Wymagania zasadnicze dla maszyn - Nowe Rozporządzenie UE w sprawie maszyn 2023/1230

Każdy, kto produkuje instalacje i maszyny oraz użytkuje je na rynku europejskim, musi brać pod uwagę wymagania Dyrektywy maszynowej. Nadchodzi jednak czas na zmiany! Od 2027 roku Rozporządzenie UE w sprawie maszyn 2023/1230 określać będzie nowe ramy prawne w zakresie bezpieczeństwa maszyn.  Zgodnie z jego zapisami, aby zagwarantować bezpieczeństwo, należy uwzględnić również takie kwestie, jak ochrona, oprogramowanie czy sztuczna inteligencja.

Rozporządzenie w sprawie maszyn ma na celu ujednolicenie europejskich wymagań w zakresie bezpieczeństwa maszyn. Dla maszyn wprowadzanych do obrotu na terenie Europejskiego Obszaru Gospodarczego określa znormalizowany poziom bezpieczeństwa, gwarantując tym samym swobodny przepływ towarów. Producent musi uwzględnić wszystkie europejskie przepisy dotyczące jego produktu oraz zastosować jedną z dozwolonych procedur oceny zgodności. Potwierdzeniem tych czynności jest wystawienie Deklaracji Zgodności i oznakowanie produktu znakiem CE.  Użytkownik (pracodawca) natomiast zobowiązany jest do przeprowadzenia ponownej oceny ryzyka w sytuacji, gdy maszynę poddano „istotnej modyfikacji”. Oznakowaniu CE podlegają również zespoły maszyn, np. w cele zrobotyzowane i linie produkcyjne spełniające kryteria zespołów maszyn. 

Jako organ publikujący dyrektywy UE, Komisja Europejska regularnie sprawdza, czy są one aktualne i dostosowane do najnowszych wymagań techniki. Zasady zapisane w dyrektywie maszynowej obowiązywały od 2009 r. Jeśli porównamy dzisiejszy stopień zaawansowania automatyzacji i konstrukcji maszyn z wymaganiami i technologiami sprzed około 15 lat, stanie się jasne, że zmiany były potrzebne już wcześniej. Cyfryzacja i wykorzystanie sieci przemysłowych, a także powiązane z tym kwestie dotyczące bezpieczeństwa przemysłowego i sztucznej inteligencji przynoszą poważne zmiany w funkcjonowaniu zakładów produkcyjnych oraz wykorzystywanych w nich instalacjach i maszynach. Oczywiste staje się, że konieczne było zrewidowanie wymagań.

W porównaniu z wcześniejszymi przepisami, rozporządzenie w sprawie maszyn wprowadza szereg większych i mniejszych zmian. Oto najważniejsze z nich:

• Uzupełnienie wykazu podmiotów i ich odpowiedzialności w przypadku wprowadzania na rynek maszyny i produktów powiązanych

Dyrektywa obejmuje obowiązki i zakres odpowiedzialności producenta, który produkuje i projektuje maszynę i ponosi odpowiedzialność za zgodność w przypadku zamiaru wprowadzenia jej do obrotu. W przypadku braku producenta spełniającego te wymagania (głównie braku rejestracji działalności w UE), każdy podmiot wprowadzający może zostać uznany za producenta. Jest jeszcze Upoważniony przedstawiciel, który może przejąć pełną odpowiedzialność za zgodność wprowadzanego produktu, jeśli otrzymał pisemne upoważnienie od producenta.
Rozporządzenie porządkuje zakres tej odpowiedzialności. Po pierwsze wprowadza nowe definicje Importera oraz Dystrybutora. Precyzuje rolę użytkownika jako odbiorcę maszyny, a z zakresu odpowiedzialności upoważnionego przedstawiciela wyklucza etap projektowania i odpowiedzialność za zapewnienie zgodności. 

• Oprogramowanie związane z bezpieczeństwem

Temat oprogramowania związanego z bezpieczeństwem nie jest zupełnie nowy, ale teraz został omówiony w bardziej jednoznaczny sposób. Jeśli tego typu oprogramowanie jest wprowadzane do obrotu jako samodzielny produkt, jest ono postrzegane jako element bezpieczeństwa i w związku z tym również podlega przepisom rozporządzenia w sprawie maszyn. W zdecydowanej większości przypadków biblioteki funkcyjne sterowników programowalnych są testowane i certyfikowane, np. razem z odpowiednim sprzętem. Jeśli jednak bloki są oferowane oddzielnie, np. przez stronę trzecią, należy je zaopatrzyć w deklarację zgodności i znak CE.

• Maszyny podwyższonego ryzyka

W Załączniku I (Część A) do nowego rozporządzenia w sprawie maszyn wyróżniono sześć kategorii „maszyn potencjalnie wysokiego ryzyka”, w przypadku których producenci nie mogą już jak dotąd samodzielnie deklarować zgodności w oparciu o normę zharmonizowaną. W przyszłości, w procesie tym konieczne będzie zaangażowanie jednostki notyfikowanej. W przypadku kategorii maszyn wymienionych w Części B będzie można nadal zadeklarować zgodność z rozporządzeniem w sprawie maszyn w połączeniu z normą zharmonizowaną w oparciu o wewnętrzne procedury kontroli produkcji.

• Istotna modyfikacja

W rozporządzeniu została szczegółowo omówiona definicja istotnej modyfikacji maszyny. W odniesieniu do bezpieczeństwa maszyn, przeprowadzenie ponownej procedury oceny zgodności wymagane jest zawsze, gdy maszyna podlega poważnym modyfikacjom technicznym. Wprowadzono wymóg, aby osoba dokonująca takiej modyfikacji dopełniła wszystkich obowiązków producenta.
Maszyny często poddawane są pierwszym modyfikacjom wkrótce po oddaniu ich do eksploatacji. Najważniejsze w tym kontekście jest pytanie, czy modyfikacje powodują nowe lub większe zagrożenia i czy można im zapobiec za pomocą istniejących zabezpieczeń, czy należy zastosować dodatkowe. W zależności od odpowiedzi, odpowiedzialność spoczywa albo na użytkowniku, albo na producencie maszyny. Należy mieć na uwadze fakt, że znacząca modyfikacja może zaistnieć również bez fizycznych zmian w obrębie maszyny – na przykład w wyniku modyfikacji oprogramowania. To z tego powodu programiści powinni również zapoznać się z tym zagadnieniem.

• Cyfrowe instrukcje

Nareszcie pojawiła się długo oczekiwana możliwość dostarczenia instrukcji obsługi maszyny w postaci cyfrowej. Jednak na żądanie użytkownika należy nadal dostarczać instrukcje w formie papierowej. Ustawodawca przewiduje, że bezpłatna wersja instrukcji powinna być dostępna w ciągu miesiąca od daty zakupu maszyny.
Maszyny nieukończone mogą być również dostarczane z cyfrową instrukcją montażu oraz cyfrową deklaracją włączenia. W przyszłości dozwolona będzie także cyfrowa deklaracja zgodności UE.

• Maszyny samouczące się

W rozporządzeniu pojawia się nowe pojęcie „maszyna samoucząca się”. Jest to po prostu określenie maszyny wyposażonej w „sztuczną inteligencję”. Po pierwsze, zagadnienie to wpływa na konieczność odpowiedzi na pytanie, czy wymagane jest zaangażowanie w proces jednostki notyfikowanej. Po drugie, zagadnienie to ma w każdym przypadku związek z oceną ryzyka, ponieważ zmodyfikowane oprogramowanie może wiązać się z nowym lub nawet wyższym ryzykiem! W skrajnym przypadku należy rozważyć, czy samouczące się oprogramowanie nie może potencjalnie doprowadzić do powstania nowej maszyny. Jest to niezwykle interesujący temat – z punktu widzenia nie tylko samego producenta, ale także jednostek notyfikowanych.

• Bezpieczeństwo przemysłowe

Nowe rozporządzenie w sprawie maszyn podejmuje przede wszystkim temat bezpieczeństwa. Artykuł 20 odnosi się do rozporządzenia (UE) 2019/881, które to oferuje jedną z potencjalnych dróg spełnienia wymagań rozporządzenia w sprawie maszyn. Można założyć, że w przyszłości pojawią się również odpowiednie normy zharmonizowane dla tego wymogu.
W ramach zasadniczych wymagań, zawartych w Załączniku III dotyczącym bezpieczeństwa i higieny projektowania oraz budowy maszyn lub produktów powiązanych, wymagana jest zabezpieczenie maszyny przed uszkodzeniem oprogramowania, w szczególności podczas podłączania „urządzeń” (połączeń z innymi źródłami danych, np. urządzeniami programującymi lub interfejsami sieciowymi). W kontekście wymagań zasadniczych, z podłączaniem tych urządzeń wiąże się potencjalne ryzyko modyfikacji oprogramowania. Dlatego wprowadzono wymóg, aby funkcje bezpieczeństwa maszyny nie mogły zostać naruszone w wyniku takiej czynności.
W przyszłości producenci będą musieli wskazać części oprogramowania, które są istotne w kontekście zgodności maszyny z wymaganiami zasadniczymi oraz będą zobowiązani do zapewnienia ochrony przed przypadkową i celową modyfikacją. Ponadto w przyszłości każda maszyna będzie musiała rejestrować dowody legalnych i nielegalnych ingerencji w oprogramowanie.

Obecnie w Europie powstaje szereg przepisów i regulacji dotyczących bezpieczeństwa, cyfryzacji i sztucznej inteligencji. Najważniejszymi zbiorami przepisów prawnych obok Rozporządzenia w sprawie maszyn są dyrektywa NIS 2 i ustawa Cyber Resilience Act:

• NIS 2: Więcej obowiązków dla większej liczby firm

NIS (Network and Information Security) to dyrektywa Unii Europejskiej mająca na celu wzmocnienie cyberbezpieczeństwa. Obowiązuje od 2016 r. i do tej pory dotyczyła dostawców infrastruktury krytycznej. Dotychczasowe przepisy zastępuje dyrektywa NIS 2, która weszła w życie na początku 2023 r., ale musi jeszcze zostać wdrożona do prawa krajowego przez państwa członkowskie UE do jesieni 2024 r. Nowa dyrektywa ma również zastosowanie do branż technologicznej i motoryzacyjnej, między innymi w odniesieniu do firm zatrudniających ponad 50 osób lub osiągających roczny obrót przekraczający 10 mln euro. W przyszłości firmy te będą musiały udowodnić, że podjęły środki techniczne, operacyjne i organizacyjne mające na celu ochronę przed incydentami zagrażającymi bezpieczeństwu. Firmom, które nie podejmą oczekiwanych działań, grożą surowe kary.

• Cyber Resilience Act – bezpieczeństwo w całym cyklu życia produktu

We wrześniu 2022 r. Komisja Europejska przedstawiła projekt rozporządzenia, którego celem jest zwiększenie cyberbezpieczeństwa produktów. Przepisy te są skierowane do producentów produktów zawierających składniki cyfrowe (sprzęt i oprogramowanie). Innymi słowy: dotyczą niemal wszystkich producentów maszyn. Rzeczywisty wpływ dyrektywy zależy ostatecznie od ustalonych kryteriów klasyfikacji produktów. Zgodnie z wymaganiami ustawy Cyber Resilience Act, na rynek mogą trafiać wyłącznie produkty gwarantujące odpowiedni poziom cyberbezpieczeństwa – w całym cyklu swojego życia. Eksperci przewidują, że przepisy zostaną przyjęte pod koniec 2024 r.
UE kontynuuje prace nad prawodawstwem w obszarze bezpieczeństwa i początkowo będzie miała najsurowsze wymagania na świecie. Jednak ze względu na obowiązujące umowy międzynarodowe, w wielu innych krajach też zostaną wprowadzone podobne przepisy. Należy zatem spodziewać się globalnej harmonizacji wymogów dotyczących bezpieczeństwa przemysłowego.

W ramach zasadniczych wymagań, zawartych w Załączniku III dotyczącym bezpieczeństwa maszyn lub produktów powiązanych, wymagane jest zabezpieczenie maszyny przed uszkodzeniem oprogramowania, w wyniku oddziaływania wewnętrznego lub zewnętrznego i celowego lub przypadkowego np. w wyniku pomyłki. W szczególności podczas podłączania „urządzeń” (połączeń z innymi źródłami danych, np. urządzeniami programującymi lub interfejsami sieciowymi). W kontekście wymagań zasadniczych, z podłączaniem tych urządzeń wiąże się potencjalne ryzyko modyfikacji oprogramowania umyślnej lub nie. Dlatego wprowadzono wymóg, aby funkcje bezpieczeństwa maszyny zostały zabezpieczone przed takimi przypadkami. Wymusza to na producentach stosowanie bardziej wyrafinowanych zabezpieczeń dostępu, separację sieci na wewnętrzną i zewnętrzną, szereg zabezpieczeń interface-u oraz rejestr wszystkich zmian lub prób dostępu. Rejestracja danych wygenerowanych w związku ingerencją w oprogramowanie lub jego zmianą musi być rejestrowana przez 5 lat od instalacji. 

Warto mieć na uwadze, że Cyberbezpieczeństwo nie staje się nowym zagrożeniem jak można byłoby przypuszczać, wymagającym oszacowania ryzyka, a raczej ma skłonić do przeprowadzenia odrębnej oceny warunków które mogą wpłynąć na pogorszenie bezpieczeństwa lub zwiększenia ryzyk związanych z oprogramowaniem i systemem sterowania, jeśli wystąpią podczas użytkowania maszyny.

Aby przybliżyć kompleksowo zagadnienia ochrony przed cyberzagrożeniami zapraszamy do zapoznania się z nasza ofertą szkoleń z tej tematyki:

Podstawy cyberbezpieczeństwa przemysłowego

Projektowanie maszyn w celu zapewnienia ochrony przed przypadkową lub celową ingerencją

Chociaż spełnienie wymogów rozporządzenia w sprawie maszyn stanie się obowiązkowe dopiero od 20 stycznia 2027 r., już teraz ważne jest odpowiednie zaplanowanie procesów i projektów w dłuższej perspektywie czasu tak, aby konstrukcja maszyn uwzględniała przyszłe wymagania. Cyberbezpieczeństwo jest nowym celem w zakresie bezpieczeństwa funkcjonalnego. W przypadku niektórych producentów oznacza rewizję istniejących koncepcji bezpieczeństwa.

Sprawdź jakie zmiany wiążą się z wprowadzeniem nowych przepisów.

Zobacz nasz webinar, w którym omawiamy najważniejsze z nich

Przewodnik w prosty sposób tłumaczy nowe wymagania dotyczące bezpieczeństwa maszyn, obowiązki producentów, importerów i dystrybutorów, procedury oceny zgodności oraz kwestie związane z cyberbezpieczeństwem, które będą obowiązywać od 20 stycznia 2027.

Zapoznaj się z wymogami Rozporządzenia w sprawie maszyn. Poznaj rolę i obowiązki producentów, importerów, projektantów oraz użytkowników końcowych maszyn w kontekście jego wymogów.  Dowiedz się, jak zastosować postanowienia Rozporządzenia w procesie oznakowania maszyn znakiem CE. Zapoznaj się z najważniejszymi wymaganiami dotyczącymi bezpieczeństwa i higieny pracy.

Zapisz się na szkolenie

Skontaktuj się z naszymi ekspertami i dowiedz się jak przygotować się na wejście nowych przepisów