Súlad s legislatívnymi rámcami ako NIS2, DORA a pripravovaným AI Act sa stáva pre organizácie strategickou povinnosťou, ktorú nemožno ignorovať. Tieto regulácie zavádzajú prísnejšie požiadavky na riadenie kybernetických rizík, odolnosť digitálnych služieb a bezpečnosť používania umelej inteligencie, čím výrazne ovplyvňujú fungovanie subjektov verejného aj súkromného sektora.
NIS2 smernica rozširuje rozsah povinných subjektov na viaceré sektory (verejná správa, energetika, zdravotníctvo, doprava, IT služby) a zavádza nové povinnosti v oblasti:
analýzy a riadenia kybernetických rizík,
prevádzkového a bezpečnostného riadenia dodávateľského reťazca,
nahlasovania kybernetických incidentov do 24 hodín,
zavedenia politík informačnej a kybernetickej bezpečnosti,
zabezpečenia nezávislosti a odbornosti zodpovedných osôb (napr. CISO).
NIS2 smernica vstupuje do platnosti vo všetkých členských štátoch EÚ a je potrebné ju transponovať do národnej legislatívy (v SR prostredníctvom novelizácie zákona č. 69/2018 Z. z.).
DORA upravuje povinnosti pre subjekty finančného trhu v oblasti:
riadenia ICT rizík,
testovania digitálnej odolnosti (vrátane red teamingových cvičení),
štandardizovaného hlásenia ICT incidentov,
riadenia outsourcingových zmlúv s ICT poskytovateľmi,
evidencie, auditovateľnosti a kontinuity činností.
DORA sa začne uplatňovať od januára 2025 a je právne záväzná bez potreby transpozície.
AI Act definuje rizikové kategórie AI systémov (zakázané, vysokorizikové, obmedzené, nízke riziko) a stanovuje povinnosti najmä pre vysokorizikové AI:
vedenie technickej a regulačnej dokumentácie,
registrácia v centrálnom systéme,
zabezpečenie transparentnosti, vysvetliteľnosti a ľudského dohľadu,
zavedenie mechanizmov na správu rizík spojených s AI.
Pre vývojárov a používateľov AI technológií to znamená nutnosť zaviesť nové compliance procesy, overovanie zhody a kontrolu vývoja a prevádzky algoritmov.