Článok

Späť na články
#AIAct #CRA #KybernetickaBezpecnost #KybernetickaOdolnost #UmelaInteligencia #VysokorizikoveAISystemy #EUlegislativa #DigitalnaBezpecnost #RegulaciaAI #CyberResilienceAct #AIregulation #CyberSecurity

AI Act a CRA. Aký je medzi nimi vzťah?

12.8.2025 | Autor: Mgr. Peter Čičala
7

Vzťah medzi AI Act a CRA: Ako nové nariadenia EÚ spájajú kybernetickú bezpečnosť digitálnych produktov s reguláciou umelej inteligencie. Jeden súlad – dve nariadenia.

AI Act a CRA. Aký je medzi nimi vzťah?

Dôvod a cieľ prijatia CRA 

Koncom roka 2024 bolo vydané nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847, známe ako akt o kybernetickej odolnosti (Cyber Resilience Act, ďalej len „CRA“). Jeho hlavným cieľom je vytvoriť regulačný rámec pre vývoj a uvádzanie bezpečných produktov s digitálnymi prvkami na jednotný trh EÚ, a tým minimalizovať počet kybernetických zraniteľností a posilniť zodpovednosť výrobcov počas celého životného cyklu týchto produktov. 

CRA dopĺňa existujúce horizontálne legislatívne rámce v oblasti kybernetickej bezpečnosti, ktoré sa síce zaoberajú systémovými otázkami (napr. bezpečnosť dodávateľských reťazcov či sieťových služieb), no neobsahujú explicitné požiadavky na kybernetickú bezpečnosť digitálnych produktov ako takých. Medzi tieto predpisy patria najmä: 

  • Nariadenie (EÚ) 2019/881 o agentúre ENISA a certifikácii kybernetickej bezpečnosti (tzv. Akt o kybernetickej bezpečnosti), 
  • Smernica (EÚ) 2022/2555 (NIS 2) o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii. 

Prijatie CRA preto predstavuje logické legislatívne rozšírenie existujúceho rámca a významne posilňuje ochranu koncových používateľov aj prevádzkovateľov digitálnych riešení. 
 

V čom spočíva podstata vzťahu medzi AI Act a CRA? 

V právnej praxi je menej známe, že CRA a AI Act (Nariadenie Európskeho parlamentu a Rady EÚ 2024/1689) sú vzájomne prepojené – nielen vecne, ale aj legislatívne. Obe nariadenia sa však explicitne odvolávajú jedno na druhé,  a to za účelom zabezpečenia kybernetickej bezpečnosti vysokorizikových systémov AI. 

AI Act kladie na vysokorizikové systémy umelej inteligencie prísne požiadavky vrátane technickej a organizačnej bezpečnosti. Podľa článku 15 AI Act musia byť tieto systémy „dizajnované a vyvinuté tak, aby dosahovali primeranú úroveň presnosti, spoľahlivosti a kybernetickej bezpečnosti a aby v týchto ohľadoch fungovali konzistentne počas celého svojho životného cyklu.“  V podstate tak vyžaduje, aby AI systémy boli odolné voči pokusom neoprávnených tretích strán o zmenu ich používania, výstupov alebo výkonu využívaním zraniteľností systému, pričom príslušné technické riešenia na zabezpečenie tohto účelu musia byť primerané príslušným okolnostiam a rizikám.  

Vzťah medzi CRA a AI Act pritom možno najlepšie vysvetliť odpoveďou na otázku, „ako AI Act umožňuje preukázať súlad AI systému s kyberneticko-bezpečnými požiadavkami?“ 

  1. Prostredníctvom súladu s Aktom o kybernetickej bezpečnosti

    alebo 
     
  2. Prostredníctvom súladu s CRA (Aktom o kybernetickej odolnosti)
     

Súlad vysokorizikových AI systémov s CRA? Ako na to? 

Relevantným je v tomto prípade článok 12 CRA, v zmysle ktorého príslušný vysokorizikový AI systém spĺňa požiadavky kybernetickej bezpečnosti, ak: 

  • spĺňa základné požiadavky kybernetickej bezpečnosti stanovené v časti I prílohy I CRA; 
  • procesy zavedené výrobcom/poskytovateľom sú v súlade so základnými požiadavkami kybernetickej bezpečnosti stanovenými v časti II prílohy I CRA,  

pričom dosiahnutá úroveň ochrany kybernetickej bezpečnosti požadovanej podľa článku 15 AI Act  musí byť preukázané v EÚ vyhlásení o zhode vydanom podľa CRA. 

Aby sa však mohli uplatniť vyššie uvedené pravidlá, tak je nevyhnutné, aby vysokorizikový AI systém spadal do pôsobnosti CRA, resp., aby bol produktom s digitálnymi prvkami. 

Prepojením AI Act a CRA sa tak zabezpečuje, že systémy umelej inteligencie, ktoré zároveň spadajú pod regulačný rámec CRA, podliehajú ucelenému a jednotnému režimu kybernetickej bezpečnosti, a to bez duplicity v posudzovaní zhody. Zároveň však platí, že uvedené pravidlo nesmie viesť k zníženiu úrovne bezpečnostných záruk, ktoré sú stanovené pre dôležité a kritické produkty s digitálnymi prvkami podľa CRA. 

súlad s požiadavkami kyber. bezp. podľa CRA = súlad s požiadavkami kyber. bezp.  podľa AI Act 
 

Záver: Jeden súlad – dve nariadenia 

Vzájomné prepojenie CRA a AI Act vytvára synergiu medzi kybernetickou bezpečnosťou digitálnych produktov a reguláciou umelej inteligencie. Súlad s CRA = súlad s článkom 15 AI Act, ak sú splnené zákonom predpokladané podmienky. 

Táto harmonizácia významne znižuje regulačnú záťaž a zvyšuje právnu istotu pre výrobcov vysokorizikových AI systémov, najmä v technologicky komplexných prípadoch, kde AI a kybernetická bezpečnosť tvoria neoddeliteľný celok. 

Mgr. Peter Čičala

Mgr. Peter Čičala

Štúdium absolvoval na Právnickej fakulte Trnavskej univerzity v Trnave, kde v roku 2024 úspešne ukončil magisterské štúdium zložením štátnej skúšky z predmetov občianskeho, trestného a pracovného práva, spolu s obhajobou diplomovej práce na tému “Procesnoprávne a iné aspekty odhaľovania trestných činov korupcie“. Počas štúdia pracoval v Slovenskej agentúre životného prostredia na pozícií projektového manažéra v rámci Plánu obnovy, kde primárne spolupracoval s právnym oddelením na príprave stanovísk pre poskytnutie prostriedkov mechanizmu z Plánu obnovy. V advokátskej kancelárií Hronček & Partners s. r. o. pôsobí od roku 2024 na pozícii advokátskeho koncipienta. Venuje sa hospodárskej súťaži, obchodnému, európskemu a medzinárodnému právu. Jedným z projektov, na ktorých sa podieľal bola spolupráca s investorom z Čínskej ľudovej republiky v oblasti medzinárodného prechodu tovaru do Ameriky, konkrétne európskej a medzinárodnoprávnej úprave pravidiel preferenčného a nepreferenčného pôvodu tovaru, vrátane právnej úpravy Colného kódexu Únie (UCC). Okrem iného sa súčasne podieľa na rozvojom projekte Rodinných firiem, cieľom ktorého je odborné poradenstvo pre úspešné zvládnutie medzigeneračnej výmeny (nástupníctva) v rodinných firmách.