Ännu vet vi inte hur EU-reglerna kring AI, kallad AI Act, kommer att se ut. Men att det blir en omfattande reglering som går horisontellt över många branscher och sektorer står klart.
Heidi Lund, ämnesråd på den statliga myndigheten för utrikeshandel, Kommerskollegium, som skrivit rapporten Innovation, AI, Technical Regulation and Trade som kom tidigare i år. ser stora utmaningar med den reglering som förbereds och liknar det vid en skål med spagetti där det är svårt att se var ett regelverk börjar och en annan tar vid.
I rapporten har Kommerskollegium genomfört ett antal djupintervjuer inom tre sektorer – mobiltelefoni, medicinteknik och fordonsindustri.
– Många sektorer har redan idag komplexa och omfattande regelverk. Att lägga till ytterligare digitala lager, som i detta fall AI-lagret skapar osäkerhet. Särskilt om de olika regelverken inte talar samma språk som är fallet till exempel med medicintekniska produkter. Det kan bli extremt komplext och svårt för företagen att tolka och navigera bland kraven, säger Heidi Lund.
Svårt att utöva tillsyn
Inte nog med att reglerna blir svåra att följa – det blir också svårt att kontrollera, följa upp och utöva tillsyn över kraven eftersom egenskaperna i produkter med inbyggd digital teknik och AI skiljer sig fundamentalt från traditionella, fysiska industrivaror förklarar Heidi Lund.
Hon beskriver hur egenskaperna i traditionella, icke-uppkopplade produkter är mer förutsägbara under sin livslängd – vilket också gör att man kan använda standardiserade krav för reglering och en efterföljande marknadskontroll för tillsyn av kraven. Och när en traditionell, icke-digital vara certifieras så går det att bevisa att den uppfyller de krav på till exempel säkerhet som ställts i lagstiftning.
– Varor med inbyggd digital teknik däremot ändras under hela livscykeln och kan därutöver påverkas av cybersårbarheter eller attacker. Även verktyg för att säkerställa krav blir svårare för digitala varor. säger hon,
Exempelvis cybercertifiering av it-produkter visar endast de sårbarheter produkten har vid certifieringstillfället. Om de kopplas in i andra it-system kan säkerheten ändras.
– Vi vet att det på den europeiska marknaden finns produkter som är cybercertifierade på hög nivå och som visar på sårbarheter – det är ett faktum. Och det är viktigt att beslutsfattare inser hur svårt det är att kontrollera digitala produkter.
Utredningen visar också att komplexa leverantörskedjor försvårar regelefterlevnad vilket innebär att företagen själva kan ha svårt att ha spårbarhet och kunna kontrollera vad som händer med produkten.
Standarder har traditionellt varit ett viktigt regulativt verktyg för att få produkter att fungera på ett enhetligt och säkert sätt men inte heller det är helt enkelt att tillämpa på digitala produkter eftersom utvecklingen helt enkelt går för snabbt för att fånga in ny innovation som AI.
Fokus på livscykeln
Allt detta innebär att det behövs mer fokus på livscykelperspektivet i både reglering och marknadsövervakning – i rapporten kallat för ”continuous compliance”. Men för att klara det behövs nya kompetenser och verktyg.
Heidi Lunds slutsats blir därför att beslutsfattare inte borde ha så bråttom att reglera den digitala marknaden eftersom omfattande krav måste kunna vara tydliga för företagen men också måste kunna följas upp och kontrolleras av myndigheter.
Och hon tycker att analysen har fått bra respons – sedan rapporten släpptes har den bland annat diskuteras i Världshandelsorganisationen, WTO, i den europeiska cybersäkerhetsmyndigheten Enisa, Internationella Standardiseringsorganisationen,ISO och FN:s Ekonomiska Kommission för Europa, UNECE.
Samtidigt är EU:s AI-reglering på god väg att bli verklighet inom en inte alltför avlägsen framtid.
– Jag är medveten om att Kommerskollegiums utredning inte stoppar utvecklingen i EU, men vi vill ändå kunna delta i debatten, lyfta komplexa frågor och bidra med helikopterperspektiv. Beslutsfattarna orkar inte ta till sig det tekniska så då måste man försöka beskriva vad det innebär – att AI har många olika nivåer och att det här är verkligheten för teknik och innovation.
Heidi Lund har också förståelse för att EU vill visa sig i framkant och ställa krav på AI och hon anser också själv att den nya tekniken behöver kontrolleras. Men för att det ska kunna göras på ett rimligt sätt så behöver tekniken mogna anser hon.
– Det finns ett stort behov av kunskap och få har målat upp helhetsbilden. Och jag tror att AI är en stor samhällelig utmaning där det inte räcker med regelverk för företag och organisationer.
Reglera för varje sektor
Även om det inte finns en färdig lösning för hur man ska gå tillväga så anser hon att det vore bättre att lägga in regleringar kring AI i de redan befintliga sektorsregelverk som finns i dag.
Inom medicinteknik finns redan i dag väl definierat i regelverket hur mjukvara ska hanteras och det kan byggas på med skrivningar för AI – det skulle vara lättare för företagen att hantera tror Heidi Lund.
Hon oroar sig för att framför allt små och medelstora företag kommer att få det tufft att förstå och försöka följa de regleringar som är på gång.
– Stora bolag kan tolka reglerna till sin egen fördel och hitta kryphålen. Och de har lättare att modifiera produkten för att passa regelverket än vad små företag har.
Men det viktigaste är att få till en reglering som på ett effektivt sätt tar hand om olika skyddshänsyn framhåller Heidi Lund.
– Med digitala produkter utgör detta en utmaning. Man måste inse att kravställning av industrivaror idag inte bara handlar om produktsäkerhet utan också om cybersäkerhet, personlig integritet och motståndskraft.
Läs också: Så brottas regeringar världen över med lagstiftning för att begränsa riskerna med AI