在机械安全，信息安全和人工智能方面：需要一个全球法律框架

Thomas Pilz，Pilz GmbH & Co. KG执行合伙人

(根据交付情况进行检查)

我们都知道CE标志。您可以在电器，玩具或家用电器上看到它，当然也可以在工厂和机械上看到它。它代表“Conformité Européenne”。CE标志有效地表明在欧洲经济区(欧盟和欧洲自由贸易区)市场上投放的产品符合基本的健康，安全和环境要求。通过贴上标记，将产品投放市场的人员表示他们已遵守欧盟范围内产品安全的适用法律要求。在过去的30年里，每一款符合欧盟指令的产品都需要EC符合性声明。

这些指令包括机械指令，该指令自1995年以来也是强制性的。它描述了人与机器之间互动的标准化健康和安全要求，并取代了各国关于机械安全的大量规定。

CE成功模式
最初对公司来说是一项重大挑战，而现在，没有人不希望这样做。CE标志和机械指令在制造商和用户之间建立了透明度和信任。因此，它们是成功的事例。在世界其他地区，它们已经成为建立机械安全法律框架的典范，而且实际上仍在继续这样做。

例如，在巴西：自2010年以来，有一项国家法律规定了机械和工作设备的最低安全要求：Norma Regulamentadora 12 (NR-12)–MÁQUINAS E EQUIPAMENTO.在可能的情况下，实际采用了机械指令附件I中的安全要求，包括特定类型机械的个别特殊要求。这就是为什么在欧洲，这部法律也被称为“巴西机械指令”。

印度首个机械安全法律框架
印度是增长最快的经济体，目前也在采用机械安全法律框架。重工业部公布了两项相关条例。Omnibus技术条例规定了各种类型的机械和电气设备的安全要求。这些设计旨在确保在机器投放印度市场之前，它们符合安全标准。
与欧洲类似，也有强制性认证和合格标志。印度的大多数新要求都符合现行国际标准。

任何希望向印度出口的人必须在印度指定一名授权代表。我们的印度子公司可以帮助公司满足要求并出口到印度。Pilz印度的员工还参与印度标准局的相关委员会。

机械安全主题在印度肯定会继续发展。不过，我们可以肯定地说，今后将无法向印度进口任何不符合要求的机械或产品（换句话说，就是没有印度CE标志的机械或产品）。这可能意味着机器或产品被印度海关扣留，直到供应商达到所要求的规格。

工业信息安全：30年后
让我们回到1990年代中期，Tim Berners-Lee在瑞士的CERN研究中心公开发布了使用WWW的技术。社会和产业联网和数字化的突破。

30年后，安全定义有所不同。因为这种网络化和数字化的结果，带有数字化元素的产品和机械面临着完全不同的风险，例如通过数据操作。欧洲立法者的反应是：CE标志的原则仍然存在。获得它的要求已经适应了最新的状态。新机械法规2023年发布，将在2027年取代机械指令。我想简要介绍人工智能和工业信息安全这两项创新。

人工智能是否安全？
“机器人不能伤害人类。”
这就是Isaac Asimov在1942年的科幻小说中为智能机器制定了所谓的机器人法则的方式。83年后的今天，人工智能的进一步发展意味着必须重新考虑人类和机器之间的交互规则。
立法者也认识到这一点，并在新的机械法规中考虑到了人工智能的主题。它谈到具有自我演变行为的机器。如果机器在危险情况下的反应方式不是由人类决定的，而是由算法决定的，那么机器的安全程度如何？
在极端情况下，必须考虑自我学习软件是否可能产生新的机器。这不仅对制造商，而且对公告机构都是一个非常有趣的话题。

人工智能不仅仅影响机器的世界。欧盟人工智能法规，即所谓的人工智能法案，一般性地规范了人工智能系统可以和不可以做的事情。
该条例禁止各种人工智能做法，例如操纵人类。这意味着AI决不能引导人们做出会对自己或他人造成重大伤害的决定。此外，在教育，关键基础设施或执法等领域的某些应用也被归类为高风险人工智能系统，这些系统必须满足特殊要求。这些高风险人工智能系统将来也必须具有CE标志。

在Pilz ，我们将人工智能法规视为一项重要法规，它确保了机会可以被利用，同时也确保了人工智能带来的风险得以降低。

没有信息安全就没有CE标志
由于网络攻击和操纵所造成的破坏迅速增加，未来新的机械法规还将要求防止安全功能（例如控制器）受到破坏，因此对工业安全提出了要求。在活动的第二部分，我们的专家Simon Nutz将提供详细的信息，说明企业现在应该如何最好地做出反应，使他们能够继续为自己的产品进行CE标志。机械安全的概念目前正在重新定义。

信息安全法律：好事成双
总体而言，欧盟从三个层面对工程领域的工业信息安全提出了法律要求。对机械，产品与数字元件和公司都有要求。 

• 机械法规适用于机械。
• 网络弹性法案定义了对具有数字元素的产品的网络安全要求。
• 欧盟关于在欧盟范围内实现高共同网络安全水平措施的指令，即所谓的NIS 2指令，适用于我们行业内员工超过50名的几乎每家公司。

这给该行业带来了一项艰巨的任务：欧盟已经公布了所有三项法律。其中两个项目，即机械法规和CRA的时钟已经开始计时，该行业现在有大约一年半的时间来相应地调整开发，生产和工程，包括所有相关的流程和任务，如培训或文档。这是一项真正艰巨的任务–就像当时机械指令的实施一样。

我们已经谈到机械法规。CRA要求具有数字元素的产品按照基本网络安全要求进行设计，开发和制造。具体而言，这意味着现在对风险评估和保证，脆弱性管理，记录和报告义务都有要求。

这也影响到我们。因此，为了实现这一目标，几年前，我们在我们的产品开发领域引入了符合IEC 62443-4-1的经过认证的“安全”开发流程，并于2022年通过了认证。这使我们能够保证我们的发展符合CRA。Pilz拥有非常广泛的产品组合，必须对每个产品进行评估，以确定其受CRA影响的程度以及是否需要调整。这项评估已经进行，并在早期阶段采取了相应的措施。

第三项立法是欧盟的NIS-2指令，该指令要求公司为网络攻击做好准备，但该指令仍有待转化为国家法律。这项工作的日期实际上是去年10月18日。目前，27个欧盟成员国中有9个已经完成了转换。在德国或奥地利等其他国家，政治环境往往阻碍法律获得通过。

信息安全不仅仅是为了法律的缘故
Pilz的请求：从2019年Pilz遭受网络攻击的亲身经历来看，我可以说，等到政治层面达成一致后再实施安全保护措施将是灾难性的。这不是为了满足法律要求，而是为了确保公司及其持续生存。

随着所有新要求的出现，除了欧盟以外的其他市场是否也将面临新的挑战，如人工智能或网络犯罪。为了回答这一问题，我想回到成功的CE评分模型。与机械指令一样，欧洲法律和标准将在人工智能和网络安全方面成为全球范例。大多数政府都非常重视确保其公民尽可能得到保护，免受危害，而机器制造商和生产商则渴望能够在全球范围内销售其产品。这意味着欧盟以外的经济运营商如果想继续进口到欧盟，也必须满足新的要求。

如您所见，信息安全涉及许多方面，影响我们，我们的合作伙伴，客户和整个社会。印度的新审批流程以及欧盟的新人工智能和安全要求都是有效开展跨市场合作的重要性的例子。法律和国际标准是关键。它们帮助我们依靠全球技术安全机制。