Die EU-Maschinenverordnung 2023/1230 ersetzt ab dem 20. Januar 2027 die EU-Maschinenrichtlinie 2006/42/EG. Der wichtigste Unterschied: Hersteller müssen ihre Maschinen künftig gegen Cybergefahren schützen. Hier geht es vor allem um Cyberangriffe, aber auch um Ausfälle von Hardware und Software, gestörte Drahtlosverbindungen und Fehler in Funktionen für den autonomen Betrieb, die auf KI basieren.
Wer ist betroffen?
Die Maschinenverordnung nimmt in erster Linie die Hersteller von Maschinen in die Pflicht. Sie müssen sicherstellen, dass ihre Maschinen grundlegende Sicherheitsanforderungen erfüllen und Menschen nicht gefährden – und auch keine Haustiere, Sachen oder die Umwelt. Darüber hinaus stehen Händler und Importeure in der Verantwortung, keine Maschinen einzuführen und zu verkaufen, die den Vorgaben der Verordnung nicht entsprechen. Nehmen sie oder die Betreiber von Maschinen jedoch Änderungen vor, die sich auf die Sicherheit auswirken können, gelten sie als Hersteller mit allen damit verbundenen Pflichten.
Wie viel Zeit bleibt?
Die meisten Vorgaben müssen ab dem 20. Januar 2027 erfüllt werden. Das mag sich nach viel Zeit anhören, doch da ab diesem Stichtag in der EU keine Maschinen mehr in Verkehr gebracht werden dürfen, die der Verordnung nicht entsprechen, drängt die Zeit. Schließlich sind die Entwicklungszyklen für Maschinen lang und die Umsetzung der Anforderungen ist mit einem gewissen Aufwand verbunden. Hersteller müssen Risikobewertungen vornehmen, Verantwortlichkeiten klären, Prozesse anpassen und neue technische Lösungen einführen. Solche Veränderungen brauchen Zeit.
Was sind die neuen Anforderungen?
Die wichtigsten Neuerungen finden sich im Anhang III in den Abschnitten 1.1.9 (Schutz gegen Korrumpierung) und 1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungen). Sie verpflichten Hersteller, ihre Maschinen so zu konzipieren, dass es durch die Verbindung zu anderen Geräten und Netzwerken nicht zu gefährlichen Situationen kommt. Die entsprechenden Hardware-Komponenten müssen ebenso wie die Software und Daten der Maschine, die für den sicheren Betrieb notwendig sind, geschützt werden. Alle Veränderungen an der Software oder der Konfiguration sind zu protokollieren.
Darüber hinaus müssen die Steuerungen für Maschinen so beschaffen sein, dass Fremdeinflüsse wie Cyberangriffe, aber auch Hardware- und Software-Defekte, ausgefallene oder gestörte Drahtlosverbindungen sowie Bedienfehler und Fehler in der Steuerungslogik nicht zu Gefährdungssituationen führen. Explizit macht die Maschinenverordnung zudem Vorgaben für den vollständig oder teilweise autonomen Betrieb durch KI – in der Verordnung selbstentwickelndes Verhalten beziehungsweise selbstentwickelnde Logik genannt. Entsprechende Systeme dürfen Maschinen beispielsweise nicht unbeaufsichtigt in Gang setzen und müssen Änderungen an Parametern und Regeln verhindern, wenn dadurch Gefährdungssituationen entstehen. Zudem müssen Daten über sicherheitsrelevante Entscheidungsprozesse aufgezeichnet werden und die KI-Steuerung jederzeit aktualisierbar sein, um Sicherheitsmängel zu korrigieren.
KI-Systemen bescheinigt die Verordnung ein höheres Risiko, weil etwa durch Autonomie und fehlende Transparenz die Wahrscheinlichkeit und Schwere von Schäden steigen kann. Sie zählen daher zu den Maschinen, deren Konformitätsbewertung durch eine unabhängige Prüfstelle durchgeführt werden muss.
Hersteller müssen alle Risikobewertungen und Sicherheitsmaßnahmen als Nachweis für die Konformität ihrer Maschinen zur Verordnung dokumentieren. Stellen sie fest, dass Maschinen die Anforderungen nicht mehr erfüllen, verlangt die Verordnung unverzüglich Maßnahmen, um die Konformität wieder herzustellen – oder die Maschine vom Mark zu nehmen beziehungsweise zurückzurufen. Auch die zuständigen Behörden sind unverzüglich über alle Gefahren und die eingeleiteten Korrekturmaßnahmen zu informieren.
Abgesehen von diesen strengen Pflichten gibt es auch einige Punkte, in denen die Maschinenverordnung die Anforderungen etwas lockert: So dürfen Betriebsanleitungen und Konformitätserklärungen künftig auch digital bereitgestellt werden. Sie müssen während der gesamten Lebensdauer der Maschine, mindestens jedoch zehn Jahre online verfügbar sein. Zudem muss der Hersteller sie dem Käufer auf Wunsch kostenlos auf Papier zukommen lassen.
Wo liegen die Herausforderungen?
Neben den knappen Fristen sind es vor allem die strengen Anforderungen, die Hersteller vor Herausforderungen stellen. Denn diese sind mit zahlreichen technischen und organisatorischen Veränderungen verbunden, die viel Know-how und Erfahrung im Bereich Cybersecurity erfordern – nicht immer ist beides in Entwicklungsabteilungen in ausreichendem Maße vorhanden. Häufig fehlt es an personellen Kapazitäten, Zeit und Budgets.
Hinzu kommt, dass Hersteller nicht nur die Maschinenverordnung umsetzen müssen. Je nach Branche und Produkt sind weitere neue Cybersecurity-Regularien relevant, etwa NIS 2 und Cyber Resilience Act (CRA). Diese definieren eigene, wenn auch teilweise ähnliche Sicherheitsanforderungen und Meldefristen. Damit wird Cybersecurity zu einem strategischen Thema für die Hersteller von Maschinen, das sie koordiniert angehen sollten, um nicht in mehreren Projekten parallel an denselben Sicherheitsthemen zu arbeiten.
Zugleich bietet die Umsetzung der Sicherheitsanforderungen auch Chancen, denn Hersteller helfen ihren Kunden mit sicheren Maschinen bei der Umsetzung eigener Compliance-Vorgaben. Und einige der neuen Prozesse lassen sich durchaus für neue digitale Services nutzen – die Aktualisierungsmechanismen zum Einspielen von Sicherheitsupdates und Patches beispielsweise für funktionale Updates und entsprechende Abo-Modelle. Unabhängig davon ist der Zeitpunkt günstig: Viele Hersteller erweitern ihre Maschinen um digitale Komponenten und Services, sodass Cybersecurity von Anfang an mit berücksichtigt werden kann. Das ist erfahrungsgemäß deutlich einfacher und kostengünstiger, als Sicherheit später nachzurüsten.
Wie kann NTT DATA helfen?
NTT DATA unterstützt mit spezialisierten Teams bei der Umsetzung der EU-Maschinenverordnung – von Risikobewertungen und Gap-Analysen über die Empfehlung und Implementierung geeigneter technischer und organisatorischer Maßnahmen bis hin zum zuverlässigen Betrieb der notwendigen Sicherheitslösungen. Dabei orientiert sich NTT DATA an etablierten Normen und Frameworks wie ISO 27005 für das Risikomanagement und IEC 62443 für den Schutz von Systemen und Netzen. Mit tiefgehender Branchenkenntnis und umfangreicher Erfahrung in IT-, OT-, Cybersecurity- und Compliance-Projekten kann NTT DATA individuell beraten und maßgeschneiderte Lösungen liefern, die wirksam und effizient sind. Hersteller von Maschinen erhalten alles aus einer Hand und können sich auf eine langfristige Unterstützung verlassen.
Bei Fragen zur EU-Maschinenverordnung, der konkreten Umsetzung in Ihrem Unternehmen oder den Services von NTT DATA kontaktieren Sie uns gerne.