在安全、資安及 AI 方面：需要全球法律架構

Pilz GmbH & Co. KG 的管理合夥人 Thomas Pilz

（檢查交貨）

我們都知道 CE 標章。您可以在電器、玩具或家用品上看到，當然也可以在工廠與機械設備上看到。這代表「Conformité Européenne」。CE 標章實際上是一種認證標誌，表明在歐洲經濟區（EU 和 EFTA）市場上銷售的產品符合基本健康、安全及環境要求。藉由貼上該標示，將產品投放到市場的人員表明其已遵守對於歐盟內產品安全的適用法律要求。過去 30 年來，符合歐盟指令的每項產品皆需要歐盟符合性聲明。

這些指令包含機械指令，其自 1995 年起也已具有強制性。它說明人員與機器之間互動的標準化健康與安全要求，並取代各國有關機械安全現有的法規。

CE 成功模式
這在最初對公司來說的重大挑戰，現在已成為業界不可或缺的制度。CE 標章和機械指令在製造商與使用者之間建立透明度和信任。因此，它們皆是成功案例。在世界其他地區，它們已用作建立機械安全法律架構的模範，並實際上持續發揮作用。

例如在巴西：自 2010 年起，已有規定機械與工作設備最低安全要求的國家法律：Norma Regulamentadora 12（NR-12）– MÁQUINAS E EQUIPAMENTO。希望實際上採用機械指令附件 I 中的安全要求，其中包含對於某些機械設備類型的個別特殊要求。因此在歐洲，此法律也稱為「巴西機械指令」。

印度首個機械安全法律架構
作為成長最快速的經濟體，印度現在也正在採用機械安全法律架構。重工業部已發佈兩項相關法規。綜合技術法規規定對於各種類型機械與電氣設備的安全要求。這些設計是為確保其在機器投放到印度市場之前符合安全標準。
與歐洲類似，有強制性認證和合規性標記。印度大部分的新要求皆與現有國際標準一致。

希望出口到印度的任何人皆必須指派駐印度的授權代表。我們的印度子公司可協助公司符合要求並出口到印度。Pilz 印度子公司的員工也在印度標準局的相關委員會任職。

機械安全的主題肯定將在印度持續發展。不過，我們可以肯定地說，未來不符合標準的任何機械設備或產品（換言之沒有印度 CE 標章者）將無法進口到印度。這可能意指在供應商符合所需規範之前，機械設備或產品將被印度海關扣留。

資安：三十年後
讓我們回到 1990 年代中期，當時 Tim Berners-Lee 在瑞士的歐洲核子（CERN）研究中心公開發佈使用 WWW 的技術。社會和產業網路連結和數位化的突破。

三十年後，資安的定義有所不同。由於這種網路連結和數位化，具備數位元件的產品和機械設備將面臨完全不同的風險，例如資料操縱。歐洲立法者已作出反應：CE 標章的原則仍然有效。取得的要求已適應最新技術。新機械規則於 2023 年發佈，並將於 2027 年取代機械指令。我想要簡介兩項創新：人工智慧和工業資安。

人工智慧是否能夠安全？
「機器人不得傷害人類。」
那就是艾西莫夫（Isaac Asimov）早在 1942 年，在其一部科幻小說中對於智慧機器所制定所謂的機器人法則。八十三年後的今天，人工智慧的進一步發展意指對於人員與機器之間互動的規則必須重新考慮。
立法者也已認可此點，並在新機械規則中考慮到人工智慧的主題。這談到具備自行進化性能的機器。若在危險情況下的反應方式不是由人員決定，而是由演算法決定，則機器的安全性如何？
在極端情況下，必須考量自學習軟體是否可能創造出新機器。不僅對於製造商，對於指定機構亦是具有關注價值的主題。

AI 影響的不僅僅是機械設備的世界。有關人工智慧的歐盟規則（所謂的 AI 法案）概括規定 AI 系統可做與不可做的事。
該規則禁止各種 AI 實務，例如對人們進行操縱。這意指 AI 不得引導人們做出將對其自身或他人造成重大傷害的決定。此外，在例如教育、關鍵基礎設施或執法領域的某些應用已歸類為高風險 AI 系統，必須符合特殊要求。這些高風險 AI 系統未來也必須獲得 CE 標章。

在 Pilz，我們將 AI 規則視為重要規則，其確保能夠利用機會，同時也確保降低 AI 所帶來的風險。

沒有資安就沒有 CE 標章
由於網路攻擊方面的快迅增加以及操縱所造成的損害，未來新機械規則也將要求保護例如控制器的安全功能避免遭到破壞，並因此規範對於工業資安的要求。在活動的第二部分中，我們的專家 Simon Nutz 將提供詳細資訊，說明公司現在應如何作出最佳反應，以讓其能夠持續為其產品獲得 CE 標章。機械安全的概念目前正被重新定義。

資安法：好事成三
整體而言，歐盟已對於三個層級上的工程設計引入對於工業資安的法律要求。有對於機械設備、具備數位元件的產品以及公司的要求。  

• 機械規則適用於機械設備。
• 網路韌性法案定義有關具備數位元件的產品的網路資安要求。
• 而歐盟針對聯盟內維持高共同水準網路與資訊安全（所謂的 NIS 2 指令），適用於我們產業中幾乎所有員工數超過 50 人的公司。

這為該產業帶來艱鉅任務：歐盟已發佈這三項法律。其中兩項（即機械規則和 CRA）的實施時間已迫在眉睫，且該產業現在有大約一年半的時間據此調適開發、生產及工程設計，其中包含所有相關聯程序與任務，例如培訓或文件紀錄。真正重大的任務 – 就像當時實行機械指令一樣。

我們已談過機械規則。CRA 要求具備數位元件的產品依據基本網路資安要求設計、開發及製造。具體而言，這意指現在有對於風險評估和保證、漏洞管理、文件紀錄及回報義務的要求。

這也會影響我們。所以為了實行此點，幾年前我們依據 IEC 62443-4-1 在我們的產品開發領域引入經認證的「安全」開發程序，並於 2022 年獲得認證。那讓我們能夠保證我們的開發符合 CRA。Pilz 擁有非常廣泛的產品組合，並必須對每款產品進行評估以判定其受到 CRA 影響的程度，以及是否需要進行調適。此評估已進行，且相關措施也已在早期階段實施。

第三項立法是歐盟的 NIS-2 指令，其要求公司為網路攻擊做好準備，但仍然必須轉置為國家法律。對此，該日期實際上為去年 10 月 18 日。目前，27 個歐盟會員國中的 9 個已完成轉置。在其餘國家，例如德國或奧地利，政治環境時常會阻礙法律的通過。

資安不僅僅是為了法律
Pilz 的懇求：從我們自身於 2019 年對 Pilz 的網路攻擊經歷，我可以說等到政治層面有協議之後才實行資安保護措施將招致大禍。這並不是為了滿足法律要求，而是為了確保公司安全及其持續存在。

隨著所有這些新要求，問題在於歐盟以外的其他市場是否也將面臨新挑戰，例如人工智慧或網路犯罪。為回答這個問題，我想要回到成功的 CE 標章模型。如同採用機械指令，將可預期歐洲法律與標準將在 AI 和網路資安方面用作全球模範。大多數政府皆強力關注於確保其公民盡可能受到良好保護避免危害，而機器建置商和生產商則希望能夠在世界各地銷售其產品。這意指若歐盟以外的經濟營運商希望持續進口到歐盟，則也將必須符合新要求。

如您可以看到，資安具有影響我們、我們的合作夥伴、客戶及整個社會的許多面向。印度的新認可程序以及歐盟的新 AI 與資安要求，就是具有正常運作跨市場合作很重要的範例。法律和國際標準是關鍵。它們使我們能夠信賴全球技術資安機制。