31/10/2024
Recientemente la Revista AJA 1011 compartía la publicación sobre la Aplicación y efectos del Reglamento de Ciberresiliencia sobre los sistemas de IA de alto riesgo, escrita por nuestro compañero Rodrigo López, Asociado Principal en el departamento de Derecho Digital y Propiedad Intelectual en EJASO.
A continuación, compartimos el artículo. Asimismo, si te interesa leer el contenido completo de la Revista, accede aquí.
La UE ha adoptado dos regulaciones fundamentales: el Reglamento de Inteligencia Artificial (Reglamento [UE] 2024/1689) y el Reglamento de Ciberresiliencia
El nuevo Reglamento de Ciberresiliencia es clave para las empresas, estableciendo requisitos de ciberseguridad en la UE y garantizando la seguridad de los productos digitales desde su diseño hasta su comercialización
En la era digital actual, la inteligencia artificial (IA) y la ciberseguridad se han convertido en elementos esenciales para el desarrollo económico, social y tecnológico de la Unión Europea. El aumento de dispositivos conectados (Internet of Things), junto con el rápido aumento y la accesibilidad de la IA en nuestra vida cotidiana, han transformado la forma en que vivimos, trabajamos y nos relacionamos. Sin embargo, este avance también ha traído consigo nuevos desafíos y riesgos.
Con el fin de abordar estos retos, la UE ha adoptado dos regulaciones fundamentales: el Reglamento de Inteligencia Artificial (Reglamento [UE] 2024/1689) y el Reglamento de Ciberresiliencia. Este último, recientemente adoptado por el Consejo de la Unión Europea, el 11 de octubre de 2024.
Y es que, el Reglamento de IA es una iniciativa legislativa pionera en el mundo, en la que la UE, viendo los beneficios y riesgos que la IA puede tener para los ciudadanos, ha procedido a regular el desarrollo, comercialización y uso de sistemas de IA basado en un enfoque garantista de derechos fundamentales. A diferencia de otros países como USA o China, que han enfocado la regulación, o la no regulación, de la IA en diversos motivos (el mercado o el papel director del estado, respectivamente), la UE quiere fomentar la innovación en este tipo de tecnologías, pero garantizando que el desarrollo y funcionamiento sea de acuerdo con los principios y valores de la Unión, creando para ello un marco jurídico uniforme.
Uno de los aspectos más importantes de este Reglamento de IA es la clasificación de los sistemas de IA según los riesgos que representan para los derechos y la seguridad de las personas. Así, se establecen cuatro categorías: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo. Esta clasificación permite a la UE modular el nivel de requisitos y exigencias que los sistemas de IA deben cumplir en función de que se encuentren en una categoría u otra.
Teniendo esto en cuenta, hay que mencionar que, entre los numerosos desafíos que plantean los sistemas de IA, uno de los más relevantes es aquel relacionado con la ciberseguridad. Su complejidad y capacidad autónoma pueden generar vulnerabilidades que podrían ser aprovechadas por los ciberdelincuentes para comprometer la integridad, confidencialidad y disponibilidad de datos y sistemas. Asimismo, es importante considerar los riesgos de ciberresiliencia vinculados a los sistemas de IA, y en especial, en relación con los intentos de terceros no autorizados de modificar el funcionamiento, comportamiento o rendimiento de dichos sistemas.
Para dar respuesta a estos retos, surge el Reglamento de Ciberresiliencia, el cual está íntimamente relacionado con el de Inteligencia Artificial, y especialmente en lo que respecta a los sistemas de IA clasificados como de alto riesgo, que son los que son tomados en consideración por el nuevo Reglamento.
En este sentido, el Reglamento de Ciberresiliencia establece que los productos con elementos digitales considerados sistemas de IA de alto riesgo deben cumplir con los requisitos esenciales de ciberseguridad definidos en su Anexo I, Parte I. Esto implica que dichos sistemas deben ser diseñados, desarrollados y producidos, garantizando un nivel adecuado de ciberseguridad y tras haber realizado una evaluación exhaustiva de los riesgos existentes. Además, se exige que estos productos se comercialicen, entre otros requisitos, sin vulnerabilidades conocidas, con una configuración segura por defecto y que ofrezcan garantías de que las vulnerabilidades puedan ser solucionadas mediante actualizaciones.
Por su parte, el Considerando 51 del Reglamento de Ciberresiliencia señala que, cuando los sistemas de IA de alto riesgo cumplan con estos requisitos esenciales de ciberseguridad, se considerará que también cumplen con los requisitos de ciberseguridad establecidos en el artículo 15 del RIA. Todo ello en la medida en que dichos requisitos estén contemplados en la «Declaración UE de Conformidad» emitida bajo el Reglamento de Ciberresiliencia. Esto permite a los fabricantes de productos con IA o desarrolladores de modelos y sistemas de IA, unificar y simplificar los procesos de cumplimiento normativo.
Además, también encontramos semejanzas en cuanto a la documentación técnica y los requisitos de transparencia exigidos en ambos Reglamentos. Por su parte, el Reglamento de Ciberresiliencia establece que los fabricantes deben elaborar una documentación técnica detallada que incluya, entre otros aspectos, una descripción del producto, información sobre su diseño y desarrollo, una evaluación de los riesgos de ciberseguridad y una lista de normas armonizadas aplicadas. Esta documentación será esencial para demostrar el cumplimiento de los requisitos esenciales de ciberseguridad que establece la norma, debiéndose en consecuencia mantener actualizada durante todo el período de soporte del producto. De manera similar, el Reglamento de IA también exige a los fabricantes y/o proveedores de sistemas de IA de alto riesgo que elaboren una documentación técnica exhaustiva que permita evaluar la conformidad con los requisitos establecidos y facilite la supervisión por parte de las autoridades competentes.
Por lo tanto, vemos cómo el nuevo Reglamento de Ciberresiliencia toma en consideración la documentación exigida por el Reglamento de IA, la incorpora y la expande en su propio marco normativo.
Asimismo, el Reglamento de Ciberresiliencia exige que la evaluación de riesgos de ciberseguridad de un producto que contenga un sistema de IA de alto riesgo deba tener en cuenta los riesgos específicos asociados a la propia IA, que se prevea cómo mitigar dichos riesgos, e incluso, que se añadan medidas para el caso de restablecimiento de las funcionalidades tras un ataque. También, el propio Reglamento de Ciberresiliencia reserva una especial mención a los posibles riesgos que amenacen los derechos fundamentales de los ciudadanos, tal y como establece el Reglamento de IA. Esta conexión normativa trata de que los sistemas de IA de alto riesgo no sólo sean técnicamente seguros, sino que también protejan los valores y derechos fundamentales.
Evaluación de conformidad
Otro aspecto clave es la aplicación de los procedimientos de evaluación de conformidad. El Reglamento de Ciberresiliencia establece, en su artículo 12.2, que, en lo referente a los requisitos esenciales de ciberseguridad de un producto con elementos digitales considerado sistema de IA de alto riesgo, las disposiciones pertinentes del artículo 43 del RIA deben aplicarse como norma general, en lugar de las disposiciones del propio Reglamento de Ciberresiliencia.
Además, los organismos que son competentes para evaluar la conformidad de los sistemas de IA de alto riesgo en virtud del Reglamento de IA también serán competentes para evaluar el cumplimiento de los requisitos de ciberseguridad establecidos en el Reglamento de Ciberresiliencia. Por esta razón, parece lógico que, si el Reglamento de Ciberresiliencia incluye los requisitos de ciberseguridad del artículo 15 RIA entre sus requisitos esenciales, los organismos de supervisión competentes para RIA puedan también evaluar el cumplimiento de dichos requisitos en el marco del Reglamento de Ciberresiliencia.
En conclusión, el nuevo Reglamento de Ciberresiliencia es crucial para las empresas, ya que establece requisitos de ciberseguridad a nivel de la UE, garantizando que los productos digitales sean seguros desde su diseño hasta su comercialización. Esto no sólo protege a las empresas y consumidores de ciber-amenazas, sino que también armoniza las normativas en toda la Unión, facilitando el cumplimiento y reduciendo costes. Además, este reglamento complementa al Reglamento de IA al asegurar que los sistemas de inteligencia artificial, que dependen de una infraestructura digital segura, operen en un entorno protegido, minimizando riesgos y potenciando la confianza en las tecnologías emergentes
Autores
Asociado Principal
España & Portugal
