Safety, Security e IA: a segurança precisa de um quadro legal mundial

Thomas Pilz, sócio-diretor da Pilz GmbH & Co. KG

(A palavra falada prevalecerá)

Todos nós conhecemos a marcação CE. Ela está presente em equipamentos elétricos, brinquedos e eletrodomésticos, além de máquinas e instalações. A sigla significa “Conformité Européenne”. A marcação CE é praticamente um carimbo para atestar que os produtos comercializados no Espaço Econômico Europeu (UE e AELC) respeitam as exigências básicas em relação a segurança, proteção ambiental e saúde. Ao adotar a marcação, o responsável pela comercialização sinaliza que atendeu às prescrições legais aplicáveis na UE para a segurança do produto. Há 30 anos, todo produto que esteja submetido a uma diretriz da UE é obrigado a apresentar a declaração de conformidade CE.

Entre essas diretrizes está a Diretriz de Máquinas, que também é obrigatória desde 1995. Ela descreve exigências padronizadas para a segurança e a saúde em situações de interação entre pessoas e máquinas e, desse modo, substituiu as inúmeras regulamentações para segurança de máquinas antes existentes em cada um dos países.

CE: modelo de sucesso
No início, a medida requeria um esforço enorme das empresas, mas hoje ninguém mais quer ficar sem a marcação CE, pois ela e a Diretriz de Máquinas proporcionam transparência e geram confiança entre os fabricantes e os usuários. É por isso que podemos considerá-las casos de sucesso. Ambas tornaram-se modelo em outras partes do mundo, onde se pretendia elaborar as condições legais básicas para a segurança de máquinas.

Vejamos o exemplo do Brasil. Desde 2010, o país conta com uma lei nacional que determina os requisitos básicos de segurança para máquinas e maquinário, a Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. Na prática, as exigências de segurança do anexo I da Diretriz de Máquinas, inclusive demandas especiais exclusivas para determinados tipos de máquinas, foram amplamente adotadas. É por isso que, na Europa, essa lei também é conhecida como “Diretriz de Máquinas brasileira”.

Primeiro quadro legal para a segurança de máquinas na Índia
No caso da Índia, que tem a economia de crescimento mais rápido do mundo, um quadro legal também está sendo adotado para a segurança de máquinas. O Ministério das Indústrias Pesadas publicou duas regulamentações a esse respeito. As chamadas “Omnibus Technical Regulations” determinam exigências de segurança para diferentes tipos de máquinas e equipamentos elétricos. Com isso, visam garantir que esse padrão de segurança seja cumprido antes das máquinas serem colocadas no mercado indiano.
Semelhante ao que acontece na Europa, certificações e marcações de conformidade são obrigatórias. A maioria das novas exigências indianas corresponde às normas internacionais já existentes.

Quem quiser exportar para a Índia, precisará nomear um representante autorizado com sede no país. Nossa filial indiana pode auxiliar empresas no cumprimento das exigências, apoiando as exportações para a Índia. Os funcionários da Pilz Índia também fazem parte do grupo de trabalho “Bureau of Indian Standard”.

Sabemos que essa temática da segurança de máquinas continuará a evoluir na Índia. O que pode ser afirmado com certeza, entretanto, é que, futuramente, máquinas ou produtos que não estejam em conformidade (podemos dizer, que não contem com a marcação CE indiana) não poderão ser importados para a Índia. Isso poderia resultar no barramento de máquinas e produtos na alfândega local até que o fornecedor apresente os documentos solicitados.

Segurança 30 anos depois
De volta a meados da década de 1990: na época, no centro de pesquisas do CERN, na Suíça, Tim Berners-Lee disponibilizava publicamente a tecnologia para uso da rede mundial de computadores. Foi o grande momento de virada da conexão e da digitalização para a sociedade e a indústria.

30 anos depois, a segurança é definida de outra forma, pois foi justamente por essa conexão e digitalização que produtos e máquinas com elementos digitais passaram a sofrer riscos muito diferentes, como a manipulação de dados, por exemplo. A autoridade reguladora da Europa reagiu, e o princípio da marcação CE permanece. As exigências para sua obtenção são adaptadas de acordo com a evolução da tecnologia. O novo Regulamento de Máquinas substituiu a Diretriz de Máquinas em 2023. Gostaria de apresentar brevemente duas novidades: a inteligência artificial e a Industrial Security.

A inteligência artificial pode ser segura?
“Um robô não pode ferir um ser humano.”
Este é um dos artigos da Leis da Robótica aplicada a máquinas inteligentes, criada por Isaac Asimov em 1942, em um de seus livros de ficção científica. Hoje, 83 anos depois, o desenvolvimento da inteligência artificial nos faz reconsiderar as regras para a convivência entre pessoas e máquinas.
A autoridade reguladora também percebeu isso e incluiu o tema da inteligência artificial no novo Regulamento de Máquinas. Lá, tratam-se de máquinas com comportamentos autodesenvolvidos. Quão segura pode ser uma máquina cuja reação em situações de perigo não é determinada pelas pessoas, mas por um algoritmo?
Em casos extremos, é preciso considerar se o software de autoprendizagem pode gerar uma nova máquina, a depender das circunstâncias. Esse tema é de máxima relevância não apenas para fabricantes, mas também para instituições de avaliação notificadas.

A IA não atinge só o mundo das máquinas. O regulamento sobre inteligência artificial da UE, chamado Ato IA, regulamenta de forma geral o que os sistemas de IA podem ou não fazer.
O regulamento proíbe várias práticas de IA, como a manipulação de pessoas, por exemplo. Isso significa que as pessoas não podem ser coagidas por uma IA a tomar alguma decisão que poderia resultar em danos significativos para si próprias ou para os outros. Além disso, determinadas aplicações, por exemplo, nas áreas de educação, infraestrutura crítica ou processos penais, foram classificadas como sistemas de IA de alto risco e, portanto, precisam atender a exigências especiais. No futuro, esses sistemas de IA de alto risco também devem ser identificados por uma marcação CE.

Nós, da Pilz, consideramos o Ato IA uma regulamentação importante que, por um lado, garante a possibilidade de aproveitamento das chances surgidas e, por outro, assegura a redução dos riscos oferecidos pela IA.

Sem Security não há marcação CE
Devido ao rápido aumento de ataques cibernéticos e danos causados por manipulações, o novo Regulamento de Máquinas exige a proteção futura contra corrompimento das funções de segurança de comandos, por exemplo, fazendo prescrições para a Industrial Security. Na segunda parte do evento, nosso especialista Simon Nutz trará informações abrangentes de como as empresas podem reagir da melhor forma possível para continuar tendo a marcação CE em seus produtos. O termo segurança de máquinas está sendo redefinido.

Lei de Security: três sempre é melhor
Ao todo, a UE definiu três níveis de prescrições legais para a Industrial Security no setor de engenharia mecânica. Há prescrições para máquinas, produtos com elementos digitais e empresas.  

• O Regulamento de Máquinas aplica-se a máquinas.
• O Regulamento de Ciberresiliência (em inglês, Cyber Resilience Act) define as exigências de segurança para produtos com elementos digitais.
• E a Diretriz da UE sobre as medidas para se obter um alto nível comum de segurança cibernética na União Europeia, a chamada Diretriz NIS-2, aplica-se a quase todas as empresas com mais de 50 funcionários do nosso setor.

É por isso que a indústria está diante de uma tarefa impressionante: os três regulamentos já foram publicados pela UE. E o tempo já está passando para dois deles (o Regulamento de Máquinas e o CRA), então a indústria tem só cerca de um ano e meio para adaptar adequadamente o desenvolvimento, a produção e a engenharia, inclusive todos os processos e tarefas relacionados, como treinamentos ou documentações. É uma tarefa hercúlea, como foi a realizada durante a implementação da Diretriz de Máquinas.

Já conversamos sobre o Regulamento de Máquinas. O CRA exige que produtos com elementos digitais sejam concebidos, desenvolvidos e fabricados de acordo com as exigências básicas da segurança cibernética. Na prática, isso significa que agora há exigências para a avaliação de riscos e sua garantia, para o gerenciamento de vulnerabilidades, para a documentação e para as obrigações de notificação.

Nós mesmos devemos seguir essas regras. Para implementá-las, já há alguns anos adotamos um processo de desenvolvimento “secure” conforme a IEC 62443-4-1 – certificado em 2022 – em nossas áreas de desenvolvimento de produtos. Com ele, conseguimos garantir que nossos desenvolvimentos atendam ao CRA. O portfólio de produtos da Pilz é bastante abrangente e cada item deve ser avaliado individualmente para entendermos em que medida ele é afetado pelo CRA e como deve ser adaptado, se necessário. Essa avaliação já foi realizada e as medidas adequadas foram implementadas oportunamente.

O terceiro ato legal, a Diretriz NIS-2 da UE, que obriga as empresas a se prepararem para ataques cibernéticos, ainda precisa ser implementado pelo direito nacional. O prazo, na realidade, era o dia 18 de outubro do ano passado. Na ocasião, 9 dos 27 Estados-Membro da UE conseguiram finalizar a implementação. Nos outros países, como a Alemanha e a Áustria, as circunstâncias políticas com frequência impediram a definição das leis.

Security não apenas por conta da legislação
A Pilz faz um apelo: com a experiência obtida por causa de um ataque cibernético à Pilz em 2019, podemos afirmar que, se tivéssemos esperado um acordo no nível político para implementarmos as medidas de proteção de Security, o ataque teria sido fatal. Não se trata apenas de cumprir prescrições legais, mas de proteger a empresa e sua permanência.

Com todas essas prescrições novas, fica a dúvida se outros mercados além da UE também encararão os novos desafios propostos pela inteligência artificial ou pela criminalidade cibernética. Para responder essa pergunta, gostaria de voltar outra vez ao modelo de sucesso da marcação CE. Assim como ocorreu com a Diretriz de Máquinas, também podemos esperar que as leis e normas europeias tornem-se exemplos para assuntos como IA e segurança cibernética. Por um lado, a maioria dos governos tem grande interesse em proteger seus cidadãos contra perigos da melhor forma possível, por outro, fabricantes de máquinas e produtores querem comercializar seus produtos no mundo inteiro. Isso significa que fatores ecônomicos de fora da UE atenderão às novas prescrições, se quiserem continuar importando para a UE.

Como se vê, a segurança tem muitas facetas que podem exercer influência sobre nós, nossos parceiros, clientes e a sociedade. O novo processo de certificação na Índia e as novas prescrições de IA e Security na UE são exemplos da importância de uma convivência funcional entre os mercados. As normas e leis internacionais são a chave para isso. Elas nos ajudam a confiar em mecanismos de segurança técnicos no mundo inteiro.