Bezpieczne Edge AI w świetle unijnej ustawy o AI: Co zespoły produktowe muszą zrobić już teraz?

Unijna ustawa o sztucznej inteligencji (AI Act) oraz Akt o odporności cybernetycznej (Cyber Resilience Act, CRA) tworzą dwa filary nowego krajobrazu regulacyjnego. Razem definiują, w jaki sposób sztuczna inteligencja musi być opracowywana, wdrażana i zabezpieczana - szczególnie, gdy działa na urządzeniach brzegowych (edge), funkcjonujących poza chronionymi środowiskami.

AI Act koncentruje się na etycznym wykorzystaniu sztucznej inteligencji, z dbałością przejrzystość, odpowiedzialność i „nie szkodzeniu”. Wiele urządzeń brzegowych ma kluczowe znaczenie dla bezpieczeństwa, w tym systemy sterowania przemysłowego, transport autonomiczny czy urządzenia medyczne, gdzie decyzje AI mogą bezpośrednio wpływać na bezpieczeństwo i komfort ludzi. Dlatego systemy Edge AI są również objęte regulacjami AI Act, który ustanawia zasady zapewniające ich bezpieczne, a także przejrzyste i etyczne działanie.

Edge AI jest często wybierane ze względu na ochronę prywatności, ponieważ dane są przetwarzane lokalnie, a nie w chmurze. Jednak, nawet przy działaniu na urządzeniu, systemy te nadal podlegają AI Act, ponieważ mogą wpływać na użytkowników i ich bezpieczeństwo. Z tego powodu zgodność z przepisami dotyczy nie tylko AI w chmurze, ale w równym stopniu urządzeń Edge AI.

Edge AI zmniejsza zależność od łączności i umożliwia działanie w czasie rzeczywistym w środowiskach offline lub krytycznych, ale oznacza też, że urządzenia muszą być zaprojektowane tak, aby działały bezpiecznie, w sposób możliwy do śledzenia i etyczny przez cały cykl życia.

Dowiedz się, jak wymagania dotyczące zgodności przekładają się na praktyczne decyzje projektowe w publikacji „Building Trusted and Compliant AI Devices with Secure Edge AI”.

W latach 2024–2027 zacznie obowiązywać kilka kluczowych dokumentów prawnych UE, w tym: Dyrektywa NIS2 (UE 2022/2555) dotycząca cyberbezpieczeństwa, Cyber Resilience Act (CRA), Artificial Intelligence Act (AI Act, Rozporządzenie UE 2024/1689), Data Act (Rozporządzenie UE 2023/2854) dotyczące ujednoliconych zasad dostępu do danych i ich wykorzystania.

Razem te regulacje ustanawiają zasadę „secure-by-design” jako obowiązkowy standard dla organizacji i produktów działających w UE. Oznacza to, że urządzenia podłączone do sieci i zasilane AI muszą wykazać się pełną dokumentacją, solidnym zarządzaniem danymi i kontrolą całego cyklu życia oprogramowania przed wprowadzeniem na rynek UE.

Firmy przygotowujące się do spełnienia tych standardów w projektowaniu produktów mogą skorzystać z publikacji „AI-Empowered Products – Turning Intelligence into Value”.

AI Act to pierwsze na świecie horyzontalne ramy regulujące sztuczną inteligencję. Klasyfikuje zastosowania AI według poziomu ryzyka i nakłada odpowiednie obowiązki – od całkowitego zakazu dla systemów „nieakceptowalnego ryzyka” po pełną dokumentację i audyty dla systemów „wysokiego ryzyka”. Celem jest zapewnienie, że systemy AI w Europie są bezpieczne, przejrzyste i respektują prawa podstawowe.

Równolegle CRA ustanawia wymagania dotyczące cyberbezpieczeństwa dla produktów cyfrowych i urządzeń podłączonych do sieci. Producenci muszą projektować, rozwijać i utrzymywać produkty zgodnie z zasadami „security-by-design” i „security-by-default”, ujawniać podatności oraz dostarczać aktualizacje bezpieczeństwa przez cały cykl życia produktu.

Dla Edge AI obie regulacje się przecinają:

Zgodność z obiema regulacjami jest kluczowa dla każdej firmy sprzedającej produkty z AI na rynku UE.

Dowiedz się, jak wybór odpowiedniej platformy sprzętowej zapewnia zgodność od początku w publikacji „Choosing the Right Hardware for Edge AI”.

Wyłączenia obejmują bezpieczeństwo narodowe, obronność, badania naukowe oraz zastosowania nieprofesjonalne (hobbystyczne). Ustawa wymaga, aby wszyscy pracownicy projektujący, wdrażający lub używający AI rozumieli jej możliwości, ryzyka i ograniczenia. Zespoły HR i L&D powinny zacząć budować te kompetencje już teraz.

„Rozpoznawanie nastroju” w projekcie badawczym, analizującym emocje pasażerów w tramwajach – może wydawać się nieszkodliwe, ale zgodnie z AI Act może być zaklasyfikowane jako zakazane (manipulacja zachowaniem) lub wysokiego ryzyka (rozpoznawanie emocji). Kontekst decyduje o zgodności.

A | Wymagania dla systemu lub produktu:

B | Wymagania organizacyjne/procesowe:

Nasz multidyscyplinarny zespół łączy inżynierów AI, architektów bezpieczeństwa i ekspertów ds. regulacji, aby przekształcić zgodność w przewagę konkurencyjną, a nie postrzegać normy prawne jako przeszkody w rozwoju.

Przygotujemy mapę Twojego przypadku użycia, zdefiniujemy architekturę bezpieczeństwa i przygotujemy dokumentację potrzebną do certyfikacji. Umów się na przegląd gotowości do AI Act z Etteplan. Skontaktuj się z nami!