Die Maschinenrichtlinie 2006/42/EG hat den europäischen Maschinenbau über anderthalb Jahrzehnte geprägt. Sie regelte mechanische Sicherheit, elektrische Gefährdungen und Ergonomie, ließ ein Thema aber vollständig aus: Cybersecurity. Die neue Maschinenverordnung (EU) 2023/1230 ändert das grundlegend. Ab dem 20. Januar 2027 wird der Schutz vor Korrumpierung, also vor absichtlicher und unbeabsichtigter digitaler Manipulation, zur verbindlichen Grundanforderung für das CE-Kennzeichen.
Für Produktmanager, Entwicklungsleiter und CTOs im Maschinenbau bedeutet das: Cybersecurity ist keine optionale Zusatzleistung mehr, sondern eine regulatorische Voraussetzung für den Marktzugang in der EU.
Ab dem 20. Januar 2027 muss jeder Hersteller, der Maschinen in der EU in Verkehr bringt, den Schutz vor Korrumpierung nachweisen, weil dieser Schutz zur Grundanforderung für das CE-Kennzeichen wird. Damit verschiebt sich, was eine Maschine erfüllen muss, um verkehrsfähig zu sein. Warum dieser Schritt nötig wurde, zeigt der Blick auf die bisherige Rechtslage.
Die Maschinenrichtlinie 2006/42/EG entstand zu einer Zeit, in der Maschinen weitgehend isoliert arbeiteten. Steuerungen waren proprietär, Netzwerkverbindungen die Ausnahme, und Software spielte in der Sicherheitsbetrachtung eine untergeordnete Rolle. Entsprechend enthielt die Richtlinie keine Anforderungen an den Schutz vor digitalen Bedrohungen.
Die Realität im Maschinenbau sieht heute anders aus. Maschinen sind vernetzt, werden über Fernwartungszugänge gewartet, erhalten Software-Updates über das Internet und tauschen Daten mit übergeordneten Systemen aus. Diese Vernetzung schafft Angriffsflächen, die bei Konstruktion und Konformitätsbewertung berücksichtigt werden müssen.
Die Maschinenverordnung reagiert darauf mit zwei neuen security-relevanten Grundanforderungen in Anhang III. Abschnitt 1.1.9 (“Schutz gegen Korrumpierung“) verlangt, dass der Anschluss einer anderen Einrichtung oder ein Fernzugriff nicht zu einer gefährlichen Situation führt. Sicherheitsrelevante Hardware, Software und Daten müssen gegen unbeabsichtigte und vorsätzliche Korrumpierung geschützt werden, und die für den sicheren Betrieb installierte Software muss erkennbar bleiben. Direkt daneben steht Abschnitt 1.2.1 (“Sicherheit und Zuverlässigkeit von Steuerungen“): Steuerungen müssen auch beabsichtigten und unbeabsichtigten Fremdeinflüssen standhalten, ausdrücklich einschließlich vernünftigerweise vorhersehbarer böswilliger Versuche Dritter. Damit ist die digitale Angriffsabwehr an zwei Stellen fest in den Grundanforderungen verankert.
Warum das CE-Kennzeichen zum Security-Nachweis wird
Bisher reichte es für die CE-Kennzeichnung aus, die mechanische, elektrische und funktionale Sicherheit einer Maschine nachzuweisen. Cybersecurity war kein Bestandteil der Konformitätsbewertung. Das ändert sich mit der Maschinenverordnung grundlegend.
Da der Schutz vor Korrumpierung nun eine Grundanforderung in Anhang III ist, muss er wie jede andere Grundanforderung in der technischen Dokumentation nachgewiesen werden. Ohne diesen Nachweis bleibt die CE-Konformitätserklärung unvollständig, und damit ist der Marktzugang in der EU gefährdet. Wer Cybersecurity bisher als nachgelagertes Thema behandelt hat, muss sie jetzt in den regulären Produktentwicklungs- und Konformitätsprozess holen.
Welche Normen die Umsetzung konkretisieren
Die Maschinenverordnung formuliert die Anforderungen an den Schutz vor Korrumpierung auf allgemeinem Niveau. Für die konkrete Umsetzung werden harmonisierte Normen eine zentrale Rolle spielen.
Die wichtigste Norm in diesem Zusammenhang ist die EN 50742, derzeit als Entwurf prEN 50742 veröffentlicht. Sie wurde spezifisch für die Maschinenverordnung konzipiert und definiert Anforderungen zum Schutz von Maschinen vor Korrumpierung. Die Norm sieht zwei Umsetzungsansätze vor: einen eigenständigen Ansatz (Ansatz A) mit spezifischen Anforderungen direkt aus der Norm sowie einen Ansatz auf Basis der IEC 62443 (Ansatz B), der auf die etablierte Normenreihe für industrielle Cybersecurity zurückgreift.
Gerade der IEC-62443-basierte Ansatz ist für viele Hersteller relevant, die bereits Erfahrung mit dieser Normenreihe haben oder deren Kunden Anforderungen aus der IEC 62443 stellen. Die IEC 62443-4-1 definiert die Anforderungen an den sicheren Entwicklungsprozess (Secure Product Development Lifecycle) und gliedert ihn in acht Praxisbereiche, von der Anforderungsdefinition bis zur Behandlung von Schwachstellen. Die IEC 62443-4-2 beschreibt dagegen technische Sicherheitsanforderungen an Komponenten. Beide Teile können im Rahmen der EN 50742 als Grundlage für den Konformitätsnachweis dienen.
Ob die EN 50742 rechtzeitig zum Geltungsbeginn der Maschinenverordnung im Januar 2027 als harmonisierte Norm im Amtsblatt der EU gelistet wird, steht derzeit noch nicht fest. Unabhängig davon bietet sie bereits jetzt eine belastbare Orientierung für die Umsetzung der Cybersecurity-Anforderungen.
Warum Hersteller jetzt handeln müssen
Der 20. Januar 2027 klingt nach ausreichend Zeit. Für die Einführung von Cybersecurity-Prozessen in der Produktentwicklung ist der Zeitrahmen allerdings knapp. Einen sicheren Entwicklungsprozess aufzubauen und in der technischen Dokumentation zu verankern braucht Vorlauf, vor allem dann, wenn diese Themen bisher nicht systematisch adressiert wurden.
Mehrere Gründe sprechen für einen frühen Start. Cybersecurity lässt sich nicht nachträglich auf ein fertiges Produkt aufsetzen, sondern muss von der Konzeptphase an mitgedacht werden, und das verlangt Methodik und Know-how im Entwicklungsteam. Hinzu kommt: Maschinen durchlaufen häufig lange Entwicklungszyklen. Produkte, die heute in der Konzeption stehen und 2027 oder später auf den Markt kommen sollen, müssen die neuen Anforderungen bereits berücksichtigen.
Die Maschinenverordnung ist zudem nicht die einzige europäische Regulierung, die Cybersecurity-Anforderungen an Produkte stellt. Der Cyber Resilience Act und die NIS-2-Richtlinie setzen weitere Anforderungen, die sich teils überschneiden und ergänzen. Wer jetzt eine solide Grundlage für seine Cybersecurity-Prozesse schafft, ist nicht nur für die Maschinenverordnung, sondern auch für das breitere regulatorische Umfeld vorbereitet. Wie sich Maschinenverordnung und Cyber Resilience Act im Detail verzahnen, ordnen wir gesondert unter CRA und Maschinenverordnung ein.
Was dieser Wandel für Produktverantwortliche bedeutet
Der Paradigmenwechsel durch die Maschinenverordnung betrifft nicht nur die Entwicklungsabteilung. Produktmanager müssen Cybersecurity als festen Bestandteil der Produktanforderungen verstehen. Die Risikobeurteilung, bisher primär eine Domäne der funktionalen Sicherheit, muss um die Dimension der digitalen Bedrohungen erweitert werden. Und die technische Dokumentation muss nachvollziehbar belegen, wie der Schutz vor Korrumpierung umgesetzt wurde.
Für Hersteller ohne strukturierte Cybersecurity-Prozesse in der Produktentwicklung ist das eine erhebliche Veränderung. Es geht nicht um ein einzelnes Feature oder eine zusätzliche Prüfung am Ende der Entwicklung, sondern um die Integration von Security in den gesamten Produktlebenszyklus.
Wer jetzt beginnt, ist 2027 vorbereitet
Die normative Grundlage für die Umsetzung nimmt mit der EN 50742 Gestalt an. Über deren IEC-62443-Pfad steht Herstellern ein etablierter und praxiserprobter Weg offen, um den geforderten Schutz vor Korrumpierung nachzuweisen.
Der entscheidende Punkt ist der Vorlauf. Einen sicheren Entwicklungsprozess aufzustellen geht nicht von heute auf morgen, und Maschinen mit langen Entwicklungszyklen müssen die Anforderungen schon in der Konzeption tragen. Wer jetzt damit beginnt, seinen Entwicklungsprozess aufzustellen, hat bis Januar 2027 den nötigen Spielraum und legt zugleich eine tragfähige Basis für das breitere europäische Produktrecht.
Kommentar hinzufügen