Bezpečnost, průmyslová bezpečnost a umělá inteligence: Bezpečnost potřebuje svůj celosvětový zákonný rámec

Thomas Pilz, výkonný společník, Pilz GmbH & Co. KG

(Jednou dané slovo platí)

Každý zná označení CE. Najdeme je na elektrických přístrojích, hračkách nebo domácích spotřebičích, samozřejmě také na strojích a zařízeních. CE znamená „Conformité Européenne“. Označení CE je určitým potvrzením, že produkty uvedené do oběhu v Evropském hospodářském prostoru (EU a EFTA) splňují podstatné požadavky na bezpečnost, ochranu životního prostředí a zdraví. Umístěním označení subjekt, který produkt uvádí na trh, signalizuje, že dodržel zákonné požadavky EU na jeho bezpečnost. Pro každý produkt, který spadá pod ustanovení směrnic EU, se již 30 let musí vystavovat CE prohlášení o shodě.

K těmto směrnicím patří i směrnice o strojních zařízeních, která je závazná rovněž již od roku 1995. Popisuje jednotné požadavky na bezpečnost a zdraví při interakci člověka a stroje a nahrazuje tak četná pravidla, která v oblasti strojní bezpečnosti existují v různých státech.

Úspěšný model CE
To, co zpočátku připadalo podnikům neúměrně náročné, dnes již nikdo nezpochybňuje. Označení CE a směrnice o strojních zařízeních napomáhají transparentnosti a vytvářejí ovzduší důvěry mezi výrobci a uživateli. Jejich existence splnila očekávání. V ostatních částech světa byly a stále jsou vzorem, podle kterého lze vytvářet rámcové podmínky pro strojní bezpečnost.

Například v Brazilii: Od roku 2010 zde platí zákon, který podporuje minimální požadavky na bezpečnost strojních zařízení a výbavy strojních zařízení – Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. Bezpečnostní požadavky tohoto zákona byly do značné míry převzaty z Přílohy I směrnice o strojních zařízeních, a to včetně jednotlivých speciálních požadavků na určité druhy strojních zařízení. V Evropě se proto tento zákon označuje jako „brazilská směrnice o strojních zařízeních“.

První zákonný rámec pro strojní bezpečnost v Indii
Zákonný rámec pro bezpečnost strojních zařízení přijala i dnes ve světovém měřítku nejrychleji rostoucí indická ekonomika. Ministry of Heavy Industries vydalo dva v tomto směru zákonné předpisy. Tzv. Omnibus Technical Regulations stanovují bezpečnostní požadavky na různé druhy strojních zařízení a elektrické výbavy. Předpisy mají zajistit, že strojní zařízení budou požadovaný bezpečnostní standard splňovat ještě předtím, než budou uvedena na indický trh.
Podobně jako v Evropě i zde platí povinná certifikace a shoda potvrzená označením CE. Většina nových požadavků zavedených v Indii se shoduje se současnými mezinárodními normami.

Kdo má v úmyslu vyvážet zboží do Indie, musí jmenovat svého autorizovaného zástupce se sídlem v Indii. Naše indická dceřiná společnost může podle potřeby poskytnout podporu při plnění požadavků a tím i při vývozu. Zaměstnanci společnosti Pilz v Indii navíc spolupracují s příslušným výborem „Bureau of Indian Standard“.

Téma strojní bezpečnosti se v Indii bude nepochybně dále rozvíjet. Naprosto jisté však dnes je, že v budoucnu se „neshodné“ stroje ani produkty (dalo by se říci takové, které nemají indické označení CE) již na indický trh nedostanou. Důsledkem by mohlo by, že takové stroje nebo produkty budou v indických celních skladech zadrženy na tak dlouho, dokud dodavatel nesplní příslušné požadavky.

Bezpečnost: Před 30 lety
A ještě jednou se vrátíme do poloviny 90. let: Ve výzkumném středisku CERN ve Švýcarsku uvedl Tim Berners-Lee do života první webový prohlížeč WWW. To otevřelo cestu pro propojování a digitalizaci v průmyslu i celé společnosti.

O 30 let později řešíme bezpečnost této cesty. Právě propojení a digitalizace vystavuje produkty a strojní zařízení s digitálními prvky novému druhu ohrožení, např. manipulaci s daty. Zákonodárci v Evropě zareagovali: Přincip označení CE zůstane zachován. Požadavky na jeho zachování však bylo nutné přizpůsobit stavu techniky. Směrnici o strojních zařízeních vystřídalo v roce 2023 nové nařízení o strojních zařízeních. Představit bych chtěl i dvě další novinky: umělou inteligenci a kybernetickou bezpečnost.

Může být umělá inteligence bezpečná?
“Robot nesmí napadnout lidskou bytost.”
tak formuloval Isaac Asimov ve svých sci-fi povídkách již v roce 1942 jeden z tří tzv. zákonů robotiky. Dnes, o 83 let později, je nutné pravidla hry pro soužití člověka a stroje v důsledku rozvoje umělé inteligence přehodnotit.
To uznává i zákonodárce, a proto se téma umělé inteligence objevuje i v novém nařízení o strojních zařízeních. Nařízení hovoří o strojních zařízeních se samorozvíjejícím chováním. Jak bezpečné může být strojní zařízení, jestliže jeho chování není určováno člověkem, ale algoritmem? Jak bude reagovat v nebezpečné situaci?
V extrémním případě je nutné posoudit, zda by samorozvíjející se software neznamenal za určitých okolností vznik nového strojního zařízení. Jedná se tedy o mimořádně zajímavé téma nejen pro výrobce, ale i pro oznámené subjekty.

Umělá inteligence se netýká pouze světa strojů. Nařízení EU o umělé inteligenci, tzv. AI-Act, reguluje to, co systémy s umělou inteligencí smí a co ne, jen zcela obecně.
Nřízení zakazuje umělé inteligenci různé činnosti, například manipulaci osob. To znamená, že umělá inteligence nesmí osobám přikazovat, aby realizovaly rozhodnutí, kterým by přivodily sobě nebo jiným lidem závažné škody. Navíc byly určité akce, například z oblasti vzdělávání, kritické infrastruktury nebo trestního stíhání, klasifikovány z hlediska systémů umělé inteligence jako vysoce rizikové a jsou podmíněny zvláštními požadavky. Tyto vysoce rizikové systémy umělé inteligence musí být v budoucnu rovněž opatřeny označením CE.

Společnost Pilz považuje AI-Act za důležitý krok k regulaci, který jednak zajišťuje možnosti využívání, a na druhé straně omezuje rizika, která mohou v souvislosti s umělou inteligencí vznikat.

Security bez označení CE není přijatelná
V důsledku prudkého nárůstu kyberútoků a škod způsobených manipulací požaduje nové nařízení o strojních zařízeních do budoucna ochranu i proti korumpování bezpečnostních funkcí, například řídicích systémů, a vytváří tím požadavky pro kybernetickou bezpečnost. V druhé části akce seznámí náš expert Simon Nutz účastníky podrobně s možnostmi, které jsou v současné době pro podniky k dispozici, aby mohly optimálně reagovat a i nadále používat pro své produkty označení CE. Pojem „strojní bezpečnost“ přitom získává nový obsah.

Zákony Security: Všechno dobré přichází v trojici
EU vyslala zákonné požadavky na Industrial Security v oblasti výroby strojních zařízení do světa ve třech kategoriích. Požadavky jsou určeny pro strojní zařízení, produkty s digitálními prvky a pro podniky.  

• Nařízení o strojních zařízeních platí pro strojní zařízení.
• Cyber Resilience Act (CRA) definuje požadavky z oblasti ochrany dat pro produkty s digitálními prvky.
• A směrnice EU o opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v Unii, tzv. směrnice NIS-2, platí pro podniky s více než 50 zaměstnanci, v našem oboru tedy prakticky pro všechny.

Průmysl tedy dostává náročný úkol: všechny tři zákony již EU zveřejnila. U dvou z nich – nařízení o strojních zařízeních a CRA – se čas už začal odpočítávat a průmysl má k dispozici ještě přibližně rok a půl na potřebné změny ve vývoji, výrobě a inženýrských činnostech, a to včetně všech souvisejících procesů jako například školení a dokumentace. Je to skutečně obří úkol - podobně jako tomu bylo při implementaci směrnice o strojních zařízeních.

O nařízení o strojních zařízeních jsme už hovořili. CRA požaduje, aby produkty s digitálními prvky byly navrhovány, vyvíjeny a vyráběny v souladu se základními požadavky kybernetické bezpečnosti. To konkrétně znamená, že je nutné plnit požadavky na posouzení rizik a záruky, na řízení ohrožených míst, dokumentaci a samozřejmě i na povinné podávání zpráv.

To se týká i nás. Abychom mohli požadavky plnit, zavedli jsme již před několika lety v našich úsecích pro vývoj produktu certifikovaný „bezpečný“ proces vývoje podle IEC 62443-4-1 a nechali jsme ho v roce 2022 certifikovat. Můžeme tak zaručit, že náš vývoj odpovídá předpisům CRA. Portfólio produktů Pilz je velmi rozmanité a bylo nutné posoudit, nakolik je dotčeno požadavky CRA a zda budou případně nutné úpravy. Posouzení již bylo provedeno a stejně tak byla včas zavedena potřebná opatření.

Třetí právní dokument EU – směrnice NIS-2 zavazující podniky k přípravě na kybernetické útoky – musí být ještě do národních legislativ implementován. Termín byl 18. října minulého roku. Do současné doby se tak stalo v 9 členských státech EU z celkem 27. Ve zbývajících zemích (patří k nim také Německo a Rakousko) brání zatím schválení zákona i politická situace.

Security nespočívá jen v zákonech
Výzva společnosti Pilz: Z vlastních zkušeností získaných při kybernetickém útoku, kterému Pilz čelil v roce 2019, mohu říci, že by bylo fatální chybou čekat na realizaci ochranných opatření do doby, než dojde ke shodě na politické úrovni. Ve skutečném životě nejde o splnění zákonných předpisů, ale o zajištění existence podniků.

Je nutné si také položit otázku, jak se s novými situacemi spojenými například s umělou inteligencí nebo kriminalitou budou vyrovnávat trhy stojící mimo EU. Abychom si na ni mohli odpovědět, chtěl bych se znovu vrátit k úspěšnému modelu pro označení CE. Podobně jako v případě směrnice o strojních zařzeních lze i u témat umělé inteligence a kybernetické bezpečnosti očekávat, že evropské zákony a normy budou vzorem pro ostatní svět. Většina vlád má velký zájem na co nejlepší ochraně svých občanů před ohrožením a většina konstruktérů a výrobců strojních zařízení usiluje o celosvětový prodej svých produktů. To znamená, že i mimo EU bude velká snaha po plnění nových požadavků, které zajistí možnost trvalého vývozu do Evropy.

Je zřejmé, že bezpečnost má mnoho aspektů, které ovlivňují nás, naše partnery, zákazníky a celou naši společnost. Nové schvalovací řízení v Indii, nové požadavky týkající se umělé inteligence a kybernetické bezpečnosti v EU jsou příkladem toho, jak důležitá je funkční součinnost napříč všemi trhy. Zákony a mezinárodní normy jsou klíčem k otevření cesty. Pomáhají nám k tomu, abychom se na technické bezpečnostní mechanismy mohli spoléhat kdekoli na světě.