Når det gælder Safety, Security og AI: Sikkerhed kræver en global lovmæssig ramme

Thomas Pilz, administrerende direktør og medejer, Pilz GmbH & Co. KG

(Det talte ord gælder)

Vi kender alle CE-mærket. Det ses på elektriske apparater, legetøj eller husholdningsartikler, men selvfølgelig også på maskiner og anlæg. Det står for "Conformité Européenne". CE-mærket er i praksis et stempel, der angiver, at produkter, der markedsføres i Det Europæiske Økonomiske Samarbejdsområde (EU og EFTA), opfylder væsentlige krav til sikkerhed, miljø og sundhed. Ved at anbringe mærket på et produkt signalerer distributøren, at han har overholdt de gældende lovkrav til produktets sikkerhed i EU. I 30 år har alle produkter, der er omfattet af et EU-direktiv, krævet en CE-overensstemmelseserklæring.

Med til disse direktiver hører også maskindirektivet, der på samme måde har været obligatorisk siden 1995. Det beskriver fælles krav til sikkerhed og sundhed ved interaktionen mellem menneske og maskine og erstattede de mange nationale regler, som tidligere fandtes i forbindelse med maskinsikkerhed.

Succesmodellen CE
Hvad der i begyndelsen var en kraftpræstation for de enkelte virksomheder, ønsker ingen at undvære i dag. CE-mærkningen og maskindirektivet skaber gennemsigtighed og tillid mellem producenter og brugere. De er altså succeshistorier. I andre dele af verden var og er de fortsat forbillede for etablering af lovmæssige rammer for maskinsikkerhed.

Det gælder f.eks. Brasilien: Her har der siden 2010 været en national lov, som fastsætter minimumskrav til sikkerhed for maskiner og maskinudstyr: Norma Regulamentadora 12 (NR-12) - MÁQUINAS E EQUIPAMENTO. Faktisk overtog man i vid udstrækning blot sikkerhedskravene i maskindirektivets bilag I, herunder særlige individuelle krav til visse maskintyper. I Europa kaldes denne lov derfor også for "det brasilianske maskindirektiv".

Første lovmæssige ramme for maskinsikkerhed i Indien
I Indien er den hurtigst voksende nationaløkonomi nu også ved at indføre en lovmæssig ramme for maskinsikkerhed. Ministry of Heavy Industries har offentliggjort to passende forskrifter. De såkaldte Omnibus Technical Regulations definerer sikkerhedskrav til de forskellige typer maskiner og elektrisk udstyr. Kravene skal sikre, at maskinerne og udstyret lever op til sikkerhedsstandarden, før de markedsføres i Indien.
Ligesom i Europa er der obligatoriske certificeringer og et overensstemmelsesmærke. De fleste af de nye krav i Indien er i overensstemmelse med eksisterende internationale standarder.

Alle, der ønsker at eksportere til Indien, skal udpege en autoriseret repræsentant med hjemsted i Indien. Vores indiske datterselskab kan hjælpe virksomheder med at opfylde kravene og dermed eksportere til Indien. Medarbejdere fra Pilz Indien arbejder også i det relevante udvalg i "Bureau of Indian Standard".

Emnet maskinsikkerhed vil helt sikkert udvikle sig yderligere i Indien. Men det man med sikkerhed kan sige, er, at maskiner eller produkter, der ikke er i overensstemmelse med kravene (man kan sige, at de ikke har det indiske CE-mærke), i fremtiden ikke kan importeres til Indien. Det vil kunne betyde, at maskiner eller produkter bliver tilbageholdt i den indiske told, indtil leverandøren har leveret de nødvendige specifikationer.

Sikkerhed: 30 år senere
Lad os gå tilbage til midten af 1990'erne: Dengang offentliggjorde Tim Berners-Lee på forskningscentret CERN i Schweiz teknologien til brug af WWW. Det var gennembruddet for netværk og digitalisering inden for samfund og industri.

30 år senere defineres sikkerhed anderledes. For på grund af denne digitalisering og integration i netværk udsættes produkter og maskiner med digitale elementer for helt andre risici, f.eks. gennem manipulation af data. Lovgiverne i Europa har reageret: Princippet om CE-mærkning gælder stadig. Kravene til at få denne mærkning er blevet tilpasset til det aktuelle tekniske niveau. Den nye maskinforordning afløste maskindirektivet i 2023. Jeg vil gerne kort introducere to nyskabelser: kunstig intelligens og Industrial Security.

Kan kunstig intelligens være sikker?
"En robot må ikke skade noget menneskeligt væsen."
Sådan formulerede Isaac Asimov allerede i 1942 en såkaldt robotlov for intelligente maskiner i en af sine science-fiction-fortællinger. I dag, 83 år senere, betyder den videre udvikling inden for kunstig intelligens, at spillereglerne for samarbejde mellem mennesker og maskiner skal tages op til fornyet overvejelse.
Det har lovgiverne også erkendt og har taget højde for emnet kunstig intelligens i den nye maskinforordning. Her tales der om maskiner med selvudviklende adfærd. Hvor sikker kan en maskine være, hvis den måde, den reagerer på i farlige situationer, ikke bestemmes af mennesker, men af en algoritme?
I ekstreme tilfælde skal det overvejes, om selvlærende software eventuelt kan resultere i en ny maskine. Et særdeles interessant emne, ikke kun for producenter, men også for de notificerede prøvningsinstitutter.

AI påvirker ikke kun maskinernes verden. EU-forordningen om kunstig intelligens, den såkaldte AI Act, regulerer i generelle vendinger, hvad AI-systemer må og ikke må.
Forordningen forbyder forskellige AI-praksisser, som f.eks. manipulation af mennesker. Dvs. at mennesker ikke må påvirkes af AI til at træffe en beslutning, der vil forårsage betydelig skade på dem selv eller andre personer. Derudover er visse applikationer, f.eks. inden for uddannelse, kritisk infrastruktur eller retsforfølgning, blevet kategoriseret som højrisiko-AI-systemer, der skal opfylde særlige krav. Disse højrisiko-AI-systemer skal også CE-mærkes i fremtiden.

Hos Pilz ser vi AI-forordningen som en vigtig regulering, der på den ene side sikrer, at mulighederne kan udnyttes, men på den anden side sikrer, at de risici, der er forbundet med AI, reduceres.

Intet CE-mærke uden Security
På grund af den hurtige stigning i cyberangreb og skader, der skyldes manipulation, vil den nye maskinforordning i fremtiden også kræve beskyttelse mod kompromittering af sikkerhedsfunktioner, f.eks. i styringer, og stiller derfor krav til Industrial Security. I arrangementets anden del vil vores ekspert Simon Nutz informere detaljeret om, hvordan virksomheder bedst kan reagere nu for fortsat at måtte mærke deres produkter med CE-mærket. Begrebet maskinsikkerhed er altså i øjeblikket ved at blive omdefineret.

Security-love: alle gode gange tre
Samlet set har EU indført lovbestemte krav til Industrial Security for maskinproduktion på tre niveauer. Der er krav til maskiner, produkter med digitale elementer og virksomheder.  

• Maskinforordningen gælder for maskiner.
• Cyber Resilience Act definerer cybersikkerhedskrav til produkter med digitale elementer.
• Og EU-direktivet om foranstaltninger for et højt fælles cybersikkerhedsniveau i Unionen, det såkaldte NIS 2-direktiv, gælder for næsten alle virksomheder i vores branche med mere end 50 ansatte.

Det stiller industrien over for en enorm opgave: Alle tre love er allerede blevet offentliggjort af EU. Uret tikker allerede for to af dem, nemlig maskinforordningen og CRA, og industrien har nu omkring halvandet år til at omorganisere udvikling, produktion og engineering i overensstemmelse hermed, inklusive alle tilhørende processer og opgaver såsom uddannelse og dokumentation. En rigtig kæmpeopgave – ligesom dengang maskindirektivet skulle implementeres.

Vi har allerede talt om maskinforordningen. CRA kræver, at produkter med digitale elementer udformes, udvikles og fremstilles i overensstemmelse med grundlæggende krav til cybersikkerhed. Konkret betyder det, at der nu er retningslinjer for risikovurdering og -sikring, administration af svage punkter, dokumentation og rapporteringspligter.

Vi er også selv omfattet af disse. For at implementere dem indførte vi for flere år siden en certificeret "secure" udviklingsproces inden for vores produktudviklingsområder i overensstemmelse med IEC 62443-4-1, som vi fik certificeret i 2022. Derfor kan vi nu garantere, at vores løsninger vil være i overensstemmelse med CRA. Produktporteføljen fra Pilz er meget omfattende, og hvert produkt skulle vurderes for at se, om det var omfattet af CRA, og om det eventuelt skulle tilpasses. Denne vurdering er sket, og de passende foranstaltninger blev påbegyndt i god tid.

Den tredje retsakt i EU's NIS 2-direktiv, som forpligter virksomheder til at forberede sig på cyberangreb, er endnu ikke omsat til national lovgivning. Og det skulle egentlig være sket 18. oktober sidste år. I øjeblikket har 9 af de 27 medlemslande i EU klaret implementeringen. I de resterende lande, bl.a. Tyskland og Østrig, forhindrer politiske omstændigheder ofte, at lovene bliver vedtaget.

Security bør ikke kun gennemføres på grund af loven
Appellen fra Pilz er: Ud fra min egen erfaring med cyberangrebet på Pilz i 2019 kan jeg sige, at det ville være fatalt at vente med at implementere Security-beskyttelsesforanstaltninger, indtil der er enighed på politisk niveau. Det handler ikke om at opfylde lovmæssige krav, men om at sikre virksomhederne og deres fortsatte eksistens.

Med alle de nye krav opstår spørgsmålet, om andre markeder end EU også vil tage de nye udfordringer op, f.eks. kunstig intelligens eller cyberkriminalitet. For at svare på dette vil jeg gerne vende tilbage til succesmodellen med CE-mærkning. Ligesom med maskindirektivet må det også forventes, at europæiske love og standarder vil blive brugt som forbillede på verdensplan, når det gælder AI og cybersikkerhed. For det første har de fleste regeringer en stærk interesse i at beskytte deres borgere så godt som muligt mod risici, og på den anden side ønsker maskinfabrikanter og producenter at kunne markedsføre deres produkter over hele verden. Det betyder, at erhvervsdrivende uden for EU også skal opfylde de nye krav, hvis de fortsat ønsker at importere til EU.

Som I kan se, har sikkerhed mange facetter, som påvirker os, vores partnere, kunder og vores samfund generelt. Den nye godkendelsesprocedure i Indien og de nye AI- og Security-krav i EU er eksempler på, hvor vigtigt det er med et velfungerende samarbejde på tværs af markederne. Nøglen til dette er love og internationale standarder. De hjælper os med at sikre, at vi kan stole på tekniske sikkerhedsmekanismer på globalt plan.