Γράφει o Τάσος Αραμπατζής

Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.

Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;

Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας

Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.

Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.

Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.

Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.

  • EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
  • NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.

Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.

Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος

Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;

Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:

  • Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
  • Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;

Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.

Βελτιώνουν τα Πρόστιμα την Ασφάλεια;

Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.

Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:

“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”

Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;

Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.

Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;

Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;

Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:

  • Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
  • Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.

Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.

Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:

Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.

Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;

Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:

  • Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
  • Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.

Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.

Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα

Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.

Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.

Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι

Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση – ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.

Ποια θα είναι η δική σας προσέγγιση;

ai act GDPR GDPR compliance NIS2 Ευρωπαϊκή Επιτροπή συμμόρφωση τεχνητή νοημοσύνη ψηφιοποίηση