Sobre seguridad, protección y KI: la seguridad necesita un marco legal en todo el mundo

Thomas Pilz, socio administrador de Pilz GmbH & Co. KG

(Vale la palabra hablada)

Todos conocemos el Marcado CE. Lo podemos ver en electrodomésticos, juguetes o artículos del hogar, pero también en máquinas e instalaciones. Es la sigla de "Conformité Européenne". En la práctica, el Marcado CE certifica que los productos comercializados en el Espacio Económico Europeo (UE y AELC) cumplen los requisitos básicos de seguridad, protección del medio ambiente y salud. Mediante la colocación del Marcado, el comercializador indica que ha observado los requisitos legales aplicables a la seguridad del producto en la UE. Desde hace 30 años, todos los productos sujetos a una Directiva de la UE deben tener obligatoriamente una Declaración CE de conformidad.

Entre ellas figura también la Directiva de Máquinas, obligatoria desde 1995. Describe requisitos unificados de seguridad y salud para la interacción entre personas y máquinas y sustituye las numerosas disposiciones nacionales relativas a la seguridad de la máquinas.

Modelo de éxito CE
Lo que al principio representaba un reto para las empresas, hoy es un requisito del que nadie quiere prescindir. El Marcado CE y la Directiva de Máquinas generan transparencia y confianza entre fabricantes y usuarios. Son claros ejemplos de historias de éxito. En otras partes del mundo se han utilizado y se siguen utilizando como modelo para establecer un marco jurídico para la seguridad de las máquinas.

En Brasil, por ejemplo, se aplica desde 2010 una ley que establece requisitos mínimos de seguridad para maquinaria y equipos, como es la "Norma Regulamentadora 12 (NR-12) - MÁQUINAS E EQUIPAMENTO. De hecho, se han adoptado la mayor parte de los requisitos de seguridad del anexo I de la Directiva de Máquinas, incluidos requisitos específicos para determinados tipos de máquinas. Por ello, en Europa esta ley se conoce también como "Directiva Brasileña de Máquinas".

Primer marco jurídico para la seguridad de las máquinas en la India
India, la economía que más crece del mundo, también está implantando un marco jurídico para la seguridad de las máquinas. El Ministry of Heavy Industries ha publicado dos normativas para el sector. Denominadas Omnibus Technical Regulations, definen los requisitos de seguridad para los distintos tipos de máquinas y equipos eléctricos. Tienen por objeto garantizar que cumplen la normativa de seguridad antes de que la máquina o equipo se comercialice en la India.
Igual que en Europa, existen certificaciones obligatorias y un Marcado de conformidad. La mayoría de los nuevos requisitos de India se ajustan a la normativa internacional vigente.

Quienes deseen exportar a la India deben designar a un representante autorizado con sede en este país. Nuestra filial india puede ayudar a las empresas a cumplir los requisitos y agilizar la exportación a la India. Empleados de Pilz India colaboran además en el correspondiente comité del "Bureau of Indian Standard".

Cabe esperar que el tema de la seguridad de las máquinas seguirá desarrollándose en la India. Lo que sí se puede afirmar con certeza es que, en el futuro, las máquinas o productos que no sean conformes (se podría decir, aquellas que no tienen el Marcado CE indio) no podrán exportarse a la India. Esto podría significar que las máquinas y los productos queden retenidos en las aduanas indias hasta que el proveedor haya proporcionado las especificaciones requeridas.

La seguridad, 30 años después
Pero remontémonos a mediados de los noventa, cuando Tim Berners-Lee, del centro de investigación CERN de Suiza, puso a disposición del público general la tecnología de uso de la WWW. El avance más determinante de la conexión en red y la digitalización de la sociedad y la industria.

30 años después, la definición de seguridad es otra. La razón es que esta misma conexión en red y digitalización expone los productos y máquinas con componentes digitales a riesgos completamente diferentes como, por ejemplo, la manipulación de datos. La legislación europea ha reaccionado con el mantenimiento del principio del Marcado CE. Los requisitos para mantenerlo se han adaptado al estado de la técnica. El nuevo Reglamento de Máquinas ha reemplazado en 2023 la Directiva de Máquinas. Quisiera presentar brevemente dos innovaciones: la Inteligencia Artificial y la protección industrial (Industrial Security).

¿La inteligencia artificial puede ser segura?
"Un robot no hará daño a un ser humano, ni por inacción permitirá que un ser humano sufra daño.”
Así formulaba Isaac Asimov en 1942, en uno de sus relatos de ciencia ficción, una de las leyes de la robótica para máquinas inteligentes. Hoy, 83 años después, los avances en inteligencia artificial obligan a reconsiderar las reglas del juego de la cooperación e interacción entre personas y máquinas.
El legislador es consciente de esta situación y ha incorporado el tema de la inteligencia artificial en el nuevo Reglamento de Máquinas. En él se habla de máquinas con comportamiento autoevolutivo. ¿Hasta qué punto puede ser segura una máquina si su forma de reaccionar en situaciones peligrosas no la determinan las personas, sino un algoritmo?
En casos extremos, debe considerarse si la incorporación de software autoevolutivo puede dar lugar incluso a una máquina nueva. Se trata de un tema sumamente interesante no solo para fabricantes, sino también para las instituciones de certificación notificadas.

La IA no afecta solo a las máquinas. El Reglamento de la UE sobre inteligencia artificial, denominado Ley de Inteligencia Artificial (AI-Act), regula en líneas generales lo que pueden y no pueden hacer los sistemas de IA.
El Reglamento prohíbe determinados usos de la IA, como la manipulación de personas. Es decir, las personas no deben ser inducidas por la IA a tomar una decisión que pueda causar un daño significativo a ellas mismas o a otras personas. Por otra parte, determinadas aplicaciones de la IA, por ejemplo, en los ámbitos de la educación, las infraestructuras críticas o el procesamiento penal, se han clasificado como sistemas de IA de alto riesgo que deben cumplir requisitos especiales. Estos sistemas de IA de alto riesgo también deberán llevar Marcado CE en el futuro.

En Pilz consideramos el Reglamento de IA como una normativa importante que garantiza, por una parte, que se puedan aprovechar las oportunidades y por otra, que se reduzcan los riesgos asociados a la IA.

Sin protección no hay Marcado CE
Debido al rápido aumento de los ciberataques y los daños ocasionados por manipulaciones, la nueva Directiva de Máquinas exigirá a partir de ahora protección contra la corrupción de las funciones de seguridad, por ejemplo, de los sistemas de mando, y establece con ello especificaciones en materia de protección industrial (Industrial Security). En la segunda parte del acto, nuestro experto Simon Nutz ofrecerá información detallada sobre las medidas más eficaces que las empresas puede aplicar para poder seguir colocando el Marcado CE en sus productos. Podemos decir que se está redefiniendo el concepto de seguridad de las máquinas.

Leyes sobre protección: lo bueno viene de tres en tres
La UE ha introducido requisitos legales de protección industrial (Industrial Security) para la construcción de máquinas a tres niveles. Las especificaciones se aplican a máquinas, productos con elementos digitales y empresas.  

• El Reglamento de Máquinas se aplica a máquinas.
• El Reglamento Cyber Resilience Act define requisitos de ciberseguridad para productos que contienen elementos digitales.
• Por otra parte, la Directiva UE sobre medidas para establecer un elevado nivel común de ciberseguridad en toda la Unión, denominada Directiva NIS 2, se aplica a casi todas las empresas con más de 50 empleados de nuestro sector.

La industria se enfrenta a una enorme tarea porque las tres leyes ya han sido publicadas por la UE. El reloj ya corre para dos de ellos, a saber, el Reglamento de Máquinas y el CRA, y la industria dispone ahora de aproximadamente un año y medio para adaptarse en términos de desarrollo, producción e ingeniería, incluidos todos los procesos y tareas asociados, como formación y documentación. Una tarea ingente, como lo fue en su día la aplicación de la Directiva de Máquinas.

Ya hemos hablado del Reglamento de Máquinas. El CRA exige que los productos con elementos digitales se diseñen, desarrollen y fabriquen de acuerdo con unos requisitos básicos de ciberseguridad. Esto significa, en concreto, que ahora existen especificaciones y requisitos de evaluación y de garantía frente a riesgos, de gestión de vulnerabilidades, de documentación y de obligaciones de información.

Y que también nos afectan directamente. Para ponerlo en práctica, en nuestras áreas de desarrollo de productos introdujimos hace varios años un proceso de desarrollo de "protección" certificado según la normativa IEC 62443-4-1 en 2022. Esto nos permite garantizar que nuestros desarrollos cumplirán los requisitos del CRA. La gama de productos Pilz es muy grande y fue preciso evaluar cada producto para ver en qué medida le afectaba el CRA y si había que adaptarlo. Se realizaron las evaluaciones pertinentes y se implementaron las medidas correspondientes con la debida antelación.

El tercer acto legislativo, la Directiva NIS 2 de la UE, que obliga a las empresas a prepararse para los ciberataques, no se ha transpuesto todavía a legislación nacional. En realidad había de plazo hasta el 18 de octubre del año pasado. Actualmente son 9 de los 27 Estados miembros de la UE los que han realizado la transposición. En otros países, como Alemania o Austria, a menudo son circunstancias políticas las que impiden que se aprueben las leyes pertinentes.

Protección no por exigencias legales
Pilz hace un llamamiento: por nuestra propia experiencia a raíz del ciberataque a Pilz en 2019, puedo decir que sería fatal esperar a que haya un acuerdo a nivel político para aplicar medidas de protección industrial. No se trata de cumplir requisitos legales, sino de asegurar la empresa y su continuidad.

Junto con los nuevos requisitos, surge la pregunta de si otros mercados además de la UE implementarán también medidas para afrontar los nuevos retos, como la inteligencia artificial o la ciberdelincuencia. Para responder a esto, me gustaría referirme de nuevo al exitoso modelo del Marcado CE. De modo similar a lo sucedido con la Directiva de Máquinas, cabe esperar que las leyes y normativas europeas sirvan en todo el mundo de modelo para abordar temas como la IA y la ciberseguridad. Por una parte, la mayoría de gobiernos están muy interesados en que sus ciudadanos tengan la mejor protección posible contra peligros y por otra, los fabricantes y productores de maquinaria quieren poder comercializar sus productos en todo el mundo. Esto significa que los operadores económicos externos a la UE deberán cumplir también los nuevos requisitos si desean seguir importando en la UE.

Comprobarán que la seguridad tiene muchas facetas que nos afectan a nosotros, a nuestros socios y clientes y a la sociedad en general. El nuevo procedimiento de homologación en la India y los nuevos requisitos de protección industrial e inteligencia artificial en la UE son ejemplos que ilustran la importancia de la cooperación funcional entre mercados. Las leyes y normativas internacionales son una de las claves para ello. Nos ayudan a garantizar que podamos confiar en los mecanismos de seguridad técnicos en todo el mundo.