EU-Maschinenverordnung und Cyber Resilience Act: Was Hersteller wissen müssen

Im Juni 2023 wurde die neue Maschinenverordnung der Europäischen Union veröffentlicht: Die Verordnung (EU) 2023/1230 löst die bisherige Maschinenrichtlinie ab. Bis zum Inkrafttreten am 20. Januar 2027 haben die Hersteller und Betreiber von Maschinen sowie Anlagenbauer und Händler Zeit, sich auf die neue Verordnung vorzubereiten.

Wesentlicher Treiber für die neue Verordnung ist die Anpassung an den aktuellen Stand der Technik. Neuerungen der Maschinenverordnung sollen primär die aktuellen Anforderungen der Digitalisierung, funktionalen Sicherheit und selbstlernenden Systeme sowie der Cybersecurity berücksichtigen. Die neue Maschinenverordnung soll unter anderem auch den Aufwand für Hersteller und Betreiber verringern, indem sie zum Beispiel digitale Formate für die Betriebsanleitung ermöglicht. Wichtig jedoch zu beachten: Im Falle der Nutzung von digitalen Betriebsanleitungen gilt es, sicherzustellen, dass diese unter der angegebenen Domain auch etliche Jahre später auffindbar sind.

Gegenüber der aktuellen Maschinenrichtlinie sind die technischen Anforderungen in der EU-Maschinenverordnung gleichgeblieben. Aufgrund der allgegenwärtigen Bedrohungslage ist mit Blick auf die Sicherheit das Thema Schutz vor Korrumpierung durch Cyberangriffe hinzugekommen. Künftig muss sichergestellt sein, dass ein unsicherer Zustand in der Maschine nach einem erfolgreichen Cyberangriff verhindert wird. Des Weiteren muss die Maschine dokumentieren, wenn an ihren Sicherheitseinstellungen oder -programmen etwas geändert wurde.

In der EU-Maschinenverordnung gilt Software für Sicherheitsfunktionen künftig als eigenständiges Sicherheitsbauteil. Wird eine solche Software allein als Produkt auf den Markt gebracht, wird sie als Sicherheitsbaustein angesehen. In den meisten Fällen sind derzeit zum Beispiel Funktionsbibliotheken für programmierbare Steuerungen zusammen mit der jeweiligen Hardware geprüft und zertifiziert. Werden solche Bausteine aber beispielsweise durch Dritte separat angeboten, müssen sie mit einer Konformitätserklärung sowie CE-Kennzeichnung versehen werden.

Hinzugekommen ist auch ein neues Konformitätsbewertungsverfahren für Hochrisikomaschinen. Künftig wird bei ihnen zwischen zwei Subtypen (Typ A und Typ B) unterschieden, für die unterschiedliche Verfahren gelten. Für eine Typ-A-Maschine, dazu gehört auch Software mit KI, die Sicherheitsfunktionen durchführt, muss zwingend eine benannte Stelle hinzugezogen werden. Eine Typ-B-Maschine wird dagegen genauso gehandhabt wie bisher, wenn alle Anforderungen vollständig von harmonisierten Standards abgedeckt sind. Hier kann der Hersteller das Verfahren eigenständig durchführen.

Von großer Bedeutung beim Thema Security ist die Abgrenzung zwischen der EU-Maschinenverordnung (MVO) und dem Cyber Resilience Act (CRA). Bei beiden handelt es sich um EU-Harmonisierungsvorschriften, die beide eine CE-Kennzeichnung erfordern. Die Konformitätsbewertungsverfahren sind bei der MVO und dem CRA ähnlich.

Wichtig ist der Unterschied: Die MVO enthält vor allem Sicherheitsanforderungen, um gefährliche Situationen für Menschen oder Güter in der Nähe einer Maschine zu verhindern. Sie beinhaltet auch einen Security-Ansatz, sofern die Safety beeinflusst wird. Im Gegensatz dazu enthält der CRA ausschließlich Security- und keine Safety-Anforderungen.

Cybersecurity ist bei der MVO nur zur Gewährleistung der Funktionssicherheit (Schutz vor Manipulation) erforderlich. Der CRA enthält hingegen umfassende Sicherheitsanforderungen für alle digitalen Elemente, unabhängig von der physischen Sicherheit. Ein weiterer Unterschied besteht beim Aspekt Lebenszyklus. Während bei der MVO die Sicherheitsanforderungen in erster Linie für das Inverkehrbringen gelten, gehören zu jenen des CRA auch Aktualisierungen und Sicherheitspatches in der Folgezeit.

Bei der Bewertung von Sicherheitsrisiken liegt bei der MVO der Schwerpunkt auf Risiken für die physische Sicherheit der Nutzer (z. B. Unfälle). Der CRA hingegen konzentriert sich auf den Schutz vor Cyberangriffen und Daten- und Funktionsverlust. Mit Blick auf die Konformitätsbewertung erfordert die MVO Konformität mit harmonisierten Normen oder der Baumusterprüfung, der CRA Bewertungen der Cybersicherheit und Unterstützung von Sicherheitsmaßahmen. Die Produkttypen, für die die Anforderungen der MVO gelten, sind Industriemaschinen, Roboter sowie autonome Systeme (Safety by Design). Beim CRA ist der Anwendungsbereich größer und umfasst Produkte mit digitalen Elementen, Software, IoT und vernetzte Geräte (Security by Design).

Dies lässt sich an Beispielen aufzeigen. So besitzen sowohl MVO als auch CRA für eine komplette Maschine Gültigkeit, etwa eine CNC-Fräsmaschine, und ebenso für ein Sicherheitsbauteil wie eine Safety-SPS. Für eine Standalone-Software für Maschinen gilt allerdings nur der CRA und für eine Ständerbohrmaschine, wie man sie aus Werkstätten kennt, nur die MVO.

Für beide Verordnungen gibt es drei relevante Termine. Ab dem 11. September 2026 müssen Hersteller nach den Anforderungen des CRA eine im Feld aktiv ausgenutzte Schwachstelle in einer Maschine europäisch und national melden. Das bedeutet, dass betroffene Unternehmen jetzt schon ein entsprechendes Meldewesen in ihrer Organisation aufbauen müssen. Der zweite wichtige Termin ist die Stichtagsumstellung von der Maschinenrichtlinie auf die Maschinenverordnung am 20. Januar 2027. Ab dem 11. Dezember 2027 greifen dann die Anforderungen des CRA vollumfänglich, dieser wird ab diesem Zeitpunkt auch CE-relevant.

Wichtig zu wissen ist, dass es keinen Bestandsschutz gibt. Identische Komponenten, die zwischen 2026 und 2028 in Verkehr gebracht werden, müssen stets die Anforderungen der dann geltenden Richtlinie bzw. Verordnung erfüllen. Die gleiche Situation trifft auch auf Maschinen zu. Bauteile, die nicht mit der CRA oder MVO konform sind, können zwar verwendet werden. Gleichwohl muss die gesamte Maschine am Tag ihres Inverkehrbringens den Anforderungen entsprechen.

In einem ersten Schritt sollten Unternehmen:

• Die Anforderungen von MVO und CRA kennen.
• Ihr Produktportfolio betrachten und prüfen, welches Produkt von welchen Anforderungen betroffen ist.
• Die Risikomanagementprozesse aktualisieren bzw. neue Prozesse etablieren.

Empfohlen wird auch die Überarbeitung der technischen Dokumentation inklusive der Software Bill of Material (SBOM) zur Einhaltung des CRA. Betroffene Unternehmen sollten darüber hinaus einen Plan für die Cybersecurity-Unterstützung über die angenommenen Lebenszeiten ihrer Maschinen erstellen. Weitere Schritte bestehen darin, die Konformitätsbewertung für MVO und CRA vorzubereiten und das CE-Kennzeichnungsverfahren an den Stichtagen zu aktualisieren. Das geht einher mit der Umstellung der Dokumentation. Hilfreich sind funktionsübergreifende Teams mit gegenseitigem Verständnis für die Methoden und Anforderungen in den jeweiligen Bereichen.