С точки зрения безопасности, защиты и ИИ: необходима глобальная правовая база

Томас Пильц, управляющий партнер Pilz GmbH & Co. KG

(«Возможны изменения»)

Все мы знаем про маркировку CE. Ее можно увидеть на электроприборах, игрушках или предметах домашнего обихода, но также, конечно, на установках и машинном оборудовании. Она означает «Conformité Européenne» (Европейское соответствие). Маркировка CE фактически является знаком, подтверждающим, что продукция, поставляемая на рынок в пределах Европейской экономической зоны (ЕС и Европейская ассоциация свободной торговли), соответствует основным требованиям в области охраны здоровья, безопасности и охраны окружающей среды. Нанося эту маркировку, лицо, размещающее продукцию на рынке, сигнализирует о том, что оно выполнило все применимые правовые требования к безопасности продукции в ЕС. На протяжении последних 30 лет каждый продукт, подпадающий под действие директив ЕС, должен иметь Декларацию соответствия ЕС.

К этим директивам относится Директива по машинному оборудованию, которая также является обязательной с 1995 года. В директиве описываются стандартизованные требования по охране труда и технике безопасности при взаимодействии человека и машины, и она заменяет собой различные национальные нормы и правила в отношении безопасности машинного оборудования.

Модель успеха CE
То, что изначально было серьезной проблемой для компаний, теперь стало тем, без чего никто не хочет обходиться. Маркировка CE и Директива по машинному оборудованию обеспечивают прозрачность и доверие между производителями и пользователями. Поэтому они теперь стали историями успеха. В других частях мира они послужили моделью для создания правовых рамок безопасности машинного оборудования и продолжают выполнять эту функцию.

В Бразилии, например: с 2010 года действует национальный закон, устанавливающий минимальные требования безопасности для машинного и рабочего оборудования: Norma Regulamentadora 12 (NR-12) — MÁQUINAS E EQUIPAMENTO (Нормативный стандарт 12 (НС-12) — «МАШИНЫ И ОБОРУДОВАНИЕ»). Там, где это было возможно, были фактически приняты требования безопасности из Приложения I Директивы по машинному оборудованию, включая отдельные специальные требования для определенных типов машинного оборудования. Вот почему в Европе этот закон также называют «Бразильской директивой по машинному оборудованию».

Первая правовая база по безопасности машинного оборудования в Индии
Индия, самая быстрорастущая экономика, теперь также принимает правовую базу по безопасности машинного оборудования. Министерство тяжелой промышленности опубликовало два соответствующих постановления. В Техническом регламенте «Омнибус» (Omnibus) определены требования безопасности для различных типов машинного оборудования и электрооборудования. Они разработаны для того, чтобы гарантировать соответствие машины стандартам безопасности перед ее выпуском на рынок Индии.
Как и в Европе, существуют обязательные сертификации и маркировка соответствия. Большинство новых требований в Индии соответствуют действующим международным стандартам.

Любой желающий экспортировать продукцию в Индию должен назначить уполномоченного представителя, базирующегося в Индии. Наш индийский филиал может помочь компаниям выполнить требования и осуществлять экспорт в Индию. Сотрудники Pilz India также работают в профильном комитете Бюро стандартов Индии.

Тема безопасности машинного оборудования, безусловно, продолжит развиваться в Индии. Однако мы можем с уверенностью сказать, что в будущем в Индию будет невозможно импортировать какое-либо машинное оборудование или изделия, не соответствующие требованиям (иными словами, не имеющие маркировки CE для Индии). Это может означать, что машинное оборудование или продукция будут задержаны индийской таможней до тех пор, пока поставщик не выполнит требования спецификаций.

Безопасность: 30 лет спустя
Давайте вернемся в середину 1990-х годов, когда Тим Бернерс-Ли публично представил технологию использования WWW в исследовательском центре ЦЕРН в Швейцарии. Прорыв в области сетевых технологий и цифровизации в обществе и промышленности.

30 лет спустя безопасность определяется по-другому. Потому что в результате именно этого сетевого взаимодействия и цифровизации продукты и машинное оборудование с цифровыми элементами подвергаются совершенно иным рискам, например, из-за манипулирования данными. Европейские законодатели отреагировали на это: принцип маркировки CE остается в силе. Требования для ее получения адаптированы к современному уровню технологий. Новый Регламент по машинному оборудованию был опубликован в 2023 году и заменит Директиву по машинному оборудованию в 2027 году. Я хотел бы кратко представить два новшества: искусственный интеллект и информационную безопасность в промышленности.

Может ли искусственный интеллект быть безопасным?
«Робот не может причинить вред человеку».
Именно так Айзек Азимов сформулировал так называемый закон робототехники для разумных машин в одном из своих научно-фантастических рассказов еще в 1942 году. Сегодня, 83 года спустя, дальнейшее развитие искусственного интеллекта означает, что правила взаимодействия человека и машины должны быть пересмотрены.
Законодатели также признали это и учли тему искусственного интеллекта в новом Регламенте по машинному оборудованию. В нем говорится о машинах с саморазвивающимся поведением. Насколько безопасной может быть машина, если ее реакция в опасных ситуациях определяется не людьми, а алгоритмом?
В крайнем случае необходимо рассмотреть вопрос о том, может ли саморазвивающееся программное обеспечение потенциально привести к созданию новой машины. Чрезвычайно интересная тема не только для производителя, но и для надзорных органов.

ИИ влияет не только на мир машинного оборудования. Регламент ЕС об искусственном интеллекте, так называемый Закон об ИИ, в общих чертах регулирует, что могут и чего не могут делать системы ИИ.
Регламент запрещает различные практики с ИИ, такие как манипулирование людьми. Это означает, что ИИ не должен подталкивать людей к принятию решений, которые могут нанести значительный вред им самим или другим. Кроме того, некоторые применения, например, в сфере образования, критической инфраструктуры или охраны правопорядка, были отнесены к категории систем ИИ с высоким уровнем риска, которые должны соответствовать особым требованиям. В будущем эти системы ИИ с высоким уровнем риска также должны будут получить маркировку CE.

В компании Pilz мы рассматриваем Регламент по ИИ как важный нормативный акт, который обеспечивает использование возможностей и одновременно снижение рисков, связанных с ИИ.

Нет маркировки CE без информационной безопасности
В связи с быстрым ростом кибератак и ущерба, вызванного манипуляциями, в будущем новый Регламент по машинному оборудованию также потребует защиты от повреждения функций безопасности, например контроллеров, и, таким образом, устанавливает требования к информационной безопасности в промышленности. Во второй части мероприятия наш эксперт Симон Нутц предоставит подробную информацию о том, как компаниям следует реагировать сейчас, чтобы иметь возможность продолжить маркировку своей продукции знаком CE. В настоящее время концепция безопасности машинного оборудования пересматривается.

Законы об информационной безопасности: все хорошее приходит тройками
В целом ЕС ввел правовые требования к информационной безопасности в промышленности для инженерных работ на трех уровнях. Существуют требования к машинному оборудованию, продукции с цифровыми элементами и компаниям.  

• Регламент по машинному оборудованию применяется к машинному оборудованию.
• Закон о киберустойчивости определяет требования кибербезопасности к изделиям с цифровыми элементами.
• А Директива ЕС о мерах по обеспечению высокого общего уровня кибербезопасности на всей территории Союза, так называемая Директива NIS 2, распространяется практически на все компании в нашем секторе с численностью сотрудников более 50 человек.

Это ставит перед отраслью огромную задачу: все три закона уже опубликованы ЕС. Время для внедрения двух из них, а именно Регламента по машинному оборудованию и Закона о киберустойчивости, уже истекает, и у отрасли теперь есть около полутора лет, чтобы соответствующим образом адаптировать разработку, производство и проектирование, включая все сопутствующие процессы и задачи, такие как обучение или документирование. Поистине грандиозная задача — как и реализация Директивы по машинному оборудованию в свое время.

Мы уже говорили о Регламенте по машинному оборудованию. Закон о киберустойчивости требует, чтобы изделия с цифровыми элементами проектировались, разрабатывались и производились в соответствии с основными требованиями кибербезопасности. Если конкретно это означает, что теперь существуют требования по оценке и контролю рисков, управлению уязвимостями, документированию и обязательствам по отчетности.

Это также касается и нас. Поэтому для реализации этой идеи несколько лет назад мы внедрили сертифицированный «безопасный» процесс разработки в наших областях разработки изделий в соответствии со стандартом IEC 62443-4-1 и сертифицировали его в 2022 году. Это позволяет нам гарантировать, что наши разработки соответствуют требованиям Закона о киберустойчивости. У компании Pilz очень обширный ассортимент продукции, и каждый продукт необходимо было оценить, чтобы определить, в какой степени на него влияет Закон о киберустойчивости и требуется ли его адаптация. Такая оценка была проведена и соответствующие меры были приняты на раннем этапе.

Третий законодательный акт — Директива ЕС NIS-2, обязывающая компании готовиться к кибератакам, — еще не внедрен в национальное законодательство. Фактически это было сделано к 18 октября прошлого года. В настоящее время 9 из 27 государств-членов ЕС завершили транспонирование. В остальных странах, таких как Германия или Австрия, политические обстоятельства часто препятствуют принятию законов.

Безопасность не только ради закона
Обращение Pilz: исходя из нашего собственного опыта кибератаки на Pilz в 2019 году, я могу сказать, что было бы катастрофой ждать достижения соглашения на политическом уровне, прежде чем внедрять меры по обеспечению информационной безопасности. Речь идет не о выполнении требований закона, а о защите компании и ее дальнейшем существовании.

Учитывая все новые требования, возникает вопрос, столкнутся ли другие рынки, помимо ЕС, с новыми вызовами, такими как искусственный интеллект или киберпреступность. Чтобы ответить на этот вопрос, я хотел бы вернуться к успешной модели маркировки CE. Как и в случае с Директивой по машинному оборудованию, следует ожидать, что европейские законы и стандарты послужат образцом для всего мира в вопросах ИИ и кибербезопасности. Большинство правительств заинтересованы в том, чтобы обеспечить максимальную защиту своих граждан от опасностей, в то время как машиностроители и производители стремятся иметь возможность продавать свою продукцию по всему миру. Это означает, что экономические операторы за пределами ЕС также должны будут соблюдать новые требования, если они хотят продолжить импорт в ЕС.

Как видите, информационная безопасность имеет множество аспектов, которые влияют на нас, наших партнеров, клиентов и общество в целом. Новый процесс согласования в Индии и новые требования к ИИ и информационной безопасности в ЕС являются примерами того, насколько важно наладить эффективное межрыночное сотрудничество. Законы и международные стандарты имеют ключевое значение. Они помогают нам полагаться на глобальные технические механизмы безопасности.