder ili deployer pod EU AI Act, i da li me pozivanje modela treće strane preko API oslobađa obaveza?

    Za većinu timova koji grade proizvod na modelu opšte namene, vi ste deployer, a ne provajder modela, i korišćenje preko API ne uklanja vaše obaveze. Obaveze deployer-a pod Article 26 uključuju kompetentan ljudski nadzor sa stvarnom putanjom za zaustavljanje i preglašavanje (stop and override), čuvanje logova koje sistem generiše, transparentnost prema pogođenim osobama (procena uticaja na osnovna prava je zasebna obaveza po Article 27 za određene upotrebe); obaveze provajdera na osnovnom modelu leže na onome ko ga isporučuje. Fiksiramo model i verziju od koje zavisite i podrazumevano hvatamo operativne dokaze iza tih obaveza. Ako suštinski fine-tune-ujete ili rebrandujete osnovni model kao svoj sopstveni, obaveze provajdera mogu početi da se vezuju za vas, što vredi ponovo proveriti sa pravnim savetnicima - a klasifikacija rizika i odluka o postavljanju ostaju vaše.

  • Da li je naš AI chatbot visokog rizika pod EU AI Act?

    Obično ne po podrazumevanoj vrednosti. Chatbot za korisničku podršku ili asistent tipično potpada pod pravila transparentnosti za ograničeni rizik, što znači da morate reći korisnicima da su u interakciji sa AI i obeležiti sadržaj koji je generisao AI. Postaje visokog rizika tek kada se koristi u oblasti sa ozbiljnim posledicama koju regulativa navodi - na primer kada materijalno utiče na odluke o zapošljavanju, kreditiranju ili bezbednosti - pa klasifikacija zavisi od slučaja upotrebe i konteksta, a ne od sposobnosti modela. Kada ste u nedoumici, klasifikujte na viši nivo i zabeležite obrazloženje.

  • Da li moramo da premestimo sve u Evropu, ili možemo da zadržimo neke modele hostovane u SAD?

    Birate namerno, po radnom opterećenju. Mnoga radna opterećenja rade sasvim dobro na modelima hostovanim u SAD, i to podržavamo - poenta je da je izbor namerni i da je revizijski trag netaknut u oba slučaja. Tamo gde AI Act, DORA ili GDPR čine prekograničnu obradu stvarnom odgovornošću, EU-suverena ili air-gapped putanja (Mistral AI uz Qdrant, EU rezidencija podataka) u potpunosti uklanja prekograničnu promenljivu, bez obaveznog prenosa podataka u SAD i bez izloženosti CLOUD Act. Sovereign RAG Pilot vam omogućava da dokažete suverenu putanju na jednom stvarnom slučaju upotrebe pre nego što se obavežete.

Vidite suverenost dokazanu, a ne obećanu - pokrenite Sovereign RAG Pilot

Donesite jedan stvarni slučaj upotrebe i mi ćemo postaviti Sovereign RAG Pilot fiksnog opsega, single-tenant, u vašem sopstvenom okruženju ili na EU-suverenom cloud-u - Mistral AI i Qdrant, EU rezidencija podataka, self-hosted ili air-gapped - sa ugrađenim dokazom o usklađenosti: klasifikovano po nivou rizika (risk tier), PII redigovan pre nego što model vidi podatke, nepromenljiv, append-only, po-tenantu, na nivou baze podataka sproveden revizijski trag, human-in-the-loop putanja za zaustavljanje i preglašavanje (stop and override), i pristup ograničen pomoću PostgreSQL Row-Level Security uz vektorske kolekcije po-tenantu. Videćete kako inženjering po principu klasifikacija-prvo, suveren-po-dizajnu čini obaveze iz AI Act, DORA i GDPR svojstvima sistema, a ne papirologijom pred reviziju - i mi ćemo ga zajedno sa vama opsegom definisati. Pokrenite pilot.

Pokreni pilot