Het jaar is nog maar net begonnen, maar Europa staat op het punt om definitief akkoord te geven op 3 impactvolle wetten. Het gaat om de Artificial Intelligence Act, Cyber Resilience Act en de Europese digitale identiteit (eID). Doel van deze wetgeving? Europese inwoners beter beschermen én de innovatiekracht van Europa stimuleren om zo concurrentievoordeel te behalen op grote (Amerikaanse) spelers.
Terugblik digitale wetgeving 2023
Voor we vooruitblikken, even een korte terugblik op de Europese wetgeving die in 2023 van kracht is gegaan. Afgelopen jaar werden namelijk 2 belangrijke Europese wetsvoorstellen goedgekeurd.
Digital Operational Resilience Act (DORA)
In 2023 is de Digital Operational Resilience Act (DORA) aangenomen om de digitale weerbaarheid van de financiële sector te vergroten. De DORA eist van financiële instellingen en hun ICT-leveranciers dat zij bestand zijn tegen allerlei soorten ICT-verstoringen en -dreigingen
Financiële entiteiten hebben tot januari 2025 om de wet te implementeren, maar ook hun IT-dienstverleners moeten zich dus goed voorbereiden op de DORA.
EU Data Act
Data is het nieuwe goud, wordt weleens gezegd. Daar wil Europa beter van kunnen profiteren door middel van de EU Data Act. Deze in 2023 aangenomen verordening geeft Europese bedrijven en consumenten meer controle over hun eigen data. Tegelijkertijd is het doel de macht van Amerikaanse techbedrijven als Google, Microsoft en Amazon in te perken.
Deze verordening bevat onder meer regels over het vereenvoudigen van de toegang tot data en het kunnen wisselen van cloudprovider voor gebruikers binnen de EU. De Eu Data Act is in december van kracht geworden en is 20 maanden na inwerkingtreding van toepassing. Najaar 2025 moeten alle betrokken partijen zich dus aan de regels houden.
Wachten op een definitief akkoord in 2024
De afgelopen maanden heeft Europa een voorlopig akkoord bereikt ten aanzien van 3 belangrijke Europese wetsvoorstellen: de Artificial Intelligence Act, Cyber Resilience Act en de Europese digitale identiteit (eID). Het bereiken van een definitief akkoord is in grote lijnen een formaliteit, dus deze wetten worden naar verwachting binnen enkele maanden van kracht.
Artificial Intelligence Act: grip op kunstmatige intelligentie
Europa werkt wereldwijd als eerste aan Artificial Intelligence (AI) wetgeving. Nu de technologische ontwikkelingen elkaar razendsnel opvolgen, maakt Europa ook vaart. Eind 2023 werd een voorlopig akkoord gesloten, waarin bijvoorbeeld ook ChatGPT is opgenomen.
De Artificial Intelligence Act bevat een risicogebaseerde aanpak en deelt systemen in 3 categorieën in:
onaanvaardbaar risico;
hoog risico; en
beperkt of minimaal risico.
Zoals de naam al verraadt, zijn AI-systemen in de categorie ‘onaanvaardbaar risico’ verboden. Dit zijn systemen die grondrechten schenden of een grote bedreiging vormen voor de samenleving. Denk aan manipulerende systemen die aansporen tot ongewenst gedrag.
AI-systemen met een hoog risico zijn toegestaan, maar wel onder strenge voorwaarden. Zo moet er onder meer passend menselijk toezicht zijn en moeten gebruikers duidelijk en adequaat geïnformeerd worden. Het gaat hier om systemen die als risicovol worden gezien en bijvoorbeeld gebruikt worden in het onderwijs, kritieke infrastructuurnetwerken of bij wetshandhaving.
Zijn de risico’s beperkt of minimaal (dat zal waarschijnlijk gelden voor het grootste deel van de AI-systemen), dan gelden volgens het huidige voorstel van de Artificial Intelligence Act enkel lichte transparantieverplichtingen.
In het voorjaar van 2023 is de AI Act zodanig aangepast, dat ook zogenaamde ‘foundation models’ als ChatGPT onder de regelgeving vallen. Deze algemene AI-modellen worden verdeeld in twee categorieën. De gewone foundation models moeten voldoen aan specifieke transparantieverplichtingen. Voor ‘high impact’ foundation models komen strengere regels.
Status wetsvoorstel Artificial Intelligence Act
In december hebben de Europese raad en het parlement een voorlopig akkoord bereikt over de AI Act. De overeengekomen tekst zal nu formeel moeten worden aangenomen door zowel het Europese parlement als de raad om officieel EU-wetgeving te worden. Naar verwachting zal dit begin 2024 gebeuren.
Na publicatie van de definitieve wetgevingstekst hebben organisaties 2 jaar de tijd aan de regels te voldoen. Uitzonderingen daargelaten, want systemen die in de categorie ‘onacceptabel risico’ vallen, moeten bijvoorbeeld al binnen 6 maanden na publicatie van de markt verdwenen zijn.
Lees meer over deze wet in de blog: ‘Europa bereikt voorlopig akkoord over Artificial Intelligence Act’
Cyber Resilience Act voor veilige digitale producten
Eind november bereikte Europa een voorlopig akkoord over de Cyber Resilience Act. Deze nieuwe verordening stelt strenge cyberbeveiligingsvoorschriften aan het op de Europese markt brengen van producten met digitale elementen.
De Cyber Resilience Act zal gelden voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. Denk niet alleen aan tablets en smartphones, maar ook aan slimme apparaten als auto’s, wasmachines en robotstofzuigers.
Deze producten moeten minder kwetsbaarheden bevatten en er moet meer transparantie komen over de beveiliging en mogelijke veiligheidsrisico’s van deze producten.
Let op!
De fabrikant van producten met digitale elementen moet gedurende de hele verwachte levensduur van het digitale product ondersteuning bieden aan afnemers. Deze ondersteuningstermijn dient sowieso minstens 5 jaar te bedragen, behalve voor producten met een kortere verwachte gebruiksduur.
In het voorlopig akkoord zijn een aantal wijzigingen aangebracht ten opzichte van het initiële voorstel. Zo zijn extra steunmaatregelen voor kleine en micro-ondernemingen opgenomen en moeten kwetsbaarheden of incidenten met producten met digitale elementen in eerste instantie gemeld worden bij de bevoegde nationale instanties. Ook krijgen fabrikanten meer tijd om aan de wetgeving te voldoen en is er een simpelere manier bedacht om te bepalen of digitale producten onder de nieuwe verordening vallen.
Status wetsvoorstel Cyber Resilience Act
Eind november is er in Europa een voorlopig akkoord bereikt over deze verordening. De komende tijd zal er op technisch niveau verder worden overlegd over de nieuwe verordening om de puntjes op de i te zetten.
De definitieve tekst moet uiteindelijk formeel worden aangenomen door zowel de Europese raad als het parlement. De verwachting is dat dit in 2024 zal gebeuren, waarna de wet ook in werking treedt.
De nieuwe regels zullen vervolgens 3 jaar na de inwerkingtreding van de wet ingaan, zodat fabrikanten voldoende tijd hebben om zich aan te passen.
Lees meer over deze wet in onze blog: Europa wil strenge beveiligingseisen stellen aan soft- en hardware gedurende de hele levenscyclus.
Eén Europese digitale portemonnee met eID
Sinds 2020 ligt er een voorstel voor één Europese digitale identiteit (eID). Begin november hebben het Europese parlement en de raad een voorlopig akkoord bereikt hierover.
De Europese digitale identiteit is bedoeld voor alle EU-burgers, -ingezetenen en -bedrijven. De eID moet personen en bedrijven universele toegang geven tot veilige en betrouwbare elektronische identificatie en authenticatie.
Veel mensen maken al gebruik van een digitale portemonnee op hun smartphone en deze e-ID wordt daar het Europese antwoord op. Met deze portemonnee kunt u zich digitaal identificeren binnen de EU en officiële documenten als rijbewijs, doktersrecept of diploma’s opslaan en beheren. Op een veilige en eenvoudige manier.
De nieuwe Europese portemonnee biedt alle Europeanen online toegang tot diensten met hun nationale digitale identificatie. Deze is in heel Europa erkend en maakt particuliere identificatiemethoden of het delen van persoonsgegevens overbodig.
Binnen Europa is afgesproken dat de afgifte, het gebruik en de intrekking van de digitale portemonnee voor alle natuurlijke personen gratis is. Lidstaten kunnen er wel voor kiezen om dit kosteloze gebruik door natuurlijke personen te beperken tot niet-professionele doeleinden.
Status wetsvoorstel eID
Op dit moment wordt het wetsvoorstel aangevuld conform het in november gesloten voorlopige akkoord. De herziene tekst moet vervolgens formeel worden aangenomen door de Europese raad en het parlement, waarna de wet in werking zal treden.
Zeker weten dat u niks mist over deze en andere Europese verordeningen?
Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.