Вступ: Новий етап технічного регулювання

Ця стаття була написана для Виробничо-практичного та наукового журналу «Підйомні споруди. Спеціальна техніка» і опублікована в черговому числі № 01/02 (268) за січень-лютий, 2026 року, який читачі вже отримали.

У попередніх числах (№ 05.2023 та № 06.2023) читачі цього журналу були ознайомлені з проєктом нового європейського Регламенту щодо машин, який мав замінити чинну на той час Директиву щодо машин 2006/42/EC. Зазначений проєкт у Європейському союзі був прийнятий як Регламент (ЄС) 2023/1230 Європейського Парламенту та Ради щодо машин (далі – Регламент щодо машин 2023/1230) з терміном набрання чинності 20 січня 2027 року та має на меті посилення безпеки машин в епоху швидкого технологічного розвитку.

Одним з важливих кроків на шляху до виконання Угоди про асоціацію між Україною та Європейським Союзом і підготовки до укладення Угоди АСАА (“промислового безвізу”) у пріоритетних секторах було прийняття Кабінетом Міністрів України 10 грудня 2025 року нового Технічного регламенту машин (Постанова № 1630-2025), який з 20 січня 2027 року замінить чинний Технічний регламент безпеки машин (Постанова № 62-2013). Цей документ повністю гармонізує вітчизняне законодавство щодо технічного регулювання з Регламентом щодо машин 2023/1230.

Відмінності між Директивою щодо машин 2006/42/EC і Регламентом щодо машин 2023/1230, які наведені в № 5.2023 і № 6.2023, повністю відповідають відмінностям між Технічним регламентом безпеки машин (Постанова № 62-2013) і Технічним регламентом машин (Постанова № 1630-2025), тому немає потреби ще раз на них зупинятися. Однак у Регламент щодо машин 2023/1230 внесені абсолютно нові положення, а відповідно і в Технічний регламент машин (Постанова № 1630-2025), яких не було раніше. Одними з таких є цифрові технології та кібербезпека.

1. Цифрові технології та кібербезпека

Нещодавно на ринку з’явилися більш досконалі машини, що менше залежать від операторів-людей. Такі машини працюють над визначеними завданнями та в структурованих середовищах, проте вони можуть навчитися виконувати нові дії в цьому контексті та стати більш автономними. Подальше вдосконалення машин, яке вже існує або очікується, включає обробку інформації в режимі реального часу, вирішення проблем, мобільність, сенсорні системи, навчання, адаптивність та здатність працювати в неструктурованих середовищах (наприклад, на будівельних майданчиках). Поява нових цифрових технологій, таких як штучний інтелект, Інтернет речей та робототехніка, створює нові виклики з точки зору безпеки продукції. Чинне законодавство про безпеку продукції, включаючи Директиву щодо машин 2006/42/ЄС і відповідно Технічний регламент безпеки машин (Постанова № 62-2013), містить низку прогалин у цьому відношенні, які необхідно було усунути. Таким чином, Технічний регламент машин (Постанова № 1630-2025), який відповідає Регламенту щодо машин 2023/1230, охоплює ризики безпеки, що виникають внаслідок нових цифрових технологій.

Але з новими цифровими технологіями пов’язані також інші ризики – ті, що спричинені зловмисними третіми сторонами, які впливають на безпеку продукції, що входить до сфери застосування Технічного регламенту машин (Постанова № 1630-2025). У цьому відношенні виробники повинні бути зобов’язані вживати пропорційних заходів, що обмежуються захистом безпеки продукції, що входить до сфери застосування цього Технічного регламенту. Це не виключає застосування до продукції, що входить до сфери застосування цього Технічного регламенту, інших актів законодавства, що спеціально стосуються аспектів кібербезпеки.

Оскільки все більше машин стають мережевими, автоматизованими та керованими комп’ютером, зростають ризики втручання, пошкодження програмного забезпечення та кібератак. Зважаючи на це, безпека машин тепер також має включати захист від цифрових загроз, що робить кібербезпеку в проєктуванні машин такою ж важливою, як і механічну та електричну безпеку.

З метою усунення ризиків, що виникають внаслідок зловмисних дій третіх сторін, які впливають на безпеку продукції, що підпадає під сферу застосування Технічного регламенту машин (Постанова № 1630-2025), у додаток 3 Технічного регламенту включені нові та доповнені існуючі відповідні суттєві вимоги щодо безпеки та охорони здоров’я, а саме:

– включений новий пункт 1.1.9 «Захист від втручання»;

– доповнений пункт 1.2.1 «Безпека та надійність систем керування».

2. Вимоги щодо захисту від втручання

Новий пункт 1.1.9 «Захист від втручання» Технічного регламенту машин (Постанова № 1630-2025) запроваджує вимоги кібербезпеки, пов’язані з цифровими технологіями, і був доданий для охоплення зростаючих промислових мереж для систем безпеки. Він охоплює як вимоги до апаратного, так і до програмного забезпечення.

Так, зокрема передбачається, щоб машина або супутня продукція були розроблені та виготовлені таким чином, щоб підключення до неї іншого пристрою через будь-яку функцію самого підключеного пристрою або через будь-який віддалений пристрій, який взаємодіє з машиною або супутньою продукцією, не призводило до виникнення небезпечної ситуації.

Наступні вимоги стосуються належного захисту апаратного носія чи програмного забезпечення від випадкового або навмисного втручання, а також про можливість збирання даних щодо законного або незаконного втручання в цей апаратний носій і програмне забезпечення, у тому числі даних щодо модифікації програмного забезпечення:

«Апаратний носій, що передає сигнал або дані, необхідні для підключення або доступу до програмного забезпечення, яке має вирішальне значення для відповідності машини або супутньої продукції відповідним суттєвим вимогам щодо безпеки та охорони здоров’я, повинен бути розроблений таким чином, щоб він був належним чином захищений від випадкового або навмисного втручання. Машина або супутня продукція повинні збирати докази законного або незаконного втручання в цей апаратний носій, коли це стосується підключення або доступу до програмного забезпечення, яке є критично важливим для відповідності машини або супутньої продукції.

Програмне забезпечення та дані, які є критично важливими для відповідності машини або супутньої продукції відповідним суттєвим вимогам щодо безпеки та охорони здоров’я, повинні бути ідентифіковані як такі та належним чином захищені від випадкового або навмисного втручання».

Машина або супутня продукція повинні ідентифікувати встановлене на них програмне забезпечення, необхідне для безпечної роботи, і бути здатними надавати цю інформацію в будь-який час у легкодоступній формі.

Машина або супутня продукція повинні збирати докази законного або незаконного втручання в програмне забезпечення або модифікації програмного забезпечення, встановленого на машині або супутній продукції, або його конфігурації.».

Зазначені вимоги пункту 1.1.9 «Захист від втручання» означають, що машини повинні гарантувати, що підключення іншого пристрою – локально або віддалено – не призведе до небезпечної ситуації. Крім того, будь-який апаратний компонент, який передає сигнали або дані та має доступ до програмного забезпечення, критично важливого для відповідності машин відповідним вимогам щодо безпеки та охорони здоров’я, повинен бути захищений як від випадкового, так і від навмисного пошкодження, і збиратиме докази як законних, так і незаконних втручань.

Нарешті, для захисту від втручання програмне забезпечення та дані, критично важливі для відповідності машин або супутньої продукції відповідним вимогам щодо безпеки та охорони здоров’я, повинні бути ідентифіковані як такі та належним чином захищені від випадкового або навмисного втручання. Машина або супутня продукція повинні ідентифікувати встановлене на них програмне забезпечення, необхідне для її безпечної роботи; та повинні мати можливість надавати цю інформацію в будь-який час у легкодоступній формі. Машина або супутня продукція повинні збирати докази законного або незаконного втручання в програмне забезпечення або модифікації програмного забезпечення, встановленого на машині або супутній продукції, або його конфігурації.

3. Вимоги щодо безпека та надійність систем керування

Пункт 1.2.1 «Безпека та надійність систем керування» чинного Технічного регламенту безпеки машин (Постанова № 62-2013) доповнений вимогою, що системи керування повинні бути розроблені і виготовлені таким чином, щоб витримувати «передбачувані та ненавмисні зовнішні впливи, включаючи обґрунтовано передбачувані зловмисні спроби з боку третіх осіб, що можуть призвести до небезпечної ситуації».

Також передбачається, щоб «журнал відстеження даних, отриманих у зв’язку з втручанням, і версій програмного забезпечення для забезпечення безпеки, завантажених після того, як машину або супутню продукцію було введено в обіг або в експлуатацію, зберігався протягом п’яти років після такого завантаження».

Частина вимог пункту 1.2.1 присвячена системам керування машиною або супутньою продукцією, що містять технології штучного інтелекту для повного або часткового самовдосконалення поведінки або логіки, які призначені для роботи з різними рівнями автономності. Так ці системи не повинні призводити «до виконання машиною або супутньою продукцією дій, що виходять за межі визначеного завдання та простору руху», а також «було забезпечено запис даних про процес прийняття рішень, пов’язаних з безпекою, для програмних систем безпеки, що забезпечують функцію безпеки, включаючи компоненти безпеки, після введення машини або супутньої продукції в обіг або в експлуатацію, і такі дані зберігалися протягом одного року після їх збирання».

4. Підтвердження відповідності вимогам кібербезпеки

Як уже зазначалося вимоги, наведені в пунктах 1.1.9 і 1.2.1 додатка 3 Технічного регламенту машин (Постанова № 1630-2025), є суттєвими вимогами щодо безпеки та охорони здоров’я і відповідно, якщо ці вимоги застосовні до машини або супутньої продукції, виробники мають проводити процедури підтвердження відповідності, так само як і щодо інших застосовних суттєвих вимог щодо безпеки та охорони здоров’я цього Технічного регламенту.

І в цьому питанні виникають розбіжності з європейським законодавством, а саме з Регламентом щодо машин 2023/1230. У частині дев’ятій статті 20 зазначеного Регламенту йдеться, що «машини та супутня продукція, які були сертифіковані або для яких було видано декларацію про відповідність за схемою сертифікації кібербезпеки, прийнятою відповідно до Регламенту (ЄС) 2019/881 [1], вважаються такими, що відповідають суттєвим вимогам щодо безпеки та охорони здоров’я, викладеним у Додатку III, розділах 1.1.9 та 1.2.1, щодо захисту від втручання та безпеки й надійності систем керування, тією мірою, якою ці вимоги охоплені сертифікатом кібербезпеки або декларацією про відповідність або їх частинами». Нажаль наш Технічний регламент машин (Постанова № 1630-2025) не містить аналогічного пункту, шо підтверджується додатком 12 до Технічного регламенту (положення, які відповідають частині дев’ятій статті 20 Регламентом щодо машин 2023/1230, відсутні). Тобто європейське законодавство передбачає для підтвердження відповідності щодо кібербезпеки здійснювати сертифікацію або складати декларацію про відповідність. Наші виробники машин, на які поширюється дія суттєвих вимог щодо безпеки та охорони здоров’я щодо кібербезпеки, через відсутність посилання в Технічному регламенті машин (Постанова № 1630-2025) на відповідний акт законодавства не можуть повноцінно проводити процедури підтвердження відповідності машин.

Разом з тим, існує Законі України “Про основні засади забезпечення кібербезпеки України”, але він у повній мірі не врегульовує питання застосування цифрових технологій та елементів  у машинах.

Деякі роз’яснення до цього питання може дати документ, який підготовлений Дослідницькою службою Верховної Ради України, під назвою «Інформаційна довідка щодо законодавства Європейського Союзу з питань кібербезпеки (переговорний розділ 10 «Цифрова трансформація та медіа») (далі – Інформаційна довідка). У цьому документі зазначається, що питання інтеграції України до Єдиного цифрового ринку ЄС потребує також гармонізації законодавства України з оновленим законодавством ЄС у зазначеній сфері, зокрема імплементації Регламенту (ЄС) 2019/881. З цією метою та в межах реалізації Плану для Ukraine Facility щодо виконання зобов’язань із приведення національного законодавства з питань кібербезпеки у відповідність до правових стандартів ЄС був прийнятий ряд законодавчих актів, у тому числі Закон України «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури» від 27 березня 2025 року № 4336-IX» з метою імплементації Регламенту ЄС 2019/881.

Також в Інформаційній довідці зазначається, що в 2024-2025 роках Європейська Комісія  значно удосконалила правові інструменти, спрямовані на посилення екосистеми політики кібербезпеки ЄС, зокрема набув чинності Регламент (ЄС) 2024/2847 щодо вимог до кібербезпеки для продуктів із цифровими елементами [2]. Цей регламент був прийнятий через те, що чинне законодавство Союзу щодо кібербезпеки, включаючи Регламент Європейського Парламенту та Ради (ЄС) 2019/881, безпосередньо не охоплює обов’язкові вимоги до безпеки продуктів з цифровими елементами.

У зв’язку з цим, будемо очікувати змін до Технічного регламенту машин (Постанова № 1630-2025) з метою урахування вимог Регламенту (ЄС) 2019/881 і Регламент (ЄС) 2024/2847 після внесення відповідних змін до Регламенту щодо машин 2023/1230.

Звичайно для проведення процедур підтвердження відповідності необхідні гармонізовані стандарти, включені у відповідні переліки. Існуючі стандарти, гармонізовані для Директиви щодо машин 2006/42/EC, зазвичай не містять розділів, що стосуються нових вимог Регламенту щодо машин 2023/1230, таких як захист від втручання. Тому для цієї вимоги буде окремий стандарт EN 50742:2025 «Безпека машин – Захист від втручання». В анотації до проєкту зазначено, що цей стандарт містить вимоги та рекомендації щодо запобігання випадковому та навмисному втручанню в машину, включаючи зловмисні дії третіх сторін, що призводять до небезпечних ситуацій. Цей стандарт застосовується до – апаратних компонентів, включаючи інтерфейси до віддалених пристроїв та систем керування, які можуть передавати сигнали або дані – програмного забезпечення та даних, якщо вони можуть вплинути на безпеку машини. Цей документ стосуватиметься вимог ((ЄС) 2023/1230 – Додаток III, 1.1.9.) та пов’язаних з ними вимог (Додаток III, 1.2.1. a) та f)).

Висновки

1. У зв’язку з прийняттям нового Технічного регламенту машин (Постанова № 1630-2025), положення якого містять вимоги щодо кібербезпеки, виробникам доведеться переосмислити те, як вони розробляють свою продукцію.
2. Ускладнюються процедури підтвердження відповідності машин і супутньої продукції суттєвим вимогам щодо безпеки та охорони здоров’я через відсутність нормативно-правових актив і гармонізованих стандартів, що мають забезпечити, щоб безпека була ключовою частиною розробки майбутніх цифрових пристроїв машин і супутньої продукції.

Бібліографія

1. Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку). (https://zakon.rada.gov.ua/laws/show/984_024-19?find=1&text=NIS+2#Text).
2. Регламент (ЄС) 2024/2847 Європейського Парламенту та Ради від 23 жовтня 2024 року про горизонтальні вимоги до кібербезпеки для продуктів із цифровими елементами та внесення змін до Регламентів (ЄС) 168/2013 та (ЄС) 2019/1020, та Директиви (ЄС) 2020/1828 (Закон про кіберстійкість) (https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng).