Partner společnosti Eversheds Sutherland Jaroslav Tajbr se specializuje na oblasti jako umělá inteligence, strojové učení, robotická automatizace procesů, autonomní řízení, Edge Computing, rozšířená a virtuální realita, blockchain či Internet of Things. Zeptali jsme se ho na to, jaká rizika tyto oblasti přinášejí a na co by se měly firmy právě v tomto ohledu zaměřit, nebo na budoucí regulaci AI a kyberbezpečnosti – a co to znamená nejen pro šéfy firem.
Text: Jana Chuchvalcová
Foto: Jan Branč
Specializujete se na obory jako umělá inteligence (AI), strojové učení, robotická automatizace procesů, autonomní řízení, Edge Computing, rozšířená a virtuální realita, blockchain či Internet of Things (IoT), které se dynamicky mění a vyvíjejí. Přinášejí však také rizika – na co by se měly firmy právě v tomto ohledu zaměřit?
I když zní všechny tyto názvy složitě, nejde v zásadě o nic jiného, než že se čím dál více lidských činností přesouvá do digitálního prostoru. Společnosti, které s těmito technologiemi pracují nebo chtějí pracovat, by měly bezesporu věnovat zvláštní pozornost kybernetické bezpečnosti. Ta je čím dál důležitější, a to nejen kvůli tomu, co probíhá na východ od slovenských hranic. Je dobré si uvědomit, že nejde jen o implementaci směrnice NIS2, ale především o smysluplnou ochranu vlastních aktiv, konkrétně o vypořádaní se s rostoucím počtem kybernetických incidentů.
Každé zařízení připojené do sítě představuje riziko. Každý dodatečný IT prvek zvyšuje expozici vůči okolí. Proto je nutné investovat do ochranných prvků, jako jsou firewally, antivirové programy nebo šifrování. Důležitá je i pravidelná kontrola a aktualizace systémů.
Nesmí se však zapomínat i na pravidelná školení zaměstnanců, včetně managementu, protože ke kybernetickým incidentům stále zdaleka nejčastěji vedou lidské chyby. Lidé musí znát hrozby jako phishing, malware, ransomware a podobně – a umět se jim účinně bránit. Školení, která pro klienty organizujeme, zahrnují i věrohodné simulované útoky, aby zaměstnanci lépe pochopili, jak reagovat v reálných situacích.
Kromě kybernetické bezpečnosti je třeba také řešit ochranu osobních údajů, ochranu know-how, otázky spojené s odpovědností za škody a otázky duševního a průmyslového vlastnictví. Například v oblasti autorského práva je nyní horkým tématem robotické vytěžování autorských textů pro účely učení umělé inteligence, třeba v podobě takzvaného web scrappingu. Všechny tyto oblasti jsou takříkajíc naším denním chlebem.
Advokátní kancelář Eversheds Sutherland má silný mezinárodní tým expertů z Evropy i zámoří, kteří se specializují na tyto oblasti. Díky naší globální síti poskytujeme klientům aktuální rady a řešení, abychom jim pomohli bezpečně a efektivně čelit těmto výzvám.
Co to znamená pro šéfy firem, které chtějí využívat třeba AI, kde se mluví o mnoha rizicích?
Znamená to, že musí zejména velmi pečlivě přistupovat k řízení rizik. Znít to jako fráze, ale je to prostě tak. AI nabízí mnoho výhod, jako je zlepšení efektivity a automatizace rozhodování, ale také přináší svá rizika. Jsou jimi například zkreslení v algoritmech, porušování ochrany dat a soukromí, otázka autorských práv a již zmíněné kybernetické hrozby. Je důležité, aby management tato rizika chápal a implementoval strategie k jejich minimalizaci.
Management by měl také zajistit, aby používané algoritmy byly transparentní, etické a pravidelně kontrolované. Důležitá je opět investice do školení zaměstnanců, aby porozuměli používaným technologiím a jejich rizikům. Etické využívání AI a dodržování platných regulací je pro vedení firem zásadní. To vede k minimalizaci rizik a zároveň využití výhod AI k budování důvěry zákazníků a obchodních partnerů.
V těchto nových oborech však také přichází i nová legislativa. Letos v březnu například europoslanci schválili nová pravidla pro fungování umělé inteligence, takzvaný Akt o umělé inteligenci (AI Act). Jde o první komplexní právní úpravu AI na světě. Jaké jsou hlavní cíle úpravy a jaká se posuzují rizika?
Je to tak. S mnoha klienty již na přípravě na tuto novou regulaci pracujeme. Je dobré zdůraznit, že ač se jedná o regulaci evropskou, bude mít zásadní dopad na globální společnosti z celého světa – viz například současné třenice mezi společností Apple a Evropskou komisí.
Cílem AI Act je zajistit, že systémy AI používané v EU budou bezpečné, důvěryhodné a transparentní. Mají být navrženy tak, aby nikoho nediskriminovaly a respektovaly lidská práva. Zároveň EU deklaruje, že chce podporovat inovace a stát se lídrem v oblasti AI, což má vytvořit příležitosti pro firmy k získání konkurenční výhody na globálním trhu. Tím, zda je k tomu připravovaná regulace vhodným nástrojem, si nejsem jistý. Ale souhlasím, že určité mantinely existovat musí.
Připravovaný AI Act rozlišuje čtyři úrovně rizik: nepřijatelné, vysoké, omezené a minimální. Systémy s nepřijatelným rizikem budou úplně zakázány. Ty s vysokým rizikem musí splňovat přísné požadavky. Naopak systémy s nízkým nebo minimálním rizikem jsou regulovány jen nepatrně a mohou být uváděny na trh s nejmenšími omezeními. Nová regulace zavádí jako již tradičně významné sankce. Na to už jsme si ostatně zvykli.
V Eversheds Sutherland již nyní pomáháme klientům zajistit, že jejich AI systémy splňují nové požadavky a jsou připraveny na novou legislativu. Opět jde často o velké mezinárodní projekty. Není bez zajímavosti, že tato zadání jsme začali dostávat dlouho předtím, než byl AI Act publikován. Na trhu zcela jistě funguje významná samoregulace.
Kdy bude AI Act implementován do českého práva a co to bude znamenat pro firmy? Jsou na novou regulaci připraveny?
AI Act je nařízení, nikoli směrnice. To znamená, že po přijetí bude mít přímou účinnost ve všech členských státech Evropské unie bez nutnosti implementace do národních právních předpisů. Zde je rozdíl například od NIS2, která vyžaduje implementaci v národních předpisech.
Povinnosti plynoucí z AI Act by měl být postupně plněny již od příštího roku. Firmy, které používají nebo plánují používat AI, budou muset dodržovat nová pravidla zaměřená na bezpečnost, transparentnost a etiku. To může znamenat, že firmy budou muset přehodnotit své současné systémy, zda odpovídají nové regulaci.
Co se týká připravenosti českých firem, je situace celkem nepřekvapivě různá. Velké mezinárodní firmy jsou často lépe připravené, protože už zavádějí opatření na dodržování regulací. Menší firmy mohou čelit větším výzvám kvůli nedostatku právního nebo technického zázemí. I zde ale existují významné výjimky. Máme několik lokálních klientů pracujících se sofistikovanými AI systémy – a ti jsou již nyní daleko před chystanou regulací. V Eversheds Sutherland pomáháme s přípravou na nové požadavky a zajištěním souladu s novou regulací jak lokálním, tak globálním hráčům.
Podobně by se firmy měly připravovat na nový zákon o kybernetické bezpečnosti, který do českého právního řádu implementuje evropskou směrnici NIS2 (Network and Information Security 2). Co přinese tato regulace?
Směrnice NIS2 navazuje na původní směrnici NIS1, která byla prvním krokem k vytvoření právního rámce pro kybernetickou bezpečnost na úrovni EU. NIS1 provedená českým zákonem o kybernetické bezpečnosti zavedla pravidla a povinnosti pro několik desítek strategicky nejvýznamnějších subjektů v klíčových sektorech, jako jsou energetika, doprava, bankovnictví, zdravotnictví, vodní hospodářství a digitální infrastruktura.
NIS2 přináší úpravu těchto pravidel, ale zejména zásadní rozšíření působnosti na mnoho tisíc českých společností. Nově budou regulovány například strojírenské podniky, obchodníci v určitých sektorech a podobně.
Nový právní rámec zavádí, podobně jako svého času GDPR či již zmíněný AI Act, drakonické sankce. Přináší ale také osobní povinnosti a odpovědnost managementu, což je novum. To má motivovat management firem k aktivnímu posilování bezpečnosti a k lepší ochraně regulovaných systémů a služeb.
Připravují se dostatečně české společnosti? Co to pro ně bude znamenat a kolik je to bude stát?
Je třeba zmínit, že NIS2 je směrnice, takže na rozdíl třeba od GDPR vyžaduje českou národní implementaci. Tou je připravovaný nový český zákon o kybernetické bezpečnosti, který je momentálně v Poslanecké sněmovně. Očekávaná účinnost je v první polovině příštího roku. Hlavní povinnosti už jsou ale jasné nyní a jejich implementace většinou nebude otázkou týdnů, ale spíše měsíců. Navíc se jedná o kontinuální proces, kdy regulované subjekty budou muset dohlížet na to, že povinnosti podle nového zákona stále plní.
České společnosti jsou v různém stadiu připravenosti. Větší firmy, zejména ty, které jsou součástí nadnárodních korporací, již často implementují opatření pro kybernetickou bezpečnost v souladu s mezinárodními standardy. Pro menší a střední firmy to může znamenat vyšší náklady na školení zaměstnanců, implementaci nových technologií a pravidelné audity. Opět ale známe výjimky.
Cena implementace NIS2 se bude lišit podle velikosti společnosti a sektoru, ve kterém působí. Náklady nebudou zcela jistě zanedbatelné. V dlouhodobém horizontu by se tyto investice měly vyplatit. Měly by vést k větší odolnosti vůči kybernetickým hrozbám a nižším rizikům finančních ztrát způsobených právě těmito potencionálními útoky.
My se při práci s klienty vždy snažíme hledat maximálně efektivní řešení. I zde lze aplikovat známé Paretovo pravidlo, podle kterého pramení 80 % důsledků z 20 % příčin. Pokud odstraníme 20 % příčin, snížíme riziko o 80 %. Je ovšem nutné správně identifikovat ony příčiny.
Na co by se měli zaměřit šéfové firem, na které regulace dopadne? Jaké jsou největší výzvy?
Šéfové firem, které budou muset dodržovat směrnici NIS2, by se měli zaměřit na několik klíčových oblastí. Prvním krokem je provést důkladný audit kybernetické bezpečnosti, aby byly odhaleny slabiny a místa, která vyžadují zlepšení. Poté je důležité investovat do moderních technologií pro detekci a prevenci kyberútoků a zavést pravidelné kontroly a řízení rizik.
Důležité je také pravidelné školení zaměstnanců a managementu, aby byli lidé schopni rozpoznat kybernetické hrozby a rychle na ně reagovat. Lidský faktor je často nejslabším článkem, proto je nezbytné zvyšovat povědomí o kybernetické bezpečnosti napříč celou firmou. Největší výzvou bude správně zavést nové bezpečnostní procesy a technologie, aniž by to narušilo běžný provoz, a zároveň držet krok s rychle se měnícími kybernetickými hrozbami. Jak už jsem uvedl, jde o nepřetržitý proces.
Na jaké další výzvy a regulace by se měly firmy zaměřit do budoucna? Co byste jim poradil?
Je pravda, že v oblasti nových technologií se Evropská komise utrhla v posledních letech z pomyslného řetězu a chrlí jednu regulaci za druhou. Například v oblasti kybernetické bezpečnosti to není jen zmíněná NIS2, ale dalších zhruba 15 až 20 nových předpisů, z nichž některé jsou obecné a některé sektorové. S tím mnoho neuděláme, ačkoli se již z členských států ozývají čím dál častější a silnější hlasy, aby Komise „šlápla na brzdu“.
Na rostoucí míru regulace je třeba reagovat pragmaticky. My sami se vždy klientům snažíme radit tak, aby řešení bylo efektivní. To znamená v souladu s regulací, ale aby zejména jim přineslo benefit pro vlastní byznys.
Jaroslav Tajbr, partner společnosti Eversheds Sutherland
Advokát s více než patnáctiletou zkušeností s komplexními právními projekty a vedoucím praxe v oblasti IP/IT – duševního vlastnictví a informačních technologií, který se specializuje také na právo elektronických komunikací a další regulované oblasti, jako je například ochrana osobních údajů a kybernetická bezpečnost. Má rovněž odborné znalosti v oblasti fúzí a akvizic (M&A), zejména technologických transakcích, a dále v pracovněprávních a smluvních záležitostech či v litigacích.
Jeho odborné znalosti se vztahují i na rozvíjející se technologie jako umělá inteligence (AI), strojové učení, robotická automatizace procesů, autonomní řízení, Edge Computing, rozšířená a virtuální realita, blockchain či Internet of Things (IoT).
Vystudoval Právnickou fakultu Univerzity Karlovy a Mezinárodní obchod na Vysoké škole ekonomické. Je autorem nebo spoluautorem mnoha odborných publikací, je opakovaně zařazován do významných mezinárodních žebříčků a pravidelně se podílí na pro bono projektech.