Användning av AI-system ökar i privata och offentliga verksamheter samtidigt som sådan användning kan leda till allvarliga incidenter. Denna artikel förklarar begreppet allvarlig incident enligt AI-förordningen och jämför det med incidentbegreppen i NIS 2-direktivet och dataskyddsförordningen (GDPR).
Begreppet allvarlig incident (serious incident) definieras i artikel 3.49 AI-förordningen. Enligt denna bestämmelse är en allvarlig incident en incident eller ett fel i ett AI-system som direkt eller indirekt orsakar något av följande:
- Dödsfall eller allvarlig skada på en persons hälsa.
- En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur (critical infrastructure).
- Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter.
- Allvarlig skada på egendom eller på miljön.
Av artikel 3.62 AI-förordningen framgår att begreppet kritisk infrastruktur ska definieras i enlighet med i artikel 2.4 CER-direktivet. Enligt den sistnämnda bestämmelsen avses med kritisk infrastruktur en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhandahållandet av en samhällsviktig tjänst.
Notera att definitionen av begreppet allvarlig incident enligt AI-förordningen skiljer sig från incidentbegrepp som definieras i annan lagstiftning som exempelvis NIS 2-direktivet eller GDPR. Enligt artikel 6.2 NIS 2-direktivet är en incident en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Enligt artikel 4.12 GDPR är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Skillnaderna i definitionerna utgör emellertid inget hinder för att en och samma händelse samtidigt kan vara en allvarlig incident enligt AI-förordningen, en incident enligt NIS 2-direktivet och en personuppgiftsincident enligt GDPR.
För verksamheter är en god förståelse av begreppet allvarlig incident avgörande för att kunna säkerställa efterlevnaden av AI-förordningens regler för incidentrapportering. Enligt dessa regler ska användare (som kallas för ”spridare” i den senaste översättningen av AI-förordningen) av AI-system med hög risk exempelvis omedelbart rapportera en allvarlig incident till leverantören, importören eller distributören och de berörda marknadskontrollsmyndigheterna (jmf. artikel 26 AI-förordningen). Notera att användarens skyldigheter att rapportera incidenter enligt AI-förordningen skiljer sig från incidentrapporteringsskyldigheter i annan lagstiftning, som exempelvis NIS 2-direktivet och GDPR. Detta gäller exempelvis tidsfrister för rapportering och vilka aktörer incidenten ska rapporteras till.