W obszarach ochrony, bezpieczeństwa i sztucznej inteligencji konieczne są globalne ramy prawne

Thomas Pilz, Partner zarządzający, Pilz GmbH & Co. KG

(Obowiązuje wersja wygłoszona).

Wszyscy znamy znak CE. Jest on umieszczany nie tylko na sprzęcie elektrycznym, zabawkach oraz artykułach gospodarstwa domowego, ale także na maszynach i urządzeniach. CE to skrót od „Conformité Européenne”. Znak CE potwierdza, że produkty wprowadzane do obrotu na terenie Europejskiego Obszaru Gospodarczego (UE i EFTA) spełniają podstawowe wymagania w zakresie zdrowia, bezpieczeństwa i ochrony środowiska. Umieszczenie go na produkcie oznacza, że, osoba wprowadzająca produkt na rynek potwierdza, że spełniła stosowne wymogi prawne dotyczące bezpieczeństwa produktu obowiązujące na terenie UE. Od 30 lat każdy produkt podlegający dyrektywom UE wymaga wydania deklaracja zgodności CE.

Do dyrektyw tych należy również obowiązująca od 1995 r. Dyrektywa maszynowa. Opisuje ona wymagania w zakresie bezpieczeństwa w odniesieniu do współpracy człowieka z maszyną oraz zastępuje szereg wcześniejszych krajowych regulacji dotyczących bezpieczeństwa maszyn.

Historia oznakowania CE
To, co początkowo stanowiło ogromne wyzwanie dla firm, teraz jest czymś, z czego nikt nie chce rezygnować. Oznakowanie CE i Dyrektywa maszynowa zapewniają przejrzystość i tworzą pomost zaufania pomiędzy producentami a użytkownikami. Na przestrzeni lat towarzyszyło im wiele sukcesów. W innych częściach świata stanowią one do dziś wzór do naśladowania przy ustalaniu ram prawnych dotyczących bezpieczeństwa maszyn.

Na przykład w Brazylii od 2010 r. obowiązuje ustawa krajowa określająca minimalne wymagania bezpieczeństwa dla maszyn i sprzętu roboczego: Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. Tam, gdzie było to możliwe, przyjęto wymogi bezpieczeństwa zawarte w Załączniku I do Dyrektywy maszynowej, łącznie z indywidualnymi wymogami szczególnymi dla niektórych typów maszyn. Z tego powodu w Europie ustawę tę nazywa się „Brazylijską dyrektywą maszynową”.

Pierwsze ramy prawne dotyczące bezpieczeństwa maszyn w Indiach
Indie, najszybciej rozwijająca się gospodarka, ustanawiają właśnie ramy prawne dla bezpieczeństwa maszyn. Ministerstwo Przemysłu Ciężkiego opublikowało dwa rozporządzenia. Ogólne przepisy techniczne określają wymagania bezpieczeństwa dla różnych typów maszyn i urządzeń elektrycznych. Mają one na celu zagwarantowanie, że maszyna wprowadzana do obrotu w Indiach spełnia normy bezpieczeństwa.
Podobnie jak w Europie obowiązują tam specjalne certyfikaty i znak zgodności. Większość nowych wymagań obowiązujących w Indiach jest zgodna z istniejącymi normami międzynarodowymi.

Każdy podmiot zamierzający eksportować do Indii musi wyznaczyć upoważnionego przedstawiciela z siedzibą na terenie Indii. Oddział firmy Pilz w Indiach zapewnia firmom wsparcie w spełnieniu wymagań i eksporcie urządzeń do Indii. Pracownicy Pilz India zasiadają również w komitecie Indyjskiego Biura ds. Norm.

Temat bezpieczeństwa maszyn z pewnością będzie zyskiwał w Indiach na znaczeniu. Z całą pewnością można jednak przyjąć, że w przyszłości nie będzie można eksportować do Indii żadnych maszyn i produktów, które nie będą spełniały tamtejszych wymogów (czyli nie będą posiadały indyjskiego znaku CE). Może to oznaczać, że maszyny lub produkty zostaną zatrzymane przez indyjską służbę celną do czasu spełnienia przez dostawcę wymaganych specyfikacji.

Bezpieczeństwo: 30 lat później
Cofnijmy się do połowy lat 90., kiedy Tim Berners-Lee udostępnił publicznie technologię sieci WWW w ośrodku badawczym CERN w Szwajcarii. Przyniosła ona przełom w obszarach sieciowania i cyfryzacji w społeczeństwie oraz przemyśle.

30 lat później bezpieczeństwo jest definiowane inaczej. Ma to związek z faktem, że właśnie w wyniku usieciowienia i cyfryzacji produkty oraz maszyny zawierające elementy cyfrowe są narażone na zupełnie inne ryzyko, np. manipulację danymi. Zareagowali na to europejscy legislatorzy jednak konieczność oznakowania maszyn znakiem CE pozostaje w mocy. Nowe wymagania zostały dostosowane do aktualnego stanu wiedzy technicznej. Nowe Rozporządzenie w sprawie maszyn zostało opublikowane w 2023 r. i zastąpi Dyrektywę maszynową w 2027 r. Warto tu wspomnieć dwie innowacje: sztuczną inteligencję i bezpieczeństwo przemysłowe.

Czy sztuczna inteligencja może być bezpieczna?
„Robot nie może zranić człowieka”.
W taki sposób Isaac Asimov sformułował w 1942 r. w jednym ze swoich opowiadań science fiction tzw. prawo robotów dotyczące inteligentnych maszyn. Dziś, 83 lata później, dalszy rozwój sztucznej inteligencji oznacza, że ​​zasady interakcji między ludźmi a maszynami muszą zostać na nowo przemyślane.
Dostrzegli to również prawodawcy, którzy uwzględnili kwestię sztucznej inteligencji w nowym Rozporządzeniu w sprawie maszyn. Mowa w nim o maszynach, których zachowanie ulega samoistnie ewolucji. Jak bezpieczna może być maszyna, jeśli o jej reakcji w niebezpiecznych sytuacjach nie decyduje człowiek, ale algorytm?
W skrajnym przypadku należy rozważyć, czy samouczące się oprogramowanie nie może potencjalnie doprowadzić do powstania nowej maszyny. Jest to niezwykle interesujący temat – z punktu widzenia nie tylko samego producenta, ale także jednostek notyfikowanych.

AI nie wpływa wyłącznie na świat maszyn. Rozporządzenie UE w sprawie sztucznej inteligencji, tzw. Akt o AI, reguluje ogólnie, co systemy sztucznej inteligencji mogą, a czego nie mogą robić.
Rozporządzenie zakazuje różnego rodzaju praktyk z wykorzystaniem AI, np. manipulacji ludźmi. Oznacza to, że AI nie może nakłaniać ludzi do podejmowania decyzji, które mogłyby wyrządzić poważną krzywdę im samym lub innym. Ponadto pewne zastosowania, na przykład w obszarach edukacji, infrastruktury krytycznej czy egzekwowania prawa, zostały sklasyfikowane jako systemy AI wysokiego ryzyka, które muszą spełniać specjalne wymagania. Tego rodzaju systemy będą musiały w przyszłości także posiadać oznakowanie CE.

W firmie Pilz uważamy Rozporządzenie w sprawie AI za ważną regulację, która umożliwia wykorzystanie istniejących szans, a jednocześnie ogranicza ryzyko z tym związane.

Nie ma znaku CE bez zagwarantowania cyberbezpieczeństwa
Ze względu na szybki wzrost liczby cyberataków i szkód spowodowanych manipulacjami Rozporządzenie w sprawie maszyn będzie w przyszłości wymagało również ochrony przed zakłóceniem funkcji bezpieczeństwa, na przykład sterowników, a w związku z tym ustanowi wymagania dotyczące bezpieczeństwa przemysłowego. W drugiej części nasz ekspert Simon Nutz przedstawi szczegółowe wskazówki, w jaki sposób firmy powinny teraz zareagować, aby móc nadal umieszczać na swoich produktach znak CE. Koncepcja bezpieczeństwa maszyn jest obecnie przedefiniowywana.

Reguły bezpieczeństwa: Wszystkie dobre rzeczy występują pod trzema postaciami
UE określiła wymogi prawne dotyczące bezpieczeństwa przemysłowego dla branży budowy maszyn na trzech poziomach. Wprowadzono wymagania dotyczące maszyn i produktów z elementami cyfrowymi.  

• Rozporządzenie w sprawie maszyn ma zastosowanie do maszyn.
• Cyber Resilience Act wskazuje wymogi w zakresie cyberbezpieczeństwa produktów zawierających elementy cyfrowe.
• Natomiast Dyrektywa UE w sprawie środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, tzw. Dyrektywa NIS 2, dotyczy niemal każdej firmy z naszej branży zatrudniającej ponad 50 pracowników.

Stawia to branżę przed ogromnym wyzwaniem, ponieważ wszystkie trzy akty prawne zostały już opublikowane przez UE. W przypadku dwóch z nich, a mianowicie Rozporządzenia w sprawie maszyn i Cyber Resilience Act, rozpoczęło się odliczanie, a branża ma około półtora roku na dostosowanie produkcji i projektowania, w tym wszystkich powiązanych procesów i zadań, takich jak szkolenia czy dokumentacja. Jest to naprawdę potężne zadanie – podobnie jak wdrożenie Dyrektywy maszynowej w tamtym czasie.

O Rozporządzeniu w sprawie maszyn już mówiliśmy. Cyber Resilience Act (CRA) nakłada wymóg, aby produkty zawierające elementy cyfrowe były projektowane, opracowywane i produkowane zgodnie z podstawowymi wymogami dotyczącymi cyberbezpieczeństwa. Konkretnie oznacza to, że obecnie obowiązują już przepisy dotyczące oceny ryzyka i zapewnienia bezpieczeństwa, zarządzania podatnością na zagrożenia, dokumentowania i sprawozdawczości.

Dotyczy to również nas. Wychodząc naprzeciw tym wymogom, kilka lat temu wdrożyliśmy w obszarach rozwoju produktów certyfikowany „bezpieczny” proces rozwoju zgodnie z normą IEC 62443-4-1, a w 2022 r. uzyskaliśmy jego certyfikację. Dzięki temu możemy zagwarantować, że nasze rozwiązania są zgodne z wymogami CRA. Dysponujemy bardzo szeroką ofertą produktów, a każdy z nich musiał zostać oceniony w celu ustalenia, w jakim stopniu podlega przepisom CRA oraz czy wymaga dostosowania. Ocena została przeprowadzona, a na dość wczesnym etapie udało nam się podjąć odpowiednie środki.

Trzecim aktem prawnym jest unijna Dyrektywa NIS-2, która nakłada na przedsiębiorstwa obowiązek przygotowania się na cyberataki, ale wciąż nie została przetransponowana do prawa krajowego. Tak naprawdę termin upłynął 18 października ubiegłego roku. Obecnie transpozycję przeprowadziło jedynie 9 z 27 państw członkowskich UE. W pozostałych krajach, takich jak Niemcy czy Austria, uchwalanie ustaw uniemożliwiają często okoliczności polityczne.

W bezpieczeństwie nie chodzi tylko o zgodność z prawem
Apel firmy Pilz: na podstawie naszych własnych doświadczeń związanych z cyberatakiem jaki miał miejsce w 2019 r. możemy powiedzieć, że czekanie z wdrożeniem środków bezpieczeństwa na osiągnięcie porozumienia na szczeblu politycznym może mieć katastrofalne konsekwencje. Nie chodzi o spełnienie wymogów prawnych, ale o zabezpieczenie firmy i zapewnienie jej dalszego istnienia.

W obliczu nowych wymogów pojawia się pytanie, czy inne rynki poza UE również będą musiały stawić czoła nowym wyzwaniom, takim jak sztuczna inteligencja czy cyberprzestępczość. Aby odpowiedzieć na to pytanie, warto powrócić do udanego modelu oznakowania CE. Podobnie jak w przypadku Dyrektywy maszynowej należy spodziewać się, że europejskie przepisy i normy będą stanowić ogólnoświatowy wzór dla prawodawstwa dotyczącego sztucznej inteligencji i cyberbezpieczeństwa. Rządy większości państw mają ważny interes, aby zapewnić swoim obywatelom jak najlepszą ochronę przed zagrożeniami, natomiast producenci maszyn chcą sprzedawać swoje produkty na całym świecie. Oznacza to, że podmioty gospodarcze spoza UE będą również musiały spełnić nowe wymogi, jeżeli chcą kontynuować eksport do UE.

Jak widać, na bezpieczeństwo składa się wiele elementów, które wpływają na nas, naszych partnerów, klientów i społeczeństwa jako całość. Nowy proces zatwierdzania w Indiach oraz nowe wymogi dotyczące sztucznej inteligencji i bezpieczeństwa w UE są przykładami ogromnego znaczenia sprawnej współpracy na rynkach międzynarodowych. Kluczowe znaczenie mają przepisy i normy międzynarodowe. Pozwalają one polegać na globalnych mechanizmach bezpieczeństwa technicznego.