Von Safety, Security und KI: Der europäische Rechtsrahmen ändert sich

Thomas Pilz, Geschäftsführender Gesellschafter Pilz GmbH & Co. KG

(Es gilt das gesprochene Wort)

Jeder von uns kennt das CE-Kennzeichen. Es ist auf Elektrogeräten, Spielzeug oder Haushaltswaren, aber natürlich auch auf Maschinen und Anlagen zu sehen. Es steht für „Conformité Européenne“. Das CE-Kennzeichen ist quasi das Siegel, das Produkte, die im Europäischen Wirtschaftsraum (EU und EFTA) in den Verkehr gebracht werden, wesentlichen Anforderungen an die Sicherheit, den Umweltschutz und die Gesundheit genügen. Mit der Anbringung des Zeichens signalisiert der Inverkehrbringer, dass er die geltenden gesetzlichen Vorgaben für die Sicherheit des Produktes in der EU beachtet hat. Seit 30 Jahren benötigt jedes Produkt, das unter eine EU-Richtlinie fällt, zwingend eine CE-Konformitätserklärung.

Zu diesen Richtlinien zählt auch die Maschinenrichtlinie, die ebenfalls seit 1995 verpflichtend ist. Sie beschreibt einheitliche Anforderungen an die Sicherheit und Gesundheit bei der Interaktion von Mensch und Maschine und ersetzte so die vielen einzelstaatlichen Regelungen, die zur Maschinensicherheit existierten.

Erfolgsmodell CE
Was zu Beginn für die Unternehmen ein Kraftakt war, möchte heute keiner mehr missen. CE-Kennzeichnung und Maschinenrichtlinie schaffen Transparenz und Vertrauen zwischen Herstellern und Anwendern. Sie sind damit Erfolgsgeschichten. In anderen Teilen der Welt wurden und werden sie zum Vorbild, um dort gesetzliche Rahmenbedingungen für die Maschinensicherheit aufzubauen.

So beispielsweise Brasilien: Dort gibt es seit 2010 ein nationales Gesetz, das Mindestsicherheitsanforderungen für Maschinen und (Maschinenausrüstungen fordert: Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. Faktisch wurden die Sicherheitsanforderungen von Anhang I der Maschinenrichtlinie, einschließlich einzelner spezieller Anforderungen für bestimmte Maschinenarten weitestgehend übernommen. In Europa wird dieses Gesetz deshalb auch als „brasilianische Maschinenrichtlinie“ bezeichnet.

Erstmals gesetzlicher Rahmen für Maschinensicherheit in Indien
Mit Indien gibt sich nun die am schnellsten wachsende Volkswirtschaft ebenfalls einen gesetzlichen Rahmen für die Maschinensicherheit. Das Ministry of Heavy Industries hat zwei entsprechende Vorschriften veröffentlicht. Die sogenannten Omnibus Technical Regulations legen Sicherheits-Anforderungen für die verschiedenen Arten von Maschinen und die elektrische Ausrüstung fest. Diese sollen sicherstellen, dass diese den Sicherheitsstandard erfüllen, bevor die Maschine in Indien auf den Markt gebracht werden.
Ähnlich wie in Europa gibt es obligatorische Zertifizierungen und ein Konformitäts-Zeichen. Die meisten der neuen Anforderungen in Indien stimmen mit den bestehenden internationalen Normen überein.

Wer nach Indien exportieren will, muss einen autorisierten Vertreter mit Sitz in Indien benennen. Unsere indische Tochtergesellschaft kann Unternehmen bei der Erfüllung der Anforderungen und damit beim Export nach Indien unterstützen. Mitarbeiter von Pilz Indien arbeiten zudem im entsprechenden Ausschuss des „Bureau of Indian Standard“ mit.

Das Thema Maschinensicherheit wird sich in Indien sicherlich weiter entwickeln. Was jedoch mit Bestimmtheit gesagt werden kann ist, dass künftig Maschinen oder Produkte, die nicht konform sind (man könnte sagen, die das indische CE-Kennzeichen nicht besitzen), nicht nach Indien importiert werden können. Das könnte bedeuten, dass Maschinen oder Produkte solange im indischen Zoll festgehalten werden, bis der Lieferant die erforderlichen Vorgaben erbracht hat.

Sicherheit: 30 Jahre später
Nochmals zurück die Mitte der 90er Jahre: Damals gab Tim Berners-Lee am Forschungszentrum CERN in der Schweiz die Technik für die Nutzung des WWW öffentlich frei. Der Durchbruch für Vernetzung und Digitalisierung in Gesellschaft und Industrie.

30 Jahre später wird Sicherheit anders definiert. Denn durch ebendiese Vernetzung und Digitalisierung sind Produkte und Maschinen mit digitalen Elementen ganz anderen Gefährdungen ausgesetzt, z.B. durch Manipulation von Daten. Der Gesetzgeber in Europa hat reagiert: Das Prinzip der CE-Kennzeichnung bleibt bestehen. Die Anforderungen, dieses zu erhalten, wurden dem Stand der Technik angepasst. Die neue Maschinenverordnung hat 2023 die Maschinenrichtlinie abgelöst. Zwei Neuerungen, Künstliche Intelligenz und Industrial Security, möchte ich kurz vorstellen.

Kann Künstliche Intelligenz sicher sein?
“Ein Roboter darf kein menschliches Wesen verletzen.”
so formulierte Isaac Asimov bereits 1942 in einem seiner Science-Fiction-Erzählungen, ein sogenanntes Robotergesetz für intelligente Maschinen. Heute, 83 Jahre später, müssen aufgrund der Weiterentwicklungen bei Künstlicher Intelligenz die Spielregeln für das Miteinander von Mensch und Maschine neu betrachtet werden.
Das hat auch der Gesetzgeber erkannt und hat das Thema künstliche Intelligenz in der neuen Maschinenverordnung berücksichtigt. Dort ist von Maschinen mit selbst entwickelndem Verhalten die Rede. Wie sicher kann eine Maschine sein, wenn nicht durch den Menschen, sondern durch einen Algorithmus festgelegt ist, wie sie in Gefahrensituationen reagiert?
Im Extremfall muss betrachtet werden, ob sich durch selbstlernende Software unter Umständen eine neue Maschine ergeben kann. Ein äußerst interessantes Thema nicht nur für Hersteller, sondern auch für die notifizierten Prüfstellen.

KI betrifft nicht nur die Maschinenwelt. Die Verordnung über künstliche Intelligenz der EU, der sogenannte AI-Act, regelt ganz allgemein, was KI-Systeme dürfen und was nicht.
Die Verordnung verbietet verschiedene KI-Praktiken, wie zum Beispiel die Manipulation von Personen. Das heißt, Personen dürfen durch KI nicht veranlasst werden, eine Entscheidung zu treffen, durch die sie sich selbst oder anderen Personen erheblichen Schaden zuzufügen würden. Zusätzlich wurden bestimmte Anwendungen z.B. aus den Bereichen Bildung, kritischen Infrastruktur oder Strafverfolgung als Hochrisiko KI-Systeme eingestuft, die besondere Anforderungen erfüllen müssen. Diese Hochrisiko-KI-Systeme müssen in Zukunft ebenfalls mit einem CE-Kennzeichen versehen werden.

Wir als Pilz sehen in der KI-Verordnung eine wichtige Regulierung, die einerseits sicherstellt, dass die Chancen genutzt werden können, andererseits sicherstellt, dass die Risiken durch KI verringert werden.

Ohne Security kein CE-Kennzeichen
Aufgrund der rasanten Zunahme an Cyberangriffen und Schäden durch Manipulationen verlangt die neue Maschinenverordnung künftig auch den Schutz gegen Korrumpierung von Sicherheitsfunktionen zum Beispiel von Steuerungen und macht damit Vorgaben für Industrial Security. Im zweiten Teil der Veranstaltung wird unser Experte Simon Nutz ausführlich darüber informieren, wie Unternehmen jetzt am besten reagieren sollten, um auch weiterhin ihre Produkte mit dem CE-Zeichen kennzeichnen zu dürfen. Der Begriff der Maschinensicherheit wird gerade also neu definiert.

Security-Gesetze: Aller guten Dinge sind drei
Insgesamt hat die EU auf drei Ebenen gesetzliche Industrial Security Vorgaben für den Maschinenbau auf den Weg gebracht. Es gibt Vorgaben für Maschinen, Produkte mit digitalen Elementen und Unternehmen.  

• Die Maschinenverordnung gilt für Maschinen.
• Der Cyber Resilience Act definiert Cybersicherheitsanforderungen an Produkte mit digitalen Elementen.
• Und die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, die sogenannte NIS-2-Richtlinie, gilt in unserer Branche für fast alle Unternehmen mit mehr als 50 Mitarbeitern.

Damit steht die Industrie vor einer gewaltigen Aufgabe: Alle drei Gesetze sind von der EU bereits veröffentlicht. Bei zwei davon, nämlich Maschinenverordnung und CRA, tickt die Uhr bereits und die Industrie hat nun noch rund eineinhalb Jahre Zeit Entwicklung, Produktion und Engineering entsprechend umzustellen, inklusive aller dazugehörigen Prozesse und Aufgaben wie etwa Schulung oder Dokumentation. Eine echte Mammutaufgabe – wie damals bei der Umsetzung der Maschinenrichtlinie.

Über die Maschinenverordnung haben wir bereits gesprochen. Der CRA fordert, dass die Produkte mit digitalen Elementen nach grundlegenden Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt werden. Konkret bedeutet dies, dass es nun Vorgaben zur Risikobewertung und -gewährleistung, zum Schwachstellenmanagement, zur Dokumentation sowie zu den Meldepflichten gibt.

Davon sind auch wir selbst betroffen. Um dies umzusetzen, haben wir daher bereits vor einigen Jahren einen zertifizierten „securen“ Entwicklungsprozess nach IEC 62443-4-1 in unseren Produktentwicklungsbereichen eingeführt und im Jahre 2022 zertifizieren lassen. Dadurch können wir gewährleisten, dass unsere Entwicklungen dem CRA entsprechen werden. Das Produktportfolio von Pilz ist sehr umfangreich und jedes Produkt musste bewertet werden, inwieweit es durch den CRA betroffen ist und ob es ggf. angepasst werden muss. Diese Bewertung hat stattgefunden und die entsprechenden Maßnahmen wurden frühzeitig eingeleitet.

Der dritte Rechtsakt die NIS-2-Richtlinie der EU, die Unternehmen dazu verpflichtet sich auf Cyberangriffe vorzubereiten, muss noch in nationales Recht umgesetzt werden. Und zwar eigentlich bis 18. Oktober letzten Jahres. Derzeit haben 9 der 27 Mitgliedsstaaten der EU die Umsetzung erledigt. In den restlichen Ländern, wie Deutschland oder auch Österreich, verhindern häufig politische Umstände die Verabschiedung der Gesetze.

Security nicht der Gesetze wegen
Der Appell von Pilz: Aus eigener Erfahrung durch den Cyberangriff auf Pilz im Jahre 2019, kann ich sagen, es wäre fatal, mit der Umsetzung von Security-Schutzmaßnahmen zu warten, bis es Einigungen auf politischer Ebene gibt. Es geht nicht darum, gesetzliche Vorgaben zu erfüllen, sondern darum das Unternehmen und seinen Fortbestand zu sichern.

Bei all den neuen Vorgaben stellt sich die Frage, ob sich neben der EU auch andere Märkte, den neuen Herausforderungen, wie Künstliche Intelligenz oder Cyberkriminalität stellen werden. Um das zu beantworten, möchte ich nochmals auf das Erfolgsmodell der CE-Kennzeichnung zurückkommen. Ähnlich wie bei der Maschinenrichtlinie, ist auch bei den Themen KI und Cybersicherheit zu erwarten, dass europäische Gesetze und Normen weltweit zum Vorbild genommen werden. Zum einen haben die meisten Regierungen ein hohes Interesse daran, dass ihre Bürger möglichst gut vor Gefährdungen geschützt sind, zum anderen möchten Maschinenbauer und Produzenten ihre Produkte weltweit vermarkten können. Das heißt, auch Wirtschaftsakteure außerhalb der EU werden die neuen Vorgaben erfüllen, wenn sie weiterhin in die EU importieren wollen.

Sie sehen, Sicherheit hat viele Facetten, die uns, unsere Partner, Kunden und unsere Gesellschaft allgemein betreffen. Das neue Zulassungsverfahren in Indien, die neuen KI- und Security-Anforderungen in der EU, sind Beispiele wie wichtig ein funktionierendes marktübergreifendes Miteinander ist. Gesetze und internationale Normen sind ein Schlüssel dazu. Sie helfen uns dabei, dass wir uns global auf technische Sicherheitsmechanismen verlassen können.