Emniyet, Güvenlik ve Yapay Zeka için küresel bir yasal çerçeve gereklidir

Thomas Pilz, Pilz GmbH & Co. KG Yönetici Ortağı

(Teslimatı kontrol edin)

Hepimiz CE işaretini biliyoruz. Bu işareti elektrikli aletlerde, oyuncaklarda, ev eşyalarında ve elbette tesislerde ve makinelerde de görebilirsiniz. Açılımı “Conformité Européenne” şeklindedir. CE işareti, Avrupa Ekonomik Alanı (AB ve EFTA) içinde piyasaya sunulan ürünlerin temel sağlık, emniyet ve çevre standartlarını karşıladığını gösteren bir işarettir. Ürünü piyasaya süren kişi, ürüne CE işaretini eklediğinde, AB sınırlarında ürünün emniyeti için geçerli olan emniyet gerekliliklerine uyduğunu beyan etmiş olur. Son 30 yıldır, herhangi bir AB direktifi kapsamına giren her ürün için bir AT Uygunluk Beyanı hazırlanması zorunludur.

Bu direktifler arasında, 1995 yılından bu yana zorunlu olan Makine Direktifi de yer alır. Bu direktif, insan ve makine arasındaki etkileşim için standart hale getirilmiş sağlık ve emniyet gerekliliklerini tanımlar ve bireysel devletler bazında Makine Emniyeti hakkındaki mevcut olan regülasyonların yerine geçer.

CE başarı modeli
Başlangıçta şirketler için zorlu bir engel olan bu konu, bugün herkesin ihtiyaç duyduğu bir unsur haline geldi. CE işareti ve Makine Direktifi, üreticiler ve kullanıcılar arasında şeffaflık ve güven oluşturur. Bu nedenle, bunlar birer başarı hikâyesidir. Dünyanın başka bölgelerinde, Makine Emniyeti için yasal çerçeveler oluşturulurken örnek alınmıştır ve alınmaya devam etmektedir.

Örneğin, Brezilya'da 2010 yılından bu yana, makine ve iş ekipmanları için asgari emniyet gerekliliklerini belirleyen ulusal bir yasa bulunmaktadır: Norma Regulamentadora 12 (NR-12) - MÁQUINAS E EQUIPAMENTOS. Mümkün olan her durumda, belirli makine türlerine yönelik özel gereklilikler de dâhil olmak üzere, Makine Direktifi Ek I’de yer alan emniyet gereklilikleri fiilen benimsenmiştir. Bu nedenle, Avrupa'da bu yasa “Brezilya Makine Direktifi” olarak da bilinmektedir.

Hindistan'da Makine Emniyeti için ilk yasal çerçeve
Dünyanın en hızlı büyüyen ekonomisi olan Hindistan, artık Makine Emniyeti için yasal bir çerçeve de benimsemektedir. Ağır Sanayi Bakanlığı bu konuyla ilgili iki ayrı regülasyon yayımlamıştır. Toplu Teknik Regülasyonlar, farklı makine ve elektrikli ekipman türleri için emniyet gerekliliklerini belirlemektedir. Bunlar, makinelerin Hindistan'da piyasaya sürülmeden önce emniyet standartlarını karşıladığından emin olmak amacıyla tasarlanmıştır.
Avrupa'ya benzer şekilde, zorunlu sertifikasyonlar ve bir uygunluk işareti vardır. Hindistan'daki yeni gerekliliklerin çoğu, mevcut uluslararası standartlarla uyumlu şekilde belirlenmiştir.

Hindistan'a ihracat yapmak isteyen herkes, Hindistan'da yerleşik bir yetkili temsilci atamak zorundadır. Hindistan'daki iştirakimiz, şirketlerin gereklilikleri karşılamalarına ve Hindistan'a ihracat yapmalarına yardımcı olabilir. Pilz Hindistan çalışanları, ayrıca Hindistan Standartları Bürosu'nun ilgili komitesinde de görev almaktadır.

Makine Emniyeti konusu, Hindistan'da kesinlikle gelişmeye devam edecektir. Ancak kesin olarak söyleyebileceğimiz şey, gelecekte uyumlu olmayan (başka bir deyişle Hindistan CE işaretine sahip olmayan) hiçbir makine veya ürünün Hindistan'a ithal edilmesinin mümkün olmayacağıdır. Bu, makine veya ürünlerin, tedarikçi gerekli spesifikasyonları karşılayana kadar Hindistan gümrüklerinde bekletilmesine yol açabilir.

Güvenlik: 30 yıl sonra
Gelin, Tim Berners-Lee'nin İsviçre'deki CERN araştırma merkezinde WWW teknolojisini kamuya sunduğu 1990'ların ortalarına geri dönelim. Toplumda ve sanayide ağ kurma ve dijitalleşme adına bir dönüm noktası.

30 yıl sonra güvenlik farklı bir şekilde tanımlanıyor. Çünkü tam da bu ağ kurma ve dijitalleşmenin bir sonucu olarak, dijital bileşenlere sahip ürünler ve makineler, örneğin veri manipülasyonu yoluyla, tamamen farklı risklerle karşı karşıya kalmaktadır. Bu nedenle Avrupalı yasa koyucular devreye girerek, CE işareti ilkesinin geçerliliğini sürdürmesine karar verdi. Bu işaretin alınabilmesi için gereken koşullar, en son teknolojik gelişmelere göre uyarlandı. Yeni Makine Regülasyonu 2023'te yayımlandı ve 2027'de Makine Direktifinin yerini alacak. İki yenilikten kısaca bahsetmek istiyorum: Yapay Zeka ve Endüstriyel Güvenlik.

Yapay Zeka emniyetli olabilir mi?
“Bir robot, bir insana zarar veremez.”
Isaac Asimov, 1942 yılında kaleme aldığı bir bilim kurgu öyküsünde, akıllı makineler için öne sürdüğü sözde robot yasasını bu şekilde formüle etmişti. 83 yıl sonra bugün, Yapay Zeka alanındaki gelişmeler, insan ve makine arasındaki etkileşim kurallarının yeniden değerlendirilmesi gerektiğini gösteriyor.
Yasa koyucular da bunun farkına vardı ve yeni Makine Regülasyonunda Yapay Zeka konusunu göz önünde bulundurdu. Regülasyonda, kendi kendini geliştiren davranışlara sahip makinelerden bahsediliyor. Tehlikeli durumlarda vereceği tepkiler insanlar yerine bir algoritma tarafından belirlenen bir makine ne ölçüde emniyetli kabul edilebilir?
Uç durumlarda, kendi kendine öğrenen yazılımın yeni bir makine olma ihtimali doğurup doğurmadığı dikkate alınmalıdır. Bu yalnızca üretici için değil, onaylanmış kuruluşlar için de son derece ilgi çekici bir konudur.

Yapay zeka sadece makine dünyasını etkilemiyor. Yapay Zeka Yasası olarak bilinen AB Yapay Zeka Regülasyonu, yapay zeka sistemlerinin genel olarak hangi faaliyetleri gerçekleştirip hangilerini gerçekleştiremeyeceğini düzenlemektedir.
Regülasyon, bireylerin manipüle edilmesi gibi bazı yapay zeka uygulamalarını açıkça yasaklamaktadır. Bu, yapay zekanın insanları kendilerine ya da başkalarına ciddi zarar verebilecek kararlar almaya yönlendirmemesi gerektiği anlamına gelir. Ayrıca, eğitim, kritik altyapı ve kolluk kuvvetleri gibi alanlardaki bazı uygulamalar, özel gereklilikleri karşılaması gereken yüksek riskli yapay zeka sistemleri olarak sınıflandırılmıştır. Bu yüksek riskli yapay zeka sistemlerinin de gelecekte CE işareti taşıması gerekecektir.

Pilz bünyesinde Yapay Zeka Regülasyonu, yapay zekanın sunduğu fırsatların değerlendirilmesine imkân tanırken, aynı zamanda potansiyel risklerin azaltılmasını sağlayan önemli bir düzenleme olarak kabul edilmektedir.

Güvenlik olmadan CE işareti olmaz
Siber saldırıların hızla artması ve manipülasyon kaynaklı hasarların çoğalması nedeniyle, gelecekte yürürlüğe girecek yeni Makine Regülasyonu, örneğin kontrol sistemlerinin emniyet fonksiyonlarının bozulmasına karşı koruma önlemleri de içerecek ve bu doğrultuda Endüstriyel Güvenlik için gereklilikleri tanımlayacaktır. Etkinliğin ikinci bölümünde, uzmanımız Simon Nutz, şirketlerin ürünlerine CE işareti koyabilmeye devam edebilmek için şu anda en doğru şekilde nasıl hareket etmeleri gerektiği konusunda detaylı bilgiler verecek. Makine Emniyeti kavramı şu anda yeniden tanımlanıyor.

Güvenlik yasaları: Üç düzeyde güvenlik
Genel olarak AB, Endüstriyel Güvenlik için mühendislik alanında üç farklı düzeyde yasal gereklilikler belirlemiştir. Makinelere, dijital unsurlar içeren ürünlere ve şirketlere yönelik gereklilikler vardır.  

• Makine Regülasyonu makineler için geçerlidir.
• Siber Dayanıklılık Yasası, dijital unsurları bulunan ürünlere yönelik siber güvenlik gerekliliklerini tanımlar.
• NIS 2 Direktifi olarak bilinen ve AB genelinde yüksek düzeyde ortak siber güvenlik önlemleri tanımlayan AB Direktifi, sektörümüzde 50'den fazla çalışanı olan neredeyse her şirket için geçerlidir.

Bu durum sektöre büyük bir yük getirmektedir: Üç yasa da AB tarafından halihazırda yayımlanmıştır. Bunlardan ikisi, yani Makine Regülasyonu ve CRA için zaman gittikçe daralıyor ve eğitim, dokümantasyon gibi ilgili tüm süreçler ve görevler de dahil olmak üzere geliştirme, üretim ve mühendislik süreçlerini buna göre uyarlamak için sektörün yaklaşık bir buçuk yılı bulunuyor. Bu gerçekten devasa bir görev; tıpkı zamanında Makine Direktifinin yürürlüğe girmesi gibi.

Makine Regülasyonu hakkında daha önce konuştuk. CRA, dijital unsurlar içeren ürünlerin temel siber güvenlik gerekliliklerine uygun şekilde tasarlanmasını, geliştirilmesini ve üretilmesini zorunlu kılıyor. Somut olarak, bu durum, artık risk değerlendirmesi ve güvencesi, güvenlik açığı yönetimi, dokümantasyon ve raporlama yükümlülükleri gibi gerekliliklerin ortaya çıktığı anlamına geliyor.

Bu bizleri de etkiliyor. Bu nedenle, bunu uygulamak amacıyla birkaç yıl önce ürün geliştirme alanlarımızda IEC 62443-4-1 standardına uygun, sertifikalı bir “güvenli” geliştirme süreci başlattık ve 2022'de bu süreci sertifikalandırdık. Bu şekilde, geliştirmelerimizin CRA ile uyumlu olduğunu garanti edebiliyoruz. Pilz, çok kapsamlı bir ürün portföyüne sahiptir ve her bir ürünün CRA'dan ne ölçüde etkilendiğini ve uyarlanması gerekip gerekmediğini belirlemek amacıyla detaylı bir değerlendirme sürecinden geçmesi gerekmiştir. Bu değerlendirme yapılmış ve gerekli tedbirler erken bir aşamada hayata geçirilmiştir.

Yasanın üçüncü seviyesi olan ve şirketleri siber saldırılara karşı hazırlıklı olmakla yükümlü kılan AB NIS-2 Direktifi ise henüz ulusal hukuka dahil edilmemiştir. Bunun için belirlenen tarih aslında geçtiğimiz yıl 18 Ekim'di. Şu an itibarıyla, 27 AB üye ülkesinden 9'u bu regülasyonu iç hukukuna dahil etmiştir. Almanya ve Avusturya gibi diğer ülkelerde ise siyasi koşullar çoğu zaman yasaların çıkarılmasını engellemektedir.

Güvenlik sadece yasalar için gerekli değildir
Pilz'in savunması şu şekilde: 2019'da Pilz'e yönelik siber saldırı deneyimimizden hareketle, güvenlik önlemlerini uygulamaya koymadan önce siyasi düzeyde bir anlaşma sağlanmasını beklemenin büyük bir hata olacağını söyleyebiliriz. Bu, yalnızca yasal gereklilikleri yerine getirmekle ilgili değil, aynı zamanda şirketin güvenliğini sağlamak ve varlığını sürdürebilmekle de ilgilidir.

Tüm yeni gerekliliklerle birlikte, AB’nin yanında diğer pazarların da Yapay Zeka veya siber suçlar gibi yeni zorluklarla karşılaşıp karşılaşmayacağı sorusu gündeme gelmektedir. Buna cevap vermek için başarılı CE işareti modeline geri dönmek faydalı olacaktır. Makine Direktifinde olduğu gibi, yapay zeka ve siber güvenlik söz konusu olduğunda Avrupa yasalarının ve standartlarının dünya çapında bir model oluşturması beklenmelidir. Pek çok yönetim, vatandaşlarını tehlikelerden en iyi şekilde koruma konusunda güçlü bir çıkar güderken, makine üreticileri ve imalatçıları ise ürünlerini dünya çapında pazarlamayı hedefler. Bu, AB dışındaki girişimcilerin de AB'ye ürün ihraç etmeye devam edebilmek için yeni gereklilikleri karşılaması gerektiği anlamına gelir.

Görüldüğü gibi, güvenlik, bizi, ortaklarımızı, müşterilerimizi ve genel olarak toplumu etkileyen birçok farklı boyuta sahiptir. Hindistan'daki yeni onay süreci ve AB'deki yeni Yapay Zeka ve güvenlik gereksinimleri, pazarlar arası işbirliğinin başarılı olmasının ne kadar önemli olduğunu gösteren örneklerdir. Yasalar ve uluslararası standartlar, kritik önem taşırlar. Küresel teknik güvenlik mekanizmalarına güvenimizi sağlamada önemli bir rol oynarlar.