Van Safety, Security en AI: veiligheid heeft een wereldwijd wettelijk kader nodig

Thomas Pilz, beherend vennoot Pilz GmbH & Co. KG

(Het gesproken woord geldt)

We kennen allemaal de CE-markering. Deze is te vinden op elektrische apparaten, speelgoed of huishoudelijke artikelen, maar uiteraard ook op machines en installaties. CE staat voor "Conformité Européenne". De CE-markering is als het ware het keurmerk dat aangeeft dat producten die in de Europese Economische Ruimte (EU en EVA) op de markt worden gebracht, voldoen aan alle relevante eisen op het gebied van veiligheid, milieu en gezondheid. Door het aanbrengen van de markering geeft de distributeur aan dat hij heeft voldaan aan de toepasselijke wettelijke vereisten voor de veiligheid van het product in de EU. Al 30 jaar is voor elk product dat onder een EU-richtlijn valt een CE-conformiteitsverklaring nodig.

Een van deze richtlijnen is de Machinerichtlijn, die sinds 1995 van kracht is. Ze beschrijft uniforme eisen aan de veiligheid en gezondheid bij de interactie tussen mens en machine en verving zo de vele nationale regelingen ten aanzien van de machineveiligheid.

CE is een succes gebleken
Bezorgde de CE-markering bedrijven in het begin nog een hoop werk, wil vandaag de dag niemand meer zonder. De CE-markering en de Machinerichtlijn zorgen voor transparantie en vertrouwen tussen fabrikanten en gebruikers. Ze zijn een succes gebleken. In andere delen van de wereld werden en worden ze gebruikt als model voor het opzetten van een wettelijk kader voor machineveiligheid.

Zoals in Brazilië: sinds 2010 is daar een nationale wet van kracht die minimale veiligheidseisen stelt aan machines en (machine-)uitrustingen: Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. In feite zijn de veiligheidseisen van bijlage I bij de Machinerichtlijn, inclusief afzonderlijke speciale eisen voor bepaalde typen machines, grotendeels overgenomen. In Europa wordt deze wet daarom ook wel de “Braziliaanse Machinerichtlijn” genoemd.

Voor het eerst een wettelijk kader voor machineveiligheid in India
India, de snelst groeiende economie, heeft nu ook een wettelijk kader voor machineveiligheid. Het Ministry of Heavy Industries heeft twee overeenkomstige voorschriften gepubliceerd. In deze zogenaamde Omnibus Technical Regulations zijn veiligheidseisen voor de verschillende typen machines en elektrische uitrusting vastgelegd. Deze moeten ervoor zorgen dat machines voldoen aan de veiligheidsnorm voordat ze in India op de markt worden gebracht.
Net als in Europa zijn er verplichte certificeringen en een conformiteitsmarkering. De meeste nieuwe eisen in India zijn in lijn met bestaande internationale normen.

Iedereen die naar India wil exporteren, moet een in India gevestigde gemachtigde vertegenwoordiger aanwijzen. Onze Indiase dochteronderneming kan bedrijven helpen aan de eisen te voldoen en de export naar India daarmee ondersteunen. Medewerkers van Pilz India werken ook in de betreffende commissie van het “Bureau of Indian Standard”.

Het onderwerp machineveiligheid zal zich zeker nog verder ontwikkelen in India. Maar één ding is zeker: machines of producten die niet aan de eisen voldoen (en die dus niet de Indiase CE-markering hebben) kunnen in de toekomst niet meer in India worden geïmporteerd. Dit kan betekenen dat machines of producten door de Indiase douane worden tegengehouden totdat de leverancier aantoont dat hij aan de eisen voldoet.

Veiligheid: 30 jaar later
Terug naar het midden van de jaren 90: in die tijd gaf Tim Berners-Lee de technologie voor het gebruik van het world wide web publiekelijk vrij in het CERN-onderzoekscentrum in Zwitserland. De doorbraak voor netwerken en digitalisering in maatschappij en industrie.

30 jaar later wordt veiligheid anders gedefinieerd. Want deze netwerkkoppeling en digitalisering betekenen dat producten en machines met digitale elementen worden blootgesteld aan heel andere risico’s, bijvoorbeeld door de manipulatie van gegevens. De wetgever in Europa heeft gereageerd: het principe van CE-markering blijft bestaan. De eisen om dit principe te handhaven zijn aangepast aan de stand van de techniek. De nieuwe Machineverordening is in 2023 in de plaats gekomen van de Machinerichtlijn. Ik wil graag kort ingaan op twee innovaties: kunstmatige intelligentie en Industrial Security.

Kan kunstmatige intelligentie veilig zijn?
“Een robot mag een mens geen letsel toebrengen.”
Zo formuleerde Isaac Asimov al in 1942 in een van zijn sciencefictionverhalen een zogenaamde robotwet voor intelligente machines. Nu, 83 jaar later, betekenen verdere ontwikkelingen op het gebied van kunstmatige intelligentie dat de spelregels voor samenwerking tussen mens en machine opnieuw moeten worden bekeken.
De wetgever heeft dit ook erkend en heeft in de nieuwe Machineverordening rekening gehouden met het onderwerp kunstmatige intelligentie. Er wordt gesproken over machines met zelfontwikkelend gedrag. Hoe veilig kan een machine zijn als de manier waarop hij in gevaarlijke situaties reageert niet door mensen wordt bepaald, maar door een algoritme?
In uitzonderlijke gevallen moet worden overwogen of zelflerende software mogelijk kan resulteren in een nieuwe machine. Niet alleen voor fabrikanten, maar ook voor de aangemelde keuringsinstanties een buitengewoon interessant thema.

AI heeft niet alleen invloed op de wereld van machines. De EU-verordening artificiële intelligentie, de zogenaamde AI-verordening, regelt in algemene termen wat AI-systemen wel en niet mogen doen.
De verordening verbiedt verschillende AI-praktijken, zoals het manipuleren van mensen. Dit betekent dat mensen niet door AI mogen worden aangezet om een beslissing te nemen die henzelf of anderen aanzienlijke schade zou berokkenen. Daarnaast zijn bepaalde toepassingen, bijvoorbeeld op het gebied van onderwijs, kritieke infrastructuur of wetshandhaving, gecategoriseerd als AI-systemen met een hoog risico die aan speciale eisen moeten voldoen. Deze AI-systemen met een hoog risico moeten in de toekomst ook een CE-markering krijgen.

Bij Pilz zien we de AI-verordening als een belangrijke verordening die ervoor zorgt dat de kansen van AI kunnen worden benut terwijl de risico’s ervan worden beperkt.

Geen CE-markering zonder Security
Vanwege de snelle toename van cyberaanvallen en schade door manipulatie zal de nieuwe Machineverordening voortaan ook bescherming vereisen tegen de beschadiging van beveiligingsfuncties, bijvoorbeeld van besturingen, en dus eisen stellen aan Industrial Security. In het tweede deel van het evenement zal onze expert Simon Nutz uitgebreid uit de doeken doen hoe bedrijven nu het beste kunnen reageren om hun producten te kunnen blijven voorzien van de CE-markering. Het begrip machineveiligheid wordt dus momenteel opnieuw gedefinieerd.

Security-wetten: Alle goede dingen komen in drieën
In totaal heeft de EU op drie niveaus wettelijke Industrial Security-voorschriften ingevoerd voor de machinebouw. Er zijn voorschriften voor machines, producten met digitale elementen en bedrijven.  

• De Machineverordening is van toepassing op machines.
• De Cyber Resilience Act (CRA) definieert cyberbeveiligingsvereisten voor producten met digitale elementen.
• En de EU-richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, de zogenaamde NIS 2-richtlijn, is van toepassing op bijna alle bedrijven in onze sector met meer dan 50 werknemers.

Dit stelt de industrie voor een enorme taak: alle drie de wetten zijn al gepubliceerd door de EU. Bij twee daarvan, namelijk de Machineverordening en de CRA, tikt de klok al, en de industrie heeft nu zo’n anderhalf jaar de tijd om de ontwikkeling, productie en engineering dienovereenkomstig te reorganiseren, inclusief alle bijbehorende processen en taken zoals training en documentatie. Een echte mammoettaak – net als de omzetting van de Machinerichtlijn destijds.

We hebben het al gehad over de Machineverordening. De CRA vereist dat producten met digitale elementen worden ontworpen, ontwikkeld en vervaardigd in overeenstemming met essentiële cyberbeveiligingsvereisten. Concreet betekent dit dat er nu vereisten zijn voor risicobeoordeling en -borging, kwetsbaarheidsbeheer, documentatie en rapportageverplichtingen.

Daar hebben wij zelf ook mee te maken. Om dit te implementeren, hebben we enkele jaren geleden een gecertificeerd “secure” ontwikkelingsproces in overeenstemming met IEC 62443-4-1 geïntroduceerd in onze productontwikkelingsafdelingen en dit in 2022 laten certificeren. Zo kunnen we waarborgen dat onze ontwikkelingen voldoen aan de Cyber Resilience Act. Pilz heeft een zeer uitgebreid productassortiment en elk product moest worden beoordeeld om te kijken in hoeverre de Cyber Resilience Act hierop van toepassing is en of het eventueel moet worden aangepast. Deze beoordeling heeft plaatsgevonden en we hebben tijdig passende maatregelen genomen.

De derde wet, de NIS 2-richtlijn van de EU, die bedrijven verplicht zich voor te bereiden op cyberaanvallen, moet nog worden omgezet in nationale wetgeving. Dat had eigenlijk vóór 18 oktober vorig jaar moeten gebeuren. Momenteel hebben 9 van de 27 EU-lidstaten de richtlijn omgezet. In de overige landen, zoals Duitsland of Oostenrijk, zijn het vaak politieke omstandigheden die het aannemen van de wetten in de weg staan.

Security niet omdat het moet van de wet
De oproep van Pilz: Op basis van mijn eigen ervaring met de cyberaanval op Pilz in 2019 kan ik zeggen dat het fataal zou zijn om te wachten met beveiligingsmaatregelen totdat er overeenstemming is bereikt op politiek niveau. Het gaat niet om het voldoen aan wettelijke voorschriften, maar om het veiligstellen van het bedrijf en het voortbestaan ervan.

Met alle nieuwe voorschriften rijst de vraag of naast de EU ook andere markten de nieuwe uitdagingen, zoals kunstmatige intelligentie of cybercriminaliteit, zullen aangaan. Als antwoord hierop wil ik nogmaals wijzen op het succesvolle model van CE-markering. Net als bij de Machinerichtlijn valt te verwachten dat Europese wetten en normen wereldwijd als voorbeeld zullen dienen als het gaat om AI en cyberbeveiliging. Aan de ene kant hebben de meeste regeringen er veel belang bij dat hun burgers zo goed mogelijk beschermd zijn tegen gevaren, en aan de andere kant willen machinefabrikanten en -producenten hun producten wereldwijd op de markt kunnen brengen. Dit betekent dat ook marktdeelnemers buiten de EU aan de nieuwe eisen moeten voldoen als ze in de EU willen blijven importeren.

Zoals u ziet, heeft beveiliging veel facetten die ons, onze partners en klanten en onze maatschappij in het algemeen raken. De nieuwe vergunningsprocedure in India en de nieuwe AI- en Security-eisen in de EU geven aan hoe belangrijk een goed functionerende marktoverschrijdende samenwerking is. Wetten en internationale normen spelen hierbij een sleutelrol. Zij zorgen ervoor dat we wereldwijd kunnen vertrouwen op technische beveiligingsmechanismen.