Secţiunea 2 - Cerinţe pentru sistemele de IA cu grad ridicat de risc - Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Iulie 2024
SECŢIUNEA 2:Cerinţe pentru sistemele de IA cu grad ridicat de risc
Art. 8: Respectarea cerinţelor
(1)Sistemele de IA cu grad ridicat de risc respectă cerinţele stabilite în prezenta secţiune, ţinând seama de scopul lor preconizat, precum şi de stadiul de avansare general recunoscut al IA şi al tehnologiilor conexe IA. Sistemul de gestionare a riscurilor menţionat la articolul 9 este luat în considerare atunci când se asigură respectarea cerinţelor respective.
(2)În cazul în care un produs conţine un sistem de IA căruia i se aplică cerinţele prezentului regulament, precum şi cerinţele din legislaţia de armonizare a Uniunii care figurează în anexa I secţiunea A, furnizorii au responsabilitatea de a se asigura că produsul lor respectă pe deplin toate cerinţele aplicabile impuse de legislaţia aplicabilă de armonizare a Uniunii. Pentru a asigura conformitatea sistemelor de IA cu grad ridicat de risc menţionate la alineatul (1) cu cerinţele prevăzute în prezenta secţiune şi pentru a asigura coerenţa, a evita suprapunerile şi a reduce la minimum sarcinile suplimentare, furnizorii au posibilitatea de a integra, după caz, procesele de testare şi raportare necesare, informaţiile şi documentaţia pe care le furnizează cu privire la produsul lor în documentaţia şi procedurile deja existente şi sunt impuse în temeiul legislaţiei de armonizare a Uniunii care figurează în anexa I secţiunea A.
Art. 9: Sistemul de gestionare a riscurilor
(1)Se instituie, se pune în aplicare, se documentează şi se menţine un sistem de gestionare a riscurilor în legătură cu sistemele de IA cu grad ridicat de risc.
(2)Sistemul de gestionare a riscurilor este înţeles ca un proces iterativ continuu planificat şi derulat pe parcursul întregului ciclu de viaţă al unui sistem de IA cu grad ridicat de risc, necesitând în mod periodic actualizarea şi revizuirea sistematică. Acesta cuprinde următoarele etape:
a)identificarea şi analiza riscurilor cunoscute şi previzibile în mod rezonabil pe care sistemul de IA cu grad ridicat de risc le poate prezenta pentru sănătate, siguranţă sau drepturile fundamentale atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul preconizat;
b)estimarea şi evaluarea riscurilor care pot apărea atunci când sistemul de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat şi în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil;
c)evaluarea altor riscuri care ar putea apărea pe baza analizei datelor colectate din sistemul de monitorizare ulterioară introducerii pe piaţă menţionat la articolul 72;
d)adoptarea unor măsuri adecvate şi specifice de gestionare a riscurilor, concepute pentru a combate riscurile identificate în temeiul literei (a).
(3)Prezentul articol se referă numai la riscurile care pot fi atenuate sau eliminate în mod rezonabil prin dezvoltarea sau proiectarea sistemului de IA cu grad ridicat de risc sau prin furnizarea de informaţii tehnice adecvate.
(4)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) ţin seama în mod corespunzător de efectele şi interacţiunea posibilă care rezultă din aplicarea combinată a cerinţelor prevăzute în prezenta secţiune, în vederea reducerii la minimum a riscurilor într-un mod mai eficace, obţinându-se totodată un echilibru adecvat în punerea în aplicare a măsurilor de îndeplinire a cerinţelor respective.
(5)Măsurile de gestionare a riscurilor menţionate la alineatul (2) litera (d) sunt de aşa natură încât riscul rezidual relevant asociat fiecărui pericol, precum şi riscul rezidual global al sistemelor de IA cu grad ridicat de risc să fie considerate a fi acceptabile.
La identificarea celor mai adecvate măsuri de gestionare a riscurilor se asigură următoarele:
a)eliminarea sau reducerea riscurilor identificate şi evaluate în temeiul alineatului (2), în măsura în care acest lucru este fezabil din punct de vedere tehnic prin proiectarea şi dezvoltarea adecvată a sistemului de IA cu grad ridicat de risc;
b)după caz, punerea în aplicare a unor măsuri adecvate de atenuare şi control pentru combaterea riscurilor care nu pot fi eliminate;
c)furnizarea informaţiilor necesare în temeiul articolului 13 şi, după caz, formarea implementatorilor.
În vederea eliminării sau reducerii riscurilor legate de utilizarea sistemului de IA cu grad ridicat de risc se acordă atenţia cuvenită cunoştinţelor tehnice, experienţei, educaţiei şi formării preconizate din partea implementatorului, precum şi contextului prezumtiv în care urmează să fie utilizat sistemul.
(6)Sistemele de IA cu grad ridicat de risc sunt testate în scopul identificării celor mai adecvate măsuri specifice de gestionare a riscurilor. Testarea asigură faptul că sistemele de IA cu grad ridicat de risc funcţionează într-un mod coerent cu scopul preconizat şi că sunt conforme cu cerinţele stabilite în prezenta secţiune.
(7)Procedurile de testare pot include testarea în condiţii reale, în conformitate cu articolul 60.
(8)Testarea sistemelor de IA cu grad ridicat de risc se efectuează, după caz, în orice moment pe parcursul procesului de dezvoltare şi, în orice caz, înainte de introducerea pe piaţă sau de punerea în funcţiune a acestora. Testarea se efectuează pe baza unor indicatori şi a unor praguri probabilistice definite în prealabil, care sunt adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc.
(9)La punerea în aplicare a sistemului de gestionare a riscurilor descris la alineatele (1)-(7), furnizorii analizează dacă, având în vedere scopul său preconizat, sistemul de IA cu grad ridicat de risc este susceptibil să aibă un impact negativ asupra persoanelor cu vârsta sub 18 ani şi, după caz, asupra altor grupuri vulnerabile.
(10)Pentru furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor cerinţe privind procesele interne de gestionare a riscurilor în temeiul altor dispoziţii relevante din dreptul Uniunii, aspectele descrise la alineatele (1)-(9) pot face parte din procedurile de gestionare a riscurilor stabilite în temeiul legislaţiei respective sau pot fi combinate cu acestea.
Art. 10: Datele şi guvernanţa datelor
(1)Sistemele de IA cu grad ridicat de risc care utilizează tehnici ce implică antrenarea de modele de IA cu date se dezvoltă pe baza unor seturi de date de antrenament, de validare şi de testare care îndeplinesc criteriile de calitate menţionate la alineatele (2)-(5) ori de câte ori sunt utilizate astfel de seturi de date.
(2)Seturile de date de antrenament, de validare şi de testare fac obiectul unor practici de guvernanţă şi gestionare a datelor adecvate scopului preconizat al sistemului de IA cu grad ridicat de risc. Practicile respective se referă în special la:
a)opţiunile de proiectare relevante;
b)procesele de colectare a datelor şi originea datelor, iar în cazul datelor cu caracter personal, scopul iniţial al colectării datelor;
c)operaţiunile relevante de prelucrare în vederea pregătirii datelor, cum ar fi adnotarea, etichetarea, curăţarea, actualizarea, îmbogăţirea şi agregarea;
d)formularea unor ipoteze, în special în ceea ce priveşte informaţiile pe care datele ar trebui să le măsoare şi să le reprezinte;
e)o evaluare a disponibilităţii, a cantităţii şi a adecvării seturilor de date necesare;
f)examinarea în vederea identificării unor posibile prejudecăţi care sunt susceptibile să afecteze sănătatea şi siguranţa persoanelor, să aibă un impact negativ asupra drepturilor fundamentale sau să conducă la o discriminare interzisă în temeiul dreptului Uniunii, în special în cazul în care datele de ieşire influenţează datele de intrare pentru operaţiunile viitoare;
g)măsuri adecvate pentru detectarea, prevenirea şi atenuarea posibilelor prejudecăţi identificate în conformitate cu litera (f);
h)identificarea lacunelor sau a deficienţelor relevante în materie de date care împiedică conformitatea cu prezentul regulament şi a modului în care acestea pot fi abordate.
(3)Seturile de date de antrenament, de validare şi de testare sunt relevante, suficient de reprezentative, şi pe cât posibil, fără erori şi complete, având în vedere scopul preconizat. Acestea au proprietăţile statistice corespunzătoare, inclusiv, după caz, în ceea ce priveşte persoanele sau grupurile de persoane în legătură cu care se intenţionează să fie utilizat sistemul de IA cu grad ridicat de risc. Caracteristicile respective ale seturilor de date pot fi îndeplinite la nivelul seturilor de date individuale sau la nivelul unei combinaţii a acestora.
(4)Seturile de date iau în considerare, în măsura impusă de scopul preconizat, caracteristicile sau elementele specifice cadrului geografic, contextual, comportamental sau funcţional specific în care este destinat să fie utilizat sistemul de IA cu grad ridicat de risc.
(5)În măsura în care acest lucru este strict necesar pentru a asigura detectarea şi corectarea prejudecăţilor în legătură cu sistemele de IA cu grad ridicat de risc în conformitate cu alineatul (2) literele (f) şi (g) de la prezentul articol, furnizorii de astfel de sisteme pot prelucra în mod excepţional categoriile speciale de date cu caracter personal, sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile fundamentale ale persoanelor fizice. În plus faţă de dispoziţiile prevăzute de Regulamentele (UE) 2016/679 şi (UE) 2018/1725 şi de Directiva (UE) 2016/680, pentru ca o astfel de prelucrare să aibă loc, trebuie să fie respectate toate condiţiile următoare:
a)depistarea şi corectarea prejudecăţilor nu poate fi realizată în mod eficace prin prelucrarea altor date, inclusiv a datelor sintetice sau anonimizate;
b)categoriile speciale de date cu caracter personal fac obiectul unor limitări tehnice privind reutilizarea datelor cu caracter personal şi al unor măsuri avansate de securitate şi de protecţie a vieţii private, inclusiv pseudonimizarea;
c)categoriile speciale de date cu caracter personal fac obiectul unor măsuri prin care să se asigure că datele cu caracter personal prelucrate sunt securizate şi protejate, sub rezerva unor garanţii adecvate, inclusiv controale stricte şi documentarea accesului, pentru a se evita utilizarea necorespunzătoare şi pentru a se asigura că numai persoanele autorizate cu obligaţii de confidenţialitate corespunzătoare au acces la aceste date cu caracter personal;
d)categoriile speciale de date cu caracter personal nu trebuie să fie transmise, transferate sau accesate în alt mod de către alte părţi;
e)categoriile speciale de date cu caracter personal sunt şterse după corectarea prejudecăţilor sau după ce datele cu caracter personal au ajuns la sfârşitul perioadei lor de păstrare, în funcţie de care dintre acestea survine mai întâi;
f)evidenţele activităţilor de prelucrare în temeiul Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi al Directivei (UE) 2016/680 includ motivele pentru care a fost strict necesară prelucrarea unor categorii speciale de date cu caracter personal pentru a depista şi a corecta prejudecăţile şi motivele pentru care acest obiectiv nu putea fi realizat prin prelucrarea altor date.
(6)Pentru dezvoltarea sistemelor de IA cu grad ridicat de risc care nu utilizează tehnici care implică antrenarea de modele de IA, alineatele (2)-(5) se aplică numai seturilor de date de testare.
Art. 11: Documentaţia tehnică
(1)Documentaţia tehnică a unui sistem de IA cu grad ridicat de risc se întocmeşte înainte ca sistemul respectiv să fie introdus pe piaţă sau pus în funcţiune şi se actualizează.
Documentaţia tehnică se întocmeşte astfel încât să demonstreze că sistemul de IA cu grad ridicat de risc respectă cerinţele prevăzute în prezenta secţiune şi să furnizeze autorităţilor naţionale competente şi organismelor notificate informaţiile necesare într-un mod clar şi cuprinzător, pentru a evalua conformitatea sistemului de IA cu cerinţele respective. Aceasta conţine cel puţin elementele prevăzute în anexa IV. IMM-urile, inclusiv întreprinderile nou-înfiinţate, pot furniza într-o manieră simplificată elementele documentaţiei tehnice specificate în anexa IV. În acest scop, Comisia stabileşte un formular simplificat de documentaţie tehnică care vizează nevoile întreprinderilor mici şi ale microîntreprinderilor. În cazul în care IMM-urile, inclusiv întreprinderile nou-înfiinţate, optează să furnizeze informaţiile solicitate în anexa IV într-o manieră simplificată, acestea utilizează formularul menţionat la prezentul alineat. Organismele notificate acceptă formularul în scopul evaluării conformităţii.
(2)În cazul în care este introdus pe piaţă sau pus în funcţiune un sistem de IA cu grad ridicat de risc legat de un produs care face obiectul actelor legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, se întocmeşte o singură documentaţie tehnică ce conţine toate informaţiile prevăzute la alineatul (1), precum şi informaţiile necesare în temeiul respectivelor acte juridice.
(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica anexa IV, atunci când este necesar, pentru a se asigura că, având în vedere progresul tehnic, documentaţia tehnică furnizează toate informaţiile necesare pentru evaluarea conformităţii sistemului cu cerinţele prevăzute în prezenta secţiune.
Art. 12: Păstrarea evidenţelor
(1)Sistemele de IA cu grad ridicat de risc permit din punct de vedere tehnic înregistrarea automată a evenimentelor (fişiere de jurnalizare) de-a lungul duratei de viaţă a sistemului.
(2)Pentru a asigura un nivel de trasabilitate a funcţionării sistemului de IA cu grad ridicat de risc care să fie adecvat scopului preconizat al sistemului, capabilităţile de jurnalizare permit înregistrarea evenimentelor relevante pentru:
a)identificarea situaţiilor care pot avea ca rezultat faptul că sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1) sau care pot conduce la o modificare substanţială;
b)facilitarea monitorizării ulterioare introducerii pe piaţă menţionate la articolul 72; şi
c)monitorizarea funcţionării sistemelor de IA cu grad ridicat de risc menţionate la articolul 26 alineatul (5).
(3)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), capabilităţile de jurnalizare furnizează cel puţin:
a)înregistrarea perioadei fiecărei utilizări a sistemului (data şi ora de începere, precum şi data şi ora de încheiere a fiecărei utilizări);
b)baza de date de referinţă în raport cu care au fost verificate de sistem datele de intrare;
c)datele de intrare pentru care căutarea a generat o concordanţă;
d)identificarea persoanelor fizice implicate în verificarea rezultatelor, astfel cum se menţionează la articolul 14 alineatul (5).
Art. 13: Transparenţa şi furnizarea de informaţii implementatorilor
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât să se asigure că funcţionarea lor este suficient de transparentă pentru a permite implementatorilor să interpreteze rezultatele sistemului şi să le utilizeze în mod corespunzător. Se asigură un tip şi un grad adecvat de transparenţă, în vederea respectării obligaţiilor relevante ale furnizorului şi ale implementatorului prevăzute în secţiunea 3.
(2)Sistemele de IA cu grad ridicat de risc sunt însoţite de instrucţiuni de utilizare într-un format digital adecvat sau în alt tip de format adecvat, care includ informaţii concise, complete, corecte şi clare care sunt relevante, accesibile şi uşor de înţeles pentru implementatori.
(3)Instrucţiunile de utilizare conţin cel puţin următoarele informaţii:
a)identitatea şi datele de contact ale furnizorului şi, după caz, ale reprezentantului său autorizat;
b)caracteristicile, capabilităţile şi limitările performanţei sistemului de IA cu grad ridicat de risc, inclusiv:
(i)scopul său preconizat;
(ii)nivelul de acurateţe, inclusiv indicatorii săi, de robusteţe şi de securitate cibernetică menţionat la articolul 15 în raport cu care sistemul de IA cu grad ridicat de risc a fost testat şi validat şi care poate fi preconizat, precum şi orice circumstanţă cunoscută şi previzibilă care ar putea avea un impact asupra nivelului preconizat de acurateţe, robusteţe şi securitate cibernetică;
(iii)orice circumstanţă cunoscută sau previzibilă legată de utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, care poate conduce la riscurile pentru sănătate şi siguranţă sau pentru drepturile fundamentale menţionate la articolul 9 alineatul (2);
(iv)după caz, capabilităţile şi caracteristicile tehnice ale sistemului de IA cu grad ridicat de risc de a furniza informaţii relevante pentru explicarea rezultatelor sale;
(v)după caz, performanţele sale în ceea ce priveşte anumite persoane sau grupuri de persoane în legătură cu care este destinat să fie utilizat sistemul;
(vi)după caz, specificaţiile pentru datele de intrare sau orice altă informaţie relevantă în ceea ce priveşte seturile de date de antrenament, de validare şi de testare utilizate, ţinând seama de scopul preconizat al sistemului de IA cu grad ridicat de risc;
(vii)după caz, informaţii care să le permită implementatorilor să interpreteze rezultatele sistemului de IA cu grad ridicat de risc şi să le utilizeze în mod corespunzător;
c)modificările aduse sistemului de IA cu grad ridicat de risc şi performanţei acestuia care au fost predeterminate de către furnizor la momentul evaluării iniţiale a conformităţii, dacă este cazul;
d)măsurile de supraveghere umană menţionate la articolul 14, inclusiv măsurile tehnice instituite pentru a facilita interpretarea rezultatelor sistemelor de IA cu grad ridicat de risc de către implementatori;
e)resursele de calcul şi resursele hardware necesare, durata de viaţă preconizată a sistemului de IA cu grad ridicat de risc şi orice măsuri de întreţinere şi de îngrijire, inclusiv frecvenţa lor, necesare pentru a asigura funcţionarea corespunzătoare a sistemului de IA respectiv, inclusiv în ceea ce priveşte actualizările software-ului;
f)după caz, o descriere a mecanismelor incluse în sistemul de IA cu grad ridicat de risc care să permită implementatorilor să colecteze, să stocheze şi să interpreteze în mod corespunzător fişierele de jurnalizare în conformitate cu articolul 12.
Art. 14: Supravegherea umană
(1)Sistemele de IA cu grad ridicat de risc sunt proiectate şi dezvoltate astfel încât, prin includerea de instrumente adecvate de interfaţă om-maşină, să poată fi supravegheate în mod eficace de către persoane fizice în perioada în care sunt utilizate.
(2)Supravegherea umană are ca scop prevenirea sau reducerea la minimum a riscurilor pentru sănătate, siguranţă sau pentru drepturile fundamentale, care pot apărea atunci când un sistem de IA cu grad ridicat de risc este utilizat în conformitate cu scopul său preconizat sau în condiţii de utilizare necorespunzătoare previzibilă în mod rezonabil, în special în cazurile în care astfel de riscuri persistă în pofida aplicării altor cerinţe prevăzute în prezenta secţiune.
(3)Măsurile de supraveghere sunt proporţionale cu riscurile specifice, cu nivelul de autonomie şi cu contextul utilizării sistemului de IA cu grad ridicat de risc şi se asigură fie prin unul dintre următoarele tipuri de măsuri, fie prin ambele:
a)măsuri identificate şi încorporate, atunci când este fezabil din punct de vedere tehnic, în sistemul de IA cu grad ridicat de risc de către furnizor înainte ca acesta să fie introdus pe piaţă sau pus în funcţiune;
b)măsuri identificate de furnizor înainte de introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc şi care sunt adecvate pentru a fi puse în aplicare de implementator.
(4)În scopul punerii în aplicare a alineatelor (1), (2) şi (3), sistemul de IA cu grad ridicat de risc este pus la dispoziţia implementatorului astfel încât persoanelor fizice cărora li se încredinţează supravegherea umană să li se permită, în funcţie de următoarele şi proporţional cu acestea:
a)să înţeleagă în mod corespunzător capacităţile şi limitările relevante ale sistemului de IA cu grad ridicat de risc şi să fie în măsură să monitorizeze în mod corespunzător funcţionarea acestuia, inclusiv în vederea depistării şi abordării anomaliilor, disfuncţionalităţilor şi performanţelor neaşteptate;
b)să rămână conştiente de posibila tendinţă de a se baza în mod automat sau excesiv pe rezultatele obţinute de un sistem de IA cu grad ridicat de risc (prejudecăţi legate de automatizare), în special în cazul sistemelor de IA cu grad ridicat de risc utilizate pentru a furniza informaţii sau recomandări pentru deciziile care urmează să fie luate de persoanele fizice;
c)să interpreteze corect rezultatele sistemului de IA cu grad ridicat de risc, ţinând seama, de exemplu, de instrumentele şi metodele de interpretare disponibile;
d)să decidă, în orice situaţie anume, să nu utilizeze sistemul de IA cu grad ridicat de risc sau să ignore, să anuleze sau să inverseze rezultatele sistemului de IA cu grad ridicat de risc;
e)să intervină în funcţionarea sistemului de IA cu grad ridicat de risc sau să întrerupă sistemul prin intermediul unui buton "stop" sau al unei proceduri similare care să permită sistemului să se oprească în condiţii de siguranţă.
(5)În cazul sistemelor de IA cu grad ridicat de risc menţionate în anexa III punctul 1 litera (a), măsurile menţionate la alineatul (3) de la prezentul articol sunt de aşa natură încât să asigure că, în plus, implementatorul nu ia nicio măsură sau decizie pe baza identificării care rezultă din sistem, cu excepţia cazului în care identificarea respectivă a fost verificată şi confirmată separat de cel puţin două persoane fizice care au competenţa, pregătirea şi autoritatea necesare.
Cerinţa unei verificări separate de către cel puţin două persoane fizice nu se aplică sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii sau în domeniul imigraţiei, al controlului la frontiere ori al azilului, în cazurile în care dreptul Uniunii sau dreptul intern consideră că aplicarea acestei cerinţe este disproporţionată.
Art. 15: Acurateţe, robusteţe şi securitate cibernetică
(1)Sistemele de IA cu grad ridicat de risc sunt concepute şi dezvoltate astfel încât să atingă un nivel adecvat de acurateţe, robusteţe şi securitate cibernetică şi să funcţioneze în mod consecvent în aceste privinţe pe parcursul întregului lor ciclu de viaţă.
(2)Pentru a aborda aspectele tehnice ale modului de măsurare a nivelurilor adecvate de acurateţe şi robusteţe prevăzute la alineatul (1) şi orice alţi indicatori de performanţă relevanţi, Comisia, în cooperare cu părţi interesate şi organizaţii relevante precum autorităţile din domeniul metrologiei şi al etalonării încurajează, după caz, elaborarea de valori de referinţă şi metodologii de măsurare.
(3)Nivelurile de acurateţe şi indicatorii de acurateţe relevanţi ai sistemelor de IA cu grad ridicat de risc se declară în instrucţiunile de utilizare aferente.
(4)Sistemele de IA cu grad ridicat de risc sunt cât mai reziliente posibil în ceea ce priveşte erorile, defecţiunile sau incoerenţele care pot apărea în cadrul sistemului sau în mediul în care funcţionează sistemul, în special din cauza interacţiunii lor cu persoane fizice sau cu alte sisteme. Se iau măsuri tehnice şi organizatorice în acest sens.
Robusteţea sistemelor de IA cu grad ridicat de risc poate fi asigurată prin soluţii tehnice redundante, care pot include planuri de rezervă sau de funcţionare în caz de avarie.
Sistemele de IA cu grad ridicat de risc care continuă să înveţe după ce au fost introduse pe piaţă sau puse în funcţiune sunt dezvoltate astfel încât să elimine sau să reducă pe cât posibil riscul ca eventuale rezultate distorsionate de prejudecăţi să influenţeze datele de intrare pentru operaţiunile viitoare (bucle de feedback) şi să se asigure că orice astfel de bucle de feedback sunt abordate în mod corespunzător prin măsuri de atenuare adecvate.
(5)Sistemele de IA cu grad ridicat de risc sunt reziliente în ceea ce priveşte încercările unor părţi terţe neautorizate de a le modifica utilizarea, rezultatele sau performanţa prin exploatarea vulnerabilităţilor sistemului.
Soluţiile tehnice menite să asigure securitatea cibernetică a sistemelor de IA cu grad ridicat de risc sunt adecvate circumstanţelor relevante şi riscurilor.
Soluţiile tehnice pentru abordarea vulnerabilităţilor specifice ale IA includ, după caz, măsuri de prevenire, depistare, răspuns, soluţionare şi control în privinţa atacurilor ce vizează manipularea setului de date de antrenament (otrăvirea datelor) sau a componentelor preantrenate utilizate la antrenament (otrăvirea modelelor), a datelor de intrare concepute să determine modelul de IA să facă o greşeală (exemple contradictorii sau eludarea modelelor), a atacurilor la adresa confidenţialităţii sau a defectelor modelului.