Thomas Pilz, delägare i Pilz GmbH & Co. KG
Ostfildern, 20 maj 2025
Safety, security och AI: säkerhet kräver ett globalt regelverk
(Det talade ordet gäller)
Vi känner alla till CE-märkningen. CE-märket finns på elektriska apparater, leksaker eller hushållsartiklar, men naturligtvis även på maskiner och anläggningar. Det står för ”Conformité Européenne”. CE-märket är så att säga en stämpel på att produkter som släpps ut på marknaden inom Europeiska ekonomiska samarbetsområdet (EU och EFTA) uppfyller de viktigaste säkerhets-, miljö- och hälsokraven. Genom att anbringa märket visar distributören att de gällande rättsliga kraven för produktsäkerheten inom EU har beaktats. I 30 år har en försäkran om CE-överensstämmelse krävts för varje produkt som omfattas av ett EU-direktiv.
Ett av dessa direktiv är maskindirektivet, som också har varit obligatoriskt sedan 1995. I direktivet beskrivs enhetliga krav på säkerhet och hälsa vid interaktion mellan människor och maskiner, och det ersatte därmed de många nationella föreskrifterna som finns gällande maskinsäkerhet.
CE-framgången
Det som från början innebar en hel del arbete för företagen är något som ingen skulle vilja vara utan idag. CE-märkning och maskindirektivet skapar transparens och förtroende mellan tillverkare och användare. De är därmed framgångsberättelser. I andra delar av världen har de varit och fortsätter att vara en förebild när det gäller att utforma rättsliga ramförhållanden för maskinsäkerhet.
Låt oss ta Brasilien som exempel. Där har det sedan 2010 funnits en nationell lag på plats som fastställer minimikrav för säkerhet för maskiner och maskinutrustning: Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO. Man valde faktiskt att i stor utsträckning implementera säkerhetskraven i bilaga I till maskindirektivet, inklusive olika särskilda krav för vissa maskintyper. I Europa kallas denna lag därför även för ”det brasilianska maskindirektivet”.
För första gången ett regelverk för maskinsäkerhet i Indien
Nu har även Indien, den snabbast växande ekonomin, implementerat ett regelverk för maskinsäkerhet. Ministry of Heavy Industries har inom ramen för detta publicerat två förordningar. I de så kallade Omnibus Technical Regulations definieras säkerhetskraven för olika typer av maskiner och elektrisk utrustning. Dessa syftar till att säkerställa att en maskin uppfyller säkerhetsstandarden innan den släpps ut på marknaden i Indien.
På samma sätt som i Europa finns det obligatoriska certifieringar och en märkning om överensstämmelse. De flesta av de nya kraven i Indien överensstämmer med befintliga internationella standarder.
Den som vill exportera till Indien måste utse ett behörigt ombud med säte i Indien. Vårt indiska dotterbolag kan hjälpa företag att uppfylla kraven och därmed exportera till Indien. Medarbetare från Pilz Indien arbetar dessutom i den relevanta kommittén hos ”Bureau of Indian Standards”.
Maskinsäkerhet som område kommer utan tvekan att vidareutvecklas i Indien. Man kan dock med säkerhet konstatera att maskiner och produkter som inte uppfyller kraven (och så att säga inte har det indiska CE-märket) inte kommer att kunna importeras till Indien i framtiden. Detta kan innebära att maskiner eller produkter hålls kvar i den indiska tullen tills leverantören har tillhandahållit de specifikationer som krävs.
Säkerhet: 30 år senare
Vi backar bandet till mitten av 1990-talet, när Tim Berners-Lee släppte tekniken för WWW vid forskningscentret CERN i Schweiz. Genombrottet för sammankoppling och digitalisering både inom samhälle och industri.
30 år senare definieras säkerhet på ett annat sätt. Sammankopplingen och digitaliseringen har dock medfört att produkter och maskiner på grund av de digitala elementen är utsatta för helt andra risker, t.ex. genom manipulation av data. Lagstiftarna i Europa har reagerat: CE-märkning som princip lever vidare. Kraven för CE-märkning har anpassats till den senaste tekniken. 2023 ersatte den nya maskinförordningen maskindirektivet. Jag skulle kort vilja presentera två innovationer – artificiell intelligens och industrial security.
Kan artificiell intelligens vara säker?
”En robot får aldrig skada en människa.”
Så formulerade Isaac Asimov så tidigt som 1942 en av robotikens lagar för intelligenta maskiner i en av sina science fiction-berättelser. Idag, 83 år senare, innebär den fortsatta utvecklingen inom artificiell intelligens att spelreglerna för samarbetet mellan människa och maskin måste ses över.
Lagstiftarna har också insett detta och därmed behandlat artificiell intelligens i den nya maskinförordningen. Där rör det sig om maskiner med självutvecklande beteende. Hur säker kan en maskin vara om det inte är människor utan en algoritm som bestämmer hur den ska reagera i risksituationer?
I extrema fall måste man bedöma om självlärande programvara eventuellt kan resultera i en ny maskin. Detta är ett mycket intressant ämne, inte bara för tillverkare utan även för de anmälda kontrollorganen.
AI har inte enbart betydelse för maskinvärlden. EU:s förordning om artificiell intelligens, den s.k. AI-lagen, reglerar i stora drag vad AI-system får och inte får göra.
Förordningen förbjuder olika AI-tillämpningar, t.ex. manipulation av människor. Detta innebär att människor inte får uppmuntras av AI att fatta beslut som skulle orsaka de själva eller andra betydande skada. Dessutom har vissa tillämpningar, t.ex. inom utbildning, kritisk infrastruktur och brottsbekämpning, kategoriserats som AI-system med hög risk, som i sin tur måste uppfylla särskilda krav. AI-system med hög risk måste i framtiden även CE-märkas.
Vi på Pilz ser AI-förordningen som en viktig reglering som å ena sidan säkerställer att möjligheter kan utnyttjas och å andra sidan att de risker som AI medför minskas.
Inget CE-märke utan security
På grund av den kraftiga ökningen av cyberattacker och skadegörelse genom manipulation kommer den nya maskinförordningen i framtiden även att kräva skydd mot korruption av säkerhetsfunktioner, till exempel styrningar, och ställer därmed krav på industrial security. Under den andra delen av evenemanget ger vår expert Simon Nutz detaljerad information om hur företag bäst ska reagera nu för att kunna fortsätta CE-märka sina produkter. Begreppet maskinsäkerhet håller alltså på att omdefinieras.
Securitylagar: alla goda ting är tre
Sammanlagt har EU infört lagstadgade krav på industrial security för maskintillverkning på tre nivåer. Det finns specifikationer för maskiner, produkter med digitala element och företag.
- Maskinförordningen gäller för maskiner.
- Cyber Resilience Act (CRA) definierar cybersäkerhetskrav på produkter som har digitala komponenter.
- Och EU-direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i unionen, det så kallade NIS2-direktivet, gäller för nästan alla företag i vår bransch med fler än 50 medarbetare.
Industrin står alltså inför en enorm uppgift – alla tre lagarna har redan publicerats av EU. Klockan har redan börjat ticka för två av dessa, nämligen maskinförordningen och CRA, och industrin har nu runt ett och ett halvt år på sig att ställa om utveckling, produktion och projektering i enlighet med dessa, inklusive alla tillhörande processer och uppgifter som utbildning och dokumentation. En kolossal uppgift – precis som när maskindirektivet skulle implementeras.
Vi har redan behandlat maskinförordningen. CRA kräver att produkter med digitala element utformas, utvecklas och tillverkas i enlighet med grundläggande krav på cybersäkerhet. Rent konkret innebär det att det nu finns krav avseende riskbedömning och riskgaranti, sårbarhetshantering, dokumentation och anmälningsskyldigheter.
Vi själva påverkas också av detta. För att implementera detta införde vi redan för flera år sedan en certifierad utvecklingsprocess som är ”secure” enligt IEC 62443-4-1 inom våra produktutvecklingsområden och fick den certifierad 2022. På så sätt kan vi garantera att vår utveckling uppfyller kraven i CRA. Pilz produktutbud är mycket omfattande och varje produkt behövde bedömas för att se i vilken utsträckning den påverkas av CRA och huruvida den behöver anpassas. Denna bedömning har genomförts och motsvarande åtgärder har vidtagits i ett tidigt skede.
Den tredje rättsakten, EU:s NIS2-direktiv, som ställer krav på att företag förbereder sig för cyberattacker, har ännu inte införlivats i nationell lagstiftning. Vilket egentligen skulle ha skett till och med den 18 oktober förra året. För närvarande har 9 av EU:s 27 medlemsländer genomfört implementeringen. I resterande länder, som Tyskland och Österrike, är det ofta politiska omständigheter som gör att lagarna inte antas.
Security inte bara för att lagen kräver det
Pilz vädjar: av egen erfarenhet efter cyberattacken mot Pilz 2019 kan jag säga att det är en stor risk att avvakta med att vidta securityskyddsåtgärder tills en uppgörelse har nåtts på politisk nivå. Det handlar inte om att uppfylla lagkrav, utan om att skydda företaget och säkra dess överlevnad.
Mot bakgrund av alla nya krav kan man fråga sig om andra marknader än EU också kommer att ta itu med de nya utmaningarna, som artificiell intelligens och cyberbrottslighet. För att besvara den frågan vill jag återknyta till den lyckade CE-märkningen. Precis som med maskindirektivet kan man förvänta sig att europeiska lagar och standarder kommer att tjäna som förebilder i hela världen även när det gäller AI och cybersäkerhet. Å ena sidan vill de flesta regeringar verkligen se till att deras medborgare skyddas mot faror så gott som möjligt, och å andra sidan vill maskintillverkare och producenter kunna marknadsföra sina produkter över hela världen. Detta innebär att ekonomiska aktörer utanför EU också måste uppfylla de nya kraven om de fortsatt vill importera till EU.
Säkerhet har som man ser många olika aspekter som berör oss, våra partner, kunder och samhället i allmänhet. Det nya godkännandeförfarandet i Indien och de nya AI- och securitykraven i EU är exempel på hur viktigt det är att ha ett fungerande samarbete över marknadsgränserna. Lagar och internationella standarder är avgörande för detta. De hjälper oss att säkerställa att vi kan förlita oss på tekniska säkerhetsmekanismer globalt.

Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden
Telefon: +46 300 13990
E-post: pilz.se@pilz.dk
Telefon: +46 300 13990
E-post: pilz.se@pilz.dk