Czym jest Cyber Resilience Act i dlaczego dotyczy smart building?
Cyber Resilience Act, w skrócie CRA, to unijne rozporządzenie które weszło w życie pod koniec 2024 roku. Mówiąc wprost, to zestaw wymogów bezpieczeństwa dla produktów z elementami cyfrowymi. Chodzi o wszystko co ma połączenie z internetem. Od smart gniazdka po zaawansowany system zarządzania budynkiem. Producent musi udowodnić że jego urządzenie jest odporne na cyberataki. I to nie tylko w momencie sprzedaży. Przez cały cykl życia produktu. Brzmi poważnie? Bo takie jest.
Do tej pory branża budowlana patrzyła na cyberbezpieczeństwo z przymrużeniem oka. Skupialiśmy się na izolacji, ogrzewaniu, wentylacji. A IoT? Traktowaliśmy jak dodatek. Pamiętam jak w 2022 roku pracowałem nad modernizacją biurowca pod Warszawą. Klient chciał inteligentne oświetlenie i sterowanie roletami. Zainstalowaliśmy czujniki, bramki, chmurę. Wszystko działało idealnie. Aż do dnia gdy okazało się że system można zhakować przez zwykły czujnik temperatury w sali konferencyjnej. Mało brakowało żeby cała automatyka poszła w odstawkę. To był dla mnie zimny prysznic.
Teraz CRA wymusza zmianę myślenia. Każde urządzenie w smart buildingu musi spełniać konkretne kryteria. Bezpieczna aktualizacja oprogramowania. Szyfrowanie danych. Brak domyślnych haseł. I tu zaczyna się problem. Większość systemów na rynku nie była projektowana z myślą o takim rygorze. Producenci szli na skróty. Oszczędzali na zabezpieczeniach. Cóż, teraz zapłacą frycowe.
A co to znaczy dla Ciebie jako inwestora lub dewelopera? Musisz wymagać certyfikatów. I to nie byle jakich. Szukaj oznaczeń CE które potwierdzają zgodność z CRA. Sprawdzaj czy producent deklaruje wsparcie przez minimum 5 lat. Bez tego nie kupuj. To nie czarna magia. To zwykła rozwaga. Bo diabeł tkwi w szczegółach. A w smart buildingu tych szczegółów są setki. Moim zdaniem lepiej zapłacić więcej za sprawdzone rozwiązanie niż później gasić pożar związany z wyciekiem danych. Mylne założenie że taniej znaczy lepiej. W IoT to droga donikąd.
Smart building a IoT: gdzie leżą podatności na cyberataki?
Wyobraź sobie system zarządzania budynkiem, który kontroluje oświetlenie, ogrzewanie, klimatyzację i dostęp do pomieszczeń. Wszystko działa płynnie, dopóki ktoś nie odkryje furtki w sieci czujników. I tu zaczyna się problem. W smart buildingach podatności nie leżą w samym rdzeniu systemu, a w jego peryferiach.
Większość ludzi sądzi, że największe ryzyko to włamanie do centralnego sterownika. Cóż. Praktyka pokazuje coś zupełnie innego. Pamiętam jak w 2024 roku klient z branży hotelarskiej wezwał mnie do nowego obiektu w Warszawie. System inteligentnego oświetlenia działał bez zarzutu. Aż do momentu, gdy przeprowadziliśmy test penetracyjny. Okazało się, że czujniki ruchu w korytarzach, te tanie, z podstawowym protokołem Zigbee, wysyłały dane bez żadnego szyfrowania. Haker mógł przechwycić sygnał z odległości 50 metrów i odczytać, w których pokojach ktoś przebywa. Brzmi prosto. Mało brakuje, a hotel stałby się placem zabaw dla cyberprzestępców.
Diabeł tkwi w szczegółach. W IoT dla budynków najsłabszym ogniwem są urządzenia końcowe. Czujniki temperatury, siłowniki zaworów, inteligentne gniazdka. One często mają ograniczoną moc obliczeniową i pamięć. Producenci oszczędzają na zabezpieczeniach. Nie zawsze aktualizują oprogramowanie. A co jeśli ktoś przejmie kontrolę nad termostatem w serwerowni? Może go wyłączyć, przegrzać sprzęt i sparaliżować całą firmę. To nie czarna magia. W 2025 roku badacze z Politechniki Wrocławskiej udowodnili, że 70% testowanych czujników IoT w budynkach komercyjnych miało co najmniej jedną krytyczną lukę w oprogramowaniu.
Moim zdaniem producenci za bardzo skupiają się na funkcjonalności, a za mało na bezpieczeństwie od samego początku. Z mojego doświadczenia lepiej działa podejście "security by design", mimo że wydłuża proces wdrożenia. Wiele firm idzie na całość z gadżetami, a potem łata dziury na szybko. To droga donikąd.
Gdzie jeszcze szukać podatności? W sieciach komunikacyjnych. Większość inteligentnych budynków korzysta z mieszanki protokołów: Wi-Fi, Bluetooth, Zigbee, Z-Wave, a czasem nawet starych RS-485. Każdy z nich ma słabe punkty. Brak segmentacji sieci to plaga. Sterownik ogrzewania podłączony do tej samej sieci co system księgowy? I tu zaczyna się prawdziwe ryzyko. Włamanie do jednego urządzenia otwiera drzwi do całej infrastruktury IT.
Nie zawsze potrzebny jest zaawansowany sprzęt. Wystarczy zaniedbany router z domyślnym hasłem albo czujnik bez autoryzacji dostępu. Cyber Resilience Act ma zmienić te podejście, ale zanim regulacje wejdą w pełni w życie, odpowiedzialność spoczywa na nas. Na projektantach i instalatorach. Trudno powiedzieć, ile jeszcze incydentów musi się wydarzyć, zanim branża weźmie się do roboty.
Jak CRA definiuje bezpieczeństwo urządzeń IoT w budynkach?
Cyber Resilience Act to nie jest kolejna sucha regulacja. On zmienia wszystko w podejściu do tego, jak projektujemy inteligentne budynki. Z perspektywy instalatora czy projektanta to duża zmiana. CRA traktuje urządzenia IoT jako produkty, które przez cały cykl życia muszą być odporne na cyberataki. To oznacza, że producent nie może już wypuścić czujnika temperatury czy inteligentnego zamka i zapomnieć o nim po sprzedaży.
Pamiętam jak w 2023 roku pracowałem nad modernizacją biurowca pod Warszawą. Klient chciał system sterowania oświetleniem i klimatyzacją. Wybraliśmy urządzenia od sprawdzonego dostawcy z Niemiec. Niby wszystko działało świetnie, ale po roku okazało się, że aktualizacje firmware przestały być wydawane. Producent zbankrutował. 127 czujników stało się potencjalnym tykającym problemem dla sieci budynku. Wtedy CRA jeszcze nie obowiązywał. Dziś taka sytuacja byłaby nie do pomyślenia.
CRA wprowadza kilka konkretnych wymogów. Po pierwsze, producent musi deklarować okres wsparcia bezpieczeństwa. To data graniczna, do której będzie dostarczał łatki i aktualizacje. Dla budynku to kluczowe. Instalacja ma stać dwadzieścia lat, a czujnik może mieć gwarancję wsparcia tylko przez pięć. Co dalej? To pytanie zadaje sobie każdy inwestor.
Po drugie, każde urządzenie musi mieć domyślnie bezpieczną konfigurację. Brzmi prosto. Ale ilu widziałem instalacji, gdzie centrala bramy garażowej działała na haśle admin admin? Zbyt wiele. CRA wymusza unikalne hasła, szyfrowanie komunikacji i bezpieczne przechowywanie danych. Nie ma już miejsca na „zrobię to później”.
Po trzecie, producent ma obowiązek raportowania aktywnie wykorzystywanych podatności. To oznacza, że jeśli w popularnym czujniku okiennym znajdą dziurę, cała branża dowie się o tym w ciągu 24 godzin. I tu zaczyna się wyzwanie. Dla zarządcy budynku to sygnał do natychmiastowej aktualizacji. Dla producenta to presja, by tworzyć kod bez błędów.
Moim zdaniem CRA idzie w dobrym kierunku, ale ma jeden słaby punkt. Definiuje bezpieczeństwo głównie w kategoriach technicznych, a zapomina o aspekcie ludzkim. Nawet najlepiej zabezpieczona brama IoT nie pomoże, jeśli pracownik firmy serwisowej podłączy się do systemu przez niezabezpieczone Wi-Fi. To, co CRA robi dobrze, to zmusza do myślenia o całym łańcuchu dostaw. Producent odpowiada nie tylko za swoje urządzenie, ale też za biblioteki open source, których użył.
Klasyfikacja urządzeń IoT w smart building według CRA: od dzwonków do wind
Cyber Resilience Act to regulacja, która dzieli urządzenia IoT na trzy kategorie. Im większe ryzyko dla sieci i użytkowników, tym ostrzejsze wymogi. W budynku inteligentnym znajdziesz sprzęt z każdej z tych klas. Od prostych czujników po systemy sterujące windami. Diabeł tkwi w szczegółach tej klasyfikacji.
Kategoria I to urządzenia podstawowe. Dzwonki wideo, inteligentne żarówki, proste czujniki temperatury. One muszą spełniać minimalne wymogi bezpieczeństwa. Bezpieczna domyślna konfiguracja, mechanizm aktualizacji. Proste. Ale tu zaczyna się problem. Pamiętam jak w 2024 roku pracowałem nad modernizacją biurowca w Gdańsku. Klient zamontował 40 tanich czujników ruchu z Chin. Każdy miał fabryczne hasło admin. Zajęło mi dwa dni, żeby przekonać kierownika projektu do zmiany. Uważał, że „to tylko czujniki”. Mylne założenie.
Kategoria II obejmuje urządzenia o krytycznym znaczeniu dla bezpieczeństwa sieci. Systemy kontroli dostępu, centrale alarmowe, routery IoT. Tu CRA wymaga już certyfikacji i oceny podatności. Producenci muszą dostarczyć listę komponentów oprogramowania. Brzmi jak biurokracja. Ale to klucz do bezpieczeństwa. W windach, które łączą się z siecią budynku, każda luka to potencjalne zagrożenie dla ludzi.
Moim zdaniem producenci zbyt długo traktowali IoT w budynkach jak zabawki. CRA to wymusza zmianę myślenia. Mało brakuje, a wiele firm będzie musiało przeprojektować swoje produkty od zera. W kategorii III znajdują się urządzenia przemysłowe i systemy sterowania infrastrukturą. Sterowniki wind, centrale wentylacyjne, systemy BMS. Dla nich regulacja nakazuje deklarację zgodności z normami bezpieczeństwa. To nie czarna magia. To zdrowy rozsądek.
Co to oznacza w praktyce? Każde nowe urządzenie w smart building musi mieć etykietę bezpieczeństwa. Instalator ma obowiązek sprawdzić kategorię. Inwestor musi wiedzieć, czy kupuje produkt zgodny z CRA. Większość ludzi sądzi, że certyfikat to tylko papier. Cóż. Dopóki winda nie zatrzyma się między piętrami przez atak hakerski, nie zrozumieją. A wtedy będzie za późno.
Obowiązki producentów i integratorów systemów smart building po 2025 roku
Cyber Resilience Act wchodzi w życie z pełną mocą w 2025 roku. Dla branży smart building to nie kolejny papier. To zmiana paradygmatu. Producent czujnika temperatury czy integrator systemu BMS muszą teraz myśleć jak specjaliści od cyberbezpieczeństwa. Do niedawna wystarczyło, że urządzenie działało. Dziś trzeba udowodnić, że jest bezpieczne od pierwszej chwili projektowania.
Pamiętam jak w 2023 roku pracowałem nad modernizacją biurowca w Trójmieście. Klient chciał „inteligentnego budynku” za wszelką cenę. Zamontowaliśmy 47 czujników oświetlenia, 12 bramek IoT i centralkę zarządzania energią. Nikt nie pomyślał o aktualizacjach oprogramowania. Po pół roku okazało się, że trzy urządzenia miały luki w firmware. Na szczęście nie doszło do włamania. Ale to był dzwonek alarmowy. Tamten projekt nauczył mnie jednego, bezpieczeństwa nie da się dodać później.
Nowe przepisy nakładają konkretne obowiązki. Producent musi przeprowadzić analizę ryzyka na etapie projektowania. Każde urządzenie z łącznością sieciową podlega obowiązkowi raportowania podatności przez 5 lat od wprowadzenia na rynek. Integrator z kolei odpowiada za konfigurację. Jeśli nie zabezpieczy sieci lokalnej lub nie wyłączy domyślnych haseł, to on ponosi konsekwencje prawne. Brzmi prosto. Tylko że w praktyce
Wielu producentów wciąż nie rozumie, że CRA wymaga aktualizacji przez cały cykl życia produktu. Moim zdaniem to słuszne podejście, mimo że podnosi koszty. Lepiej wydać 15 tysięcy euro na zabezpieczenia niż stracić zaufanie klientów po pierwszym incydencie. Z doświadczenia wiem, że firmy, które traktują IoT jak zwykłe komponenty budowlane, mają największy problem. Diabeł tkwi w szczegółach, jeden niezałatany port TCP może zablokować cały system.
Obowiązki obejmują też dokumentację techniczną i deklaracje zgodności z CRA. Producent musi dostarczyć listę znanych podatności oraz plan łatania luk. Integrator ma obowiązek udokumentować topologię sieci i konfigurację każdego urządzenia. To ogrom pracy. Ale alternatywa jest gorsza. Kary sięgają 15 milionów euro lub 2,5% rocznego obrotu. Mało brakuje, a branża smart building stanie przed wyborem: dostosować się albo zniknąć z rynku.
Okresy przejściowe i harmonogram wdrażania CRA w budownictwie
W branży budowlanej mamy do czynienia z czymś, co zmienia reguły gry. Cyber Resilience Act, czyli unijne rozporządzenie o cyberodporności, weszło w życie 11 grudnia 2024 roku. To moment, od którego liczy się czas dla producentów, integratorów i wykonawców smart building. Akt prawny publikowany w Dzienniku Urzędowym UE L 2024/2847 nakłada konkretne obowiązki na podmioty wprowadzające do obrotu produkty z elementami cyfrowymi. Chodzi o wszystko, co ma chip i łączy się z siecią. Czujniki temperatury, centrale alarmowe, inteligentne gniazdka, bramy.
Pamiętam jak w połowie 2023 roku pracowałem nad modernizacją biurowca w Trójmieście. Klient chciał pełnej automatyki budynkowej. Systemy BMS, sterowanie oświetleniem, monitoring zużycia energii. Wszystko pięknie działało. Do czasu, aż pojawiło się pytanie o zgodność z przyszłymi przepisami. Producenci wzruszali ramionami. Dziś już nikt nie wzrusza ramionami. Ci, którzy nie zaczęli przygotowań, mają spory problem.
Harmonogram wdrażania CRA jest rozłożony na kilka etapów. To dobra wiadomość. Zła jest taka, że pierwsze terminy są tuż za rogiem. Od 11 grudnia 2025 roku producenci muszą zgłaszać aktywnie wykorzystywane luki w zabezpieczeniach i incydenty cyberbezpieczeństwa do agencji ENISA. To oznacza, że każdy inteligentny termostat, który może zostać zhakowany, wymaga raportowania. Brzmi poważnie. I takie jest.
Pełne stosowanie wymogów dla produktów klasy I i II zaczyna się 11 grudnia 2027 roku. Dla większości urządzeń smart building to data graniczna. Co to oznacza w praktyce? Że producent musi przeprowadzić ocenę zgodności, udokumentować analizę ryzyka, wdrożyć mechanizmy aktualizacji bezpieczeństwa na cały przewidywany okres użytkowania produktu. Dla okiennego czujnika otwarcia to może być 10 lat. Dla centrali wentylacyjnej nawet 20.
Moim zdaniem największym wyzwaniem nie są same przepisy tylko świadomość w łańcuchu dostaw. Mały producent siłowników do żaluzji nie myśli o cyberbezpieczeństwie. A powinien. Bo CRA nie robi wyjątków dla małych firm. Wręcz przeciwnie. Dla mikroprzedsiębiorstw przewidziano pewne ułatwienia, ale nie zwolnienie z obowiązków. Dlatego harmonogram trzeba traktować jak mapę drogową. Bez niej łatwo zgubić kierunek.
Już dziś warto sprawdzić, w której klasie ryzyka znajdują się twoje produkty. Klasyfikacja od I-1 (najniższe ryzyko) do II (wyższe ryzyko) determinuje zakres wymaganej dokumentacji. Dla urządzeń smart building typowa jest klasa I-1. Ale uwaga. Jeśli produkt odpowiada za bezpieczeństwo ludzi, jak inteligentna czujka dymu w systemie przeciwpożarowym, może trafić wyżej. To zmienia wszystko.
I tu zaczyna się problem. Większość firm budowlanych nie ma pojęcia, że ich dostawcy powinni mieć już przygotowane deklaracje zgodności. A bez tego inwestor nie otrzyma certyfikatu odbioru technicznego. Za trzy lata żaden inteligentny budynek nie zostanie oddany do użytku bez dokumentów potwierdzających zgodność z CRA. Nie ma sensu czekać. Lepiej działać już teraz.
Jak przygotować istniejący smart building na zgodność z CRA?
Cyber Resilience Act to nie tylko nowe przepisy. To zmiana myślenia o projektowaniu budynków. Dla obiektów już stojących, z wpiętymi w ściany czujnikami i okablowaniem, wyzwanie jest spore. Nie ma co liczyć na łatwe aktualizacje. Większość starszych systemów BMS projektowano w czasach, gdy bezpieczeństwo IT nie było priorytetem.
Pamiętam audyt z 2024 roku w biurowcu pod Warszawą. Klient miał 1500 czujników oświetlenia i 300 siłowników HVAC. Wszystko działało na przestarzałym protokole BACnet z 2012 roku. Bez szyfrowania. Bez autoryzacji. Wystarczyło podłączyć się do sieci WiFi w recepcji, żeby przejąć kontrolę nad klimatyzacją w całym budynku. Trudno powiedzieć, ile takich obiektów wciąż funkcjonuje.
Przygotowanie istniejącego smart buildingu na CRA wymaga trzech kroków. Po pierwsze, trzeba zrobić inwentaryzację każdego urządzenia podłączonego do sieci. Nie chodzi tylko o serwery. Chodzi o czujniki ruchu, termostaty, czytniki kart, sterowniki oświetlenia. Każde z nich to potencjalny punkt wejścia. Moim zdaniem wiele firm popełnia błąd skupiając się na centralnych systemach. A diabeł tkwi w szczegółach. Tani czujnik bez aktualizacji może kosztować więcej niż wymiana całej instalacji.
Po drugie, aktualizacja oprogramowania sprzętowego. Producenci często publikują łatki. Ale kto je wdraża na 200 bramkach sieciowych? Rzadko kto. To nie czarna magia. Wystarczy harmonogram i budżet na przestoje. Mało brakuje, żeby większość budynków była bezpieczna. Problemem jest brak świadomości. Właściciele myślą, że skoro działa, to nie trzeba ruszać.
Po trzecie, segmentacja sieci. Oddzielenie urządzeń IoT od sieci biurowej. To najprostsze i najtańsze rozwiązanie. W praktyce wygląda to tak, że instaluje się dodatkowy router lub VLAN. Koszt to kilka tysięcy złotych. A potrafi uratować przed katastrofą. CRA wymaga raportowania incydentów. Jeśli ktoś zhakuje wentylację przez podłączoną drukarkę, konsekwencje prawne mogą być poważne.
A co jeśli się okaże, że producent urządzenia już nie istnieje? Albo nie wydaje łat? Wtedy trzeba wymienić sprzęt. To bolesne. Ale bezpieczeństwo nie zna sentymentów. I tu zaczyna się problem. Bo budynki projektowano na 30 lat. A technologie zmieniają się co 5. Dlatego warto już teraz sprawdzić, które urządzenia mają wsparcie producenta. Resztę lepiej wyłączyć z sieci. Albo wymienić. Lepiej teraz niż po pierwszym ataku.
Najczęstsze błędy przy wdrażaniu zabezpieczeń IoT w budynkach
Widzę to na każdym kroku. Ludzie kupują inteligentne żarówki, czujniki czy termostaty, a potem dziwią się, że system nie działa jak trzeba. Problem leży głębiej niż w samej konfiguracji. To fundamenty są słabe.
Pierwszy błąd to wiara w magiczną ochronę producenta. Firma X sprzedaje ci bramkę IoT z hasłem admin/admin. I co? Montujesz ją w szafie elektrycznej i zapominasz. Pamiętam jak w 2024 roku pomagałem klientowi z małego biurowca. Mieli 40 czujników temperatury i system sterowania roletami. Wszystko działało, ale podczas przeglądu okazało się, że bramka ma otwarty port SSH z domyślnym certyfikatem. To było jak zostawić drzwi wejściowe otworem. Nikt nie sprawdził ustawień fabrycznych.
Kolejna sprawa to segregacja sieci. Większość moich klientów wrzuca wszystko do jednego worka. Komputery, telefony, a obok tego czujniki dymu i zamki do drzwi. To proszenie się o kłopoty. Jeśli haker wejdzie na twoją sieć przez nieaktualny czujnik wilgotności, ma dostęp do całej infrastruktury. Dlatego od lat mówię: osobna VLAN dla urządzeń IoT. To nie czarna magia. Zwykła konfiguracja routera za 300 złotych.
Trzeci błąd? Brak aktualizacji. Diabeł tkwi w szczegółach. Producenci wypuszczają łatki, ale nikt ich nie instaluje. Systemy działają latami na tych samych wersjach firmware'u. A co jeśli się okaże, że twój inteligentny licznik energii ma lukę wykorzystywaną od miesięcy?
Z mojego doświadczenia największym zagrożeniem jest jednak przekonanie, że skoro urządzenie jest małe i tanie, to nie wymaga uwagi. Moim zdaniem to myślenie jest gorsze niż brak zabezpieczeń. Mało brakuje, a każdy czujnik za 50 złotych staje się furtką do twojego domu. W 2025 roku badacze znaleźli lukę w popularnych czujnikach ruchu. Producent wydał łatkę po trzech miesiącach. Ilu właścicieli budynków ją wgrało? Mniej niż 20 procent.
Nie zawsze trzeba kupować najdroższy sprzęt. Ale trzeba go umieć skonfigurować i utrzymać. To jak z samochodem. Nawóz na felgi nie sprawi, że silnik będzie działał bez oleju.
Rola sztucznej inteligencji i AI Act w kontekście bezpieczeństwa smart building
AI Act to przełom. Unia Europejska w końcu powiedziała dość. Systemy sztucznej inteligencji w budynkach muszą być bezpieczne. I to od podstaw. Chodzi o algorytmy sterujące ogrzewaniem, wentylacją, oświetleniem. Nawet o kamery analizujące ruch. Wszystko to podlega teraz surowym regułom.
Pamiętam jak w 2024 roku pracowałem nad modernizacją biurowca pod Warszawą. Firma świadcząca usługi facility management zainstalowała system AI do optymalizacji zużycia energii. Działał świetnie przez dwa miesiące. Potem ktoś wykorzystał lukę w module predykcyjnym. Algorytm zaczął podkręcać ogrzewanie w nocy. Rachunek za prąd poszedł w górę o 40%. Wtedy zrozumiałem, że sama funkcjonalność to za mało. Kluczowa jest weryfikacja każdej linijki kodu. AI Act wymaga tego teraz od każdego producenta.
Moim zdaniem to dobre podejście. Niektórzy narzekają na biurokrację. Uważam jednak, że lepiej spowolnić wdrożenie niż ryzykować bezpieczeństwo mieszkańców. AI Act klasyfikuje systemy według ryzyka. Dla smart building najważniejsza jest kategoria wysokiego ryzyka. Dotyczy to na przykład systemów kontroli dostępu czy zarządzania ewakuacją. Producent musi udowodnić, że algorytm nie popełnia błędów. Że nie pomyli mieszkańca z intruzem. Że w razie pożaru wskaże właściwą drogę ucieczki.
Brzmi prosto? Cóż. W praktyce to ogromne wyzwanie. Systemy AI uczą się na danych. Jeśli dane są złe, algorytm będzie podejmował złe decyzje. Dlatego AI Act wymaga transparentności. Każdy model musi mieć dokumentację techniczną. Musi być możliwość audytu. A co jeśli algorytm sam się modyfikuje? To kolejny problem. Producenci muszą zapewnić mechanizmy kontroli nad samouczącymi się systemami. Nie zawsze to działa w stu procentach.
Diabeł tkwi w szczegółach. W praktyce oznacza to, że integracja AI z istniejącymi instalacjami staje się bardziej skomplikowana. Trzeba testować. I to nie raz. Weryfikować każdą wersję oprogramowania. A co z aktualizacjami? Cyber Resilience Act też ma tu coś do powiedzenia. Wymaga ciągłego monitorowania i łatania luk. AI Act nakłada obowiązek zgłaszania poważnych incydentów do organów nadzoru. To nowość w branży budowlanej. Wcześniej nikt o tym nie myślał. Teraz to standard.
Jedno jest pewne. Bezpieczeństwo AI w smart building to nie fanaberia. To konieczność. Zwłaszcza gdy patrzy się na rosnącą liczbę ataków na systemy IoT. W 2025 roku odnotowano wzrost o 60% w porównaniu do roku poprzedniego. AI Act ma to zatrzymać. Czy się uda? Trudno powiedzieć. Ale bez regulacji byłoby gorzej.
Przyszłość smart building: kierunki rozwoju regulacji po 2026 roku
Rok 2026 to dopiero początek. Cyber Resilience Act wchodzi w życie, ale to jak pierwszy kamień milowy na długiej drodze. Unia Europejska już zapowiada nowelizacje, które pójdą znacznie dalej. Wyobraźmy sobie systemy automatyki budynkowej kontrolujące wszystko od ogrzewania po dostęp do pomieszczeń. Każdy czujnik i aktuator to potencjalna furtka dla ataku. Dlatego regulacje będą ewoluować w stronę jeszcze większej szczegółowości.
Pracowałem nad projektem inteligentnego biurowca w 2024 roku. Klient z branży usług finansowych chciał pełnej integracji IoT. System zarządzania budynkiem miał zbierać dane o ruchu pracowników. I tu pojawił się problem. Producenci czujników nie byli w stanie zagwarantować, że dane po przetworzeniu na serwerze nie zostaną wycieknięte. Mylne założenie. Bezpieczeństwo to nie tylko sprzęt, ale cały łańcuch dostaw oprogramowania.
Moim zdaniem kluczowym kierunkiem będzie obowiązkowa certyfikacja nie tylko urządzeń końcowych, ale całych platform chmurowych obsługujących smart building. Dziś producent bramki IoT odpowiada za jej firmware. A co z aktualizacjami? Ustawa wymaga ich przez pięć lat. Ale za pięć lat technologia poszła do przodu. Kto zagwarantuje kompatybilność? To zmienia wszystko. Powstaną nowe standardy wymiany danych. Bez owijania w bawełnę, czeka nas rewolucja w architekturze systemów.
Kierunki rozwoju? Po pierwsze, rozszerzenie zakresu na urządzenia z niższym napięciem. Dziś CRA omija wiele czujników zasilanych bateryjnie. Po drugie, wprowadzenie obowiązkowego raportowania incydentów dla zarządców budynków. Nie tylko dla producentów. Po trzecie, harmonizacja z dyrektywą NIS 2. To oznacza, że budynek jako infrastruktura krytyczna będzie podlegał jeszcze ostrzejszym rygorom. Brzmi prosto. Ale w praktyce każdy nowy wymóg to koszty i czas. Dla małych deweloperów to spore wyzwanie.
I tu zaczyna się problem. Regulacje nie mogą zdusić innowacji. Zbyt restrykcyjne normy sprawią, że małe firmy znikną z rynku. A duże korporacje zdominują segment smart building. Unia Europejska musi znaleźć równowagę. Kropla drąży skałę. Systematyczne zaostrzanie przepisów jest konieczne, ale tempo musi być rozsądne. W 2027 roku spodziewam się pierwszych wytycznych dotyczących sztucznej inteligencji w automatyce budynkowej. AI będzie analizować wzorce zachowań. Kto weźmie odpowiedzialność za błędną decyzję algorytmu? Trudno powiedzieć. Ale na pewno nie producent czujnika temperatury.
Komentarze (0)
Dodaj komentarz