Článek ve formátu PDF je možné stáhnout
zde.
Článek, který vychází z přednášky Thomase Pilze na virtuální tiskové konferenci firmy Pilz loni v květnu, shrnuje novinky v oblasti legislativy bezpečnosti strojů a strojních zařízení a zabezpečení dat, informačních systémů a komunikačních sítí (tzv. kybernetické bezpečnosti) z hlediska výrobců strojů a obecně strojírenské výroby. Redakčně jsou doplněny informace o aktuálním stavu a implementaci příslušných opatření v Česku. V závěru se článek věnuje dalšímu vývoji v oboru v souvislosti s modulárními výrobními linkami a podniky a kyber-fyzickými systémy.
Normy, zákony a vyhlášky v oboru bezpečnosti v průmyslovém prostředí se v současné době rychle mění. Velký vliv mají témata kybernetické bezpečnosti (zabezpečení dat, informačních systémů a komunikačních sítí) a otázky uplatnění umělé inteligence (AI) při posuzování rizik i zajišťování bezpečnosti.
Pro průmysl obecně, včetně strojírenské výroby, existují tři nové nebo připravované právní požadavky na bezpečnost a zabezpečení (safety a security): již přijatá směrnice EU NIS 2 (pozn. red.:Směrnice Evropského parlamentu a Rady EU 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, v Česku bude implementována zcela novým zákonem o kybernetické bezpečnosti, který je v připomínkovém řízení a nabyde účinnosti pravděpodobně v roce 2025), nové nařízení Evropského parlamentu a Rady EU 2023/1230 o strojních zařízeních (pozn. red.: v Česku bude implementováno novelou zákona č. 90/2016 Sb., o posuzování shody stanovených výrobků při jejich dodávání na trh, ve znění pozdějších předpisů a současně bude zrušeno stávající nařízení vlády č. 176/2008 Sb., o technických požadavcích na strojní zařízení, ve znění pozdějších předpisů) a připravovaný zákon o kybernetické odolnosti (Cyber Resilience Act).
NIS 2: více povinností a více sankcí pro více společností
NIS (Network and Information Security) je směrnice Evropské unie zaměřená na posílení tzv. kybernetické bezpečnosti – tedy zabezpečení dat, informačních systémů a komunikačních sítí. Směrnice NIS existuje od roku 2016 a dosud se vztahovala na poskytovatele kritické infrastruktury, včetně energetiky, dopravy, bank a financí, zdravotnictví, dodávek a distribuce pitné vody a digitální infrastruktury. Podniky působící v těchto sektorech museli zavést „vhodná bezpečnostní opatření“ a hlásit jakékoliv závažné kybernetické incidenty. Nástupcem je NIS 2, směrnice, která vstoupila v platnost počátkem roku 2023 a měla by být členskými státy EU přijata do národního práva do podzimu 2024. Směrnice platí mimo jiné i ve strojírenském a automobilovém sektoru pro společnosti s více než 50 zaměstnanci nebo s ročním obratem více než 10 milionů eur. Podle německého svazu strojírenského průmyslu VDMA se to dotkne zhruba 9 000 společností v celé Evropě. V budoucnu budou muset tyto firmy prokázat, že přijaly technická, provozní a organizační opatření na ochranu před incidenty v oblasti zabezpečení dat, informačních systémů a komunikačních sítí. Zaprvé to bude zahrnovat analýzu rizik stávajících systémů, včetně výrobních zařízení, jinými slovy OT (Operations Technology, provozní technika). Následovat bude vývoj a implementace konkrétních procesů a opatření, jako je ochrana hesly nebo šifrování, a také další vzdělávání a školení zaměstnanců. Případy narušení kybernetické bezpečnosti je nutné nahlásit příslušným úřadům do 24 hodin. Nové je také explicitní zahrnutí dodavatelských řetězců. Shrnuto, NIS 2 se bude týkat více společností, rozšiřuje jejich povinnosti a firmám, které nepřijmou opatření, hrozí přísné sankce.
Zákon o kybernetické odolnosti – zabezpečení pro celý životní cyklus produktu
V září 2022 předložila Evropská komise návrh nařízení, které má zvýšit kybernetickou odolnost produktů. Tento zákon o kybernetické odolnosti (Cyber Resilience Act) je zaměřen na výrobce „produktů s digitálními prvky“. To znamená s hardwarem i softwarem (např. i firmwarem). Nařízení se vztahuje jak na spotřební výrobky, jako jsou televizní přijímače, inteligentní ledničky nebo pračky, zabezpečovací kamery apod., tak na výrobky pro průmyslové použití, jako jsou např. řídicí jednotky strojů. V souladu se zákonem o kybernetické odolnosti mohou být na trh uváděny pouze produkty, které zaručují odpovídající úroveň kybernetické bezpečnosti. Výrobci jsou také povinni informovat zákazníky o slabinách z hlediska kybernetické bezpečnosti a co nejrychleji je odstranit. Nařízení se tedy vztahuje na celý životní cyklus výrobku. To znamená, že výrobci nyní musí nabízet aktualizace softwaru nad rámec obvyklé záruční doby, aby byly odraženy i budoucí hrozby. Předpokládá se, že zákon v podobě nařízení bude na evropské úrovni přijat koncem roku 2024.
Nové nařízení o strojních zařízeních – povinná kybernetická bezpečnost
Třetím novým zákonným požadavkem v souvislosti s bezpečností, ale i zabezpečením je nařízení Evropského parlamentu a Rady EU 2023/1230 o strojních zařízeních. V Česku bude toto nařízení implementováno do právního řádu novelizací zákona 90/2016, ale je třeba podotknout, že jde o nařízení EU, nikoliv o směrnici, a proto jsou jeho ustanovení v zemích EU platná i bez převedení do vnitrostátního práva a výrobci strojů mají 42 měsíců na to, aby splnili nové požadavky. Nařízení o strojních zařízeních nahrazuje stávající směrnici o strojních zařízeních a na rozdíl od své předchůdkyně zavádí i povinné zabezpečení dat, informačních systémů a komunikačních sítí. Zatímco původní směrnice o strojních zařízeních se zabývala čistě bezpečností strojů a zařízení, nové nařízení zahrnuje i požadavky na kybernetickou bezpečnost v „základních požadavcích na ochranu zdraví a bezpečnost“ (EHSR – Essential Health and Safety Requirements) v části „ochrana proti narušení“, kde se píše, že: „Bezpečnostní funkce stroje nesmí být narušeny poškozením dat a komunikací, ať už úmyslným, nebo neúmyslným.“ Má se za to, že splnění požadavků zákona o kybernetické odolnosti povede i ke shodě s nařízením o strojních zařízeních v oblasti kybernetické bezpečnosti.
A teď: kdo a čím se musí zabývat?
Co znamenají uvedené zákonné požadavky a na koho dopadnou? Jako ilustrační příklad pro vysvětlení korelací bude uveden obor výroby energetických zařízení.
Doposud se směrnice NIS týkala pouze dodavatelů energií. S NIS 2 budou muset požadavky na kybernetickou bezpečnost splňovat i výrobci strojů, např. větrných turbín. Výrobci větrných turbín zase potřebují řídicí a bezpečnostní systémy a snímače (např. od firmy Pilz). Od určité velikosti spadají pod NIS 2 i výrobci elektrosoučástek. A protože NIS 2 také stanovuje, že se berou v úvahu dodavatelé, musí se výrobci jako Pilz rovněž starat o bezpečné dodavatelské řetězce a klást požadavky na své dodavatele. NIS 2 tedy pokrývá celý dodavatelský řetězec.
K tomu, aby bylo možné dovážet strojní zařízení do Evropy, museli výrobci strojů vždy projít procesem posouzení shody, který skončil označením CE.
Nyní, s novým nařízením o strojních zařízeních, musí výrobci strojů prokázat, že jejich stroje jsou chráněny též proti manipulaci s daty. Výrobci elektrických a elektronických součástek a výrobků budou podléhat také budoucím požadavkům plánovaného zákona o kybernetické odolnosti.
Shrnutí
Abych to shrnul: to, do jaké míry se firma bude zabývat kybernetickou bezpečností, už nezávisí na jejím rozhodnutí nebo na požadavcích jejích zákazníků. Ne, je to zákonný požadavek. Bylo by tedy moudré, kdyby se firmy NIS 2 zabývaly co nejdříve a posoudily, jak jsou jejich informační systémy, data a komunikační sítě zabezpečeny. Patří sem např. implementace systému řízení bezpečnosti informací (ISMS – Information Security Management System) s certifikací v souladu s normou bezpečnosti informací ISO 27001 Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
Při výrobě strojů a zařízení je třeba pamatovat na to, že kybernetická bezpečnost není jen otázkou pro oddělení IT, ale je nedílnou součástí návrhu a konstrukce výrobků. Zpětná implementace zabezpečení dat je vždy složitá a obvykle znamená snížení uživatelské přívětivosti, funkčnosti a produktivity. Posouzení rizik nyní zahrnuje kromě bezpečnosti i zabezpečení dat a komunikačních rozhraní. Bez tohoto zabezpečení není možné výrobku udělit značku CE.
Pro výrobce průmyslových produktů s digitálními prvky poskytuje dobrou orientaci řada norem IEC 62443, mezi nimi zvláště norma IEC 62443-4-1 Bezpečnost pro systémy průmyslové automatizace a řízení – Část 4-1: Požadavky na životní cyklus vývoje bezpečného výrobku.
EU byla s legislativou týkající se zabezpečení dat a komunikací rychlá; v Evropě budou platit nejpřísnější požadavky na světě. Ovšem jiné země budou brzy následovat. Například Austrálie v současné době jedná s EU a bude se pravděpodobně řídit evropskými standardy. Lze tedy očekávat globální harmonizace v otázkách jak bezpečnosti, tak zabezpečení dat, informačních systémů a komunikačních sítí.
Výhled do budoucna: dynamická bezpečnost
Jaký význam má další digitalizace pro bezpečnost strojů a pracovníků? Co vyhoví požadavkům na bezpečnost? Jakou roli v tom bude hrát člověk?
Uveďme jako příklad projekt „Fluidní výroba“ ve výzkumném centru Arena 2036 (Active Research Environment for the Next generation of Automobiles) ve Stuttgartu. Firma Pilz při něm spolupracuje s mnoha partnery na vývoji a implementaci konceptu kybernetické výroby orientované na člověka. Cílem je rozložení výrobních zařízení na lokální flexibilní moduly, ze kterých bude možné podle potřeby dynamicky vytvářet ucelené jednotky a znovu je rozdělovat. Moduly jsou navrhovány s hlavním zaměřením na člověka jako aktivního tvůrce vlastního výrobního prostředí.
Z toho vychází požadavek dynamické bezpečnosti, tedy flexibilního přizpůsobení bezpečnostních funkcí měnícím se výrobním procesům a souvisejícím potřebám zabezpečení dat a komunikačních sítí. Například není nutné, aby došlo k okamžitému zastavení robotu nebo mobilní platformy, jestliže se v pracovním prostoru pohybuje člověk, ale zařízení mohou dále pracovat se sníženou (a tedy méně nebezpečnou) rychlostí, nebo ještě lépe, může do nich být implementována strategie bezpečného vyhýbání osobám a překážkám. Inteligentní senzory a akční členy budou přitom v distribuovaných systémech stále více přebírat i řídicí funkce a to povede k lepší interakci nejen strojních modulů navzájem, ale i člověka a stroje.
Dynamické změny v budoucím průmyslovém prostředí musí být prověřovány z hlediska bezpečnosti tak, aby ochrana lidí i strojů byla zaručena v každém okamžiku. Heslem tedy je „bezpečnost v reálném čase“. Lze si představit, že různé stroje budou bezpečnostní zařízení v budoucnu sdílet. To je sdílená bezpečnost, shared safety, koncept, který zkoušíme ve SmartFactory KL. Klasická značka CE jako výsledek „analogového“ posuzování shody ovšem ztrácí při takovém chápání bezpečnosti význam. V době provozu musí být v reálném čase k dispozici informace o všech zúčastněných prostředcích. Cestou k tomu je digitální typový štítek a digitální obálka komponent výroby (AAS – Asset Administration Shell).
V již zmíněném projektu „Fluidní výroba“ pracujeme na dalších tématech budoucnosti, jako je identifikace člověka a předmětů. Zde se nabízí využití umělé inteligence. Algoritmy AI schopné učení mohou také identifikovat a posuzovat rizika. „Analogová“ značka CE přitom představuje jen základní ochranu. Pro minimalizaci rizik lze zavést další opatření, díky nimž bude bezpečnost ještě flexibilnější a bude moci ještě lépe přispívat ke zvýšení produktivity.
Thomas Pilz, Managing Partner,
Pilz GmbH & Co. KG
Obr. 1. Thomas Pilz, Managing Partner, Pilz
Obr. 2. Firma Pilz oslavila v loňském roce 75 let od svého založení (letecký pohled na sídlo firmy v Ostfildernu)
Obr. 3. Výrobní a logistické centrum v Ostfildernu má 13 500 m2, pracuje zde 390 pracovníků a každý den se tu v průměru vyrobí 2 200 spínacích modulů, řídicích jednotek, senzorů a produktů pro techniku pohonů
Obr. 4. Nové výrobní a logistické centrum firmy Pilz klade velký důraz na ergonomii výroby