Подавляющее большинство заинтересованных сторон, при обсуждении нового законодательства по машиностроению, признали риски, связанные с (злонамеренным) вмешательством во все группы машин и оборудования. Большинство респондентов общественного обсуждения указали, что действующая Директива 2006/42/ЕС недостаточно охватывает киберугрозы. Большинство респондентов, принявших участие в онлайн-опросе, отдали предпочтение всеобъемлющей директиве или горизонтальному законодательству, охватывающему кибербезопасность по всем направлениям.
Публичные консультации показали, что, если будут добавлены требования по кибербезопасности, они должны быть сосредоточены на требованиях безопасности или не должны быть обязательными требованиями. Многие опрошенные заинтересованные стороны, в частности представители промышленности, а также нотифицированные органы, ссылались на уже существующие требования к системам управления при «внешних воздействиях». В связи с этим кибератаки считались подпадающими под такие «внешние воздействия». Однако более четкое разграничение этого отношения в действующем правовом тексте было упомянуто как вариант для внесения дополнительной правовой ясности.
В отношении требований кибербезопасности для защиты подключенных продуктов в рамках RED Директивы, готовятся делегированные акты для защиты данных и конфиденциальности на некоторых подключенных устройствах с функциями Wi-Fi. Эти требования будут применяться к оборудованию, подключенному к функциям Wi-Fi. Что касается аспектов безопасности, то в основных требованиях по охране здоровья и безопасности пересмотренный требования в новом Регламенте, будет прямо ссылаться на опасности, вызванные кибератаками. Это необходимо для обеспечения безопасности и надежности систем управления механизмами.
В связи с рисками, связанными со злонамеренными действиями третьих лиц, которые влияют на безопасность продукции машиностроения, необходимо включать в основные требования в кибербезопасности, принятой в соответствии с Регламентом (ЕС) 2019/881.
Европейская схема сертификации кибербезопасности может указывать один или несколько из следующих уровней гарантии для продуктов ИКТ, услуг ИКТ (информационно-коммуникационные технологии) и процессов ИКТ: «базовый», «существенный» или «высокий». Уровень гарантии должен быть соизмерим с уровнем риска, связанного с предполагаемым использованием продукта, с точки зрения вероятности и воздействия инцидента.
Европейские сертификаты кибербезопасности и заявления о соответствии ЕС должны относиться к любому уровню гарантии, указанному в европейской схеме сертификации кибербезопасности, в соответствии с которой выдается европейский сертификат кибербезопасности или заявление о соответствии ЕС.
Европейская схема сертификации кибербезопасности может предусматривать несколько уровней оценки в зависимости от строгости и глубины используемой методологии оценки. Каждый из уровней оценки должен соответствовать одному из уровней доверия и должен определяться соответствующей комбинацией компонентов доверия.
Подключенные машины должны быть надежными (машины должны быть в состоянии противостоять атаке) и устойчивыми (способностью машин лучше всего реагировать на атаку, предотвращая угрозу безопасности машин). Это означает, что, когда машина получает сигналы из внешнего мира, она должна иметь возможность распознавать и определять подлинность ввода и реагировать на ввод безопасным образом. Например, оборудование для кондиционирования воздуха не должно замораживать окружающую среду после злонамеренного вмешательства.
Производителям машин и оборудования, когда машинное обучение влияет на безопасность оборудования, необходимо размещать его на рынке, только после завершения фазы исследований и испытаний. Производитель должен принять все необходимые меры предосторожности, чтобы гарантировать, что впоследствии машина не будет развиваться таким образом, которые могут навредить пользователям.
Это уточнение не должно приносить производителям дополнительных затрат. Тем не менее, это принесет пользу пользователям, так как на рынке будет меньше несоответствующей техники.
Учет рисков из-за новых технологий в машиностроении, привело к разным результатам в разных группах заинтересованных сторон и типах приложений при обсуждении. Регламент по машинам включает в себя технологически нейтральные требования к новым технологиям, способствует стандартизации, которая обеспечивает безопасные инновационные решения на рынке. Цель состоит не в том, чтобы препятствовать инновациям, а в том, чтобы обеспечить безопасные инновации. Что касается машин с высоким уровнем риска, предоставление полномочий на пересмотр категорий высокого риска в соответствии с развитием рынка позволит законодательству оставаться в курсе последних событий в этом смысле.
Что касается искусственного интеллекта, исследования и разработки происходят на более ранней стадии. Если оставить регулирование машинного обучения единственным регулированием ИИ, это не обеспечит безопасность машин. Системы искусственного интеллекта, используемые в оборудовании, нуждаются в оценке риска для конкретного применения этого оборудования. Этот подход согласуется с будущим регулированием для непрерывно обучающихся систем ИИ, которое делегирует оценку соответствия систем, используемых в машинах, правилам законодательства по машинному оборудованию. Кроме того, необходимо учитывать, что разработка программного обеспечения для искусственного интеллекта обходится дороже, чем другие типы программного обеспечения. Затраты, связанные с соблюдением требований, не будут значительными по сравнению с затратами на разработку.
Новые технологии повышают конкурентоспособность, сводя к минимуму нагрузку на производителей. Это также повышает безопасность за счет уточнения или добавления требований к новым (и традиционным) технологиям. Дополнительные или уточненные требования влекут за собой дополнительные расходы на их соблюдение. Тем не менее, несмотря на эти дополнительные расходы, дополнительные или уточненные требования приносят долгосрочные выгоды, такие как меньшее количество небезопасных продуктов на рынке, большая правовая определенность (сокращение частных судебных разбирательств) и более равные условия для экономических операторов на мировом рынке.