Cybersecurity in der Maschinenverordnung: MVO und Cyber Resilience Act
Die Maschinenverordnung (EU) 2023/1230 macht Cybersecurity erstmals zum Teil der Maschinensicherheit: Sicherheitsrelevante Steuerungen müssen gegen Korrumpierung geschützt sein, und Manipulationen dürfen nicht zu gefährlichen Situationen führen. Parallel bringt der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Dieser Beitrag zeigt, was beide Regelwerke fordern und wie sie zusammenspielen.
Kostenloses Erstgespräch, 30 Minuten. Stichtag Maschinenverordnung: noch 0 Tage bis zum 20. Januar 2027.
Die Maschinenverordnung (EU) 2023/1230 verlangt, dass sicherheitsrelevante Steuerungen gegen unbeabsichtigte und beabsichtigte Korrumpierung geschützt sind. Der Hersteller muss nachweisen, dass Manipulation, Störung oder ein Softwarefehler nicht zu einer gefährlichen Situation führen. Cybersecurity wird damit Teil der Risikobeurteilung und der Konformitätsbewertung. Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ergänzt das um horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Beide Regelwerke können sich überschneiden, die MVO betrachtet Cybersecurity aus Sicht der Maschinensicherheit, der CRA aus Sicht der Produktcybersicherheit. Ziel ist, Doppelregulierung zu vermeiden.
Rechtsgrundlage: Maschinenverordnung (EU) 2023/1230 (ab 20.01.2027), Cyber Resilience Act (EU) 2024/2847. Angaben nach bestem Wissen, im Zweifel fachliche Prüfung.Was die Maschinenverordnung zu Cybersecurity verlangt
Die MVO trennt nicht mehr zwischen klassischer Sicherheit und dem Schutz vor Manipulation. Beides gehört zur Maschinensicherheit.
Die Maschinenverordnung (EU) 2023/1230 nimmt Cybersecurity in die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen auf. Der Kern ist der Schutz sicherheitsrelevanter Steuerungen gegen Korrumpierung. Anders als in der alten Maschinenrichtlinie 2006/42/EG wird der bewusste, böswillige Eingriff jetzt ausdrücklich mitgedacht. Für Maschinenhersteller ergeben sich daraus mehrere konkrete Pflichten:
- Schutz gegen unbeabsichtigte und beabsichtigte Korrumpierung: Sicherheitsbezogene Steuerungen müssen so ausgelegt sein, dass weder ein zufälliger Fehler noch ein gezielter Angriff ihre Schutzfunktion aushebeln kann.
- Nachweis der Beherrschung: Der Hersteller muss belegen, dass eine Manipulation oder Störung der Steuerung nicht zu einer gefährlichen Situation führt. Das gehört in die Risikobeurteilung und die technische Dokumentation.
- Protokollierung von Eingriffen: Eingriffe in sicherheitsrelevante Software oder Parameter sollen nachvollziehbar sein, damit unzulässige Änderungen erkannt werden können.
- Sichere Software und Updates: Software und deren Aktualisierungen dürfen die Sicherheit der Maschine nicht beeinträchtigen. Auch nach einem Update muss das ursprüngliche Sicherheitsniveau erhalten bleiben.
Damit wird Cybersecurity Teil der Konformitätsbewertung. Wer die Konformität seiner Maschine erklärt, erklärt zugleich, dass die sicherheitsrelevante Steuerung ausreichend gegen Korrumpierung geschützt ist. Die Bewertung dieser Aspekte gehört in dieselbe Risikobeurteilung wie mechanische, elektrische oder thermische Gefährdungen.
Der CRA: Cybersicherheit für Produkte mit digitalen Elementen
Der CRA ist keine Maschinenvorschrift, sondern ein horizontales Cybersicherheitsrecht. Er betrifft Maschinen dort, wo sie digitale Elemente enthalten.
Was der CRA regelt
Der Cyber Resilience Act, offiziell Verordnung (EU) 2024/2847, legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Darunter fallen Hardware und Software, die mit einem Gerät oder Netz verbunden werden können. Hersteller müssen Cybersicherheit über den gesamten Lebenszyklus berücksichtigen, von der Entwicklung über die Bereitstellung von Updates bis zum Umgang mit bekannt gewordenen Schwachstellen.
Zeitschiene
Der CRA ist bereits in Kraft, seine Pflichten greifen jedoch gestaffelt. Die wesentlichen Herstellerpflichten werden nach einer Übergangszeit wirksam, im Kern im Jahr 2027, einzelne Melde- und Berichtspflichten früher. Die genauen Fristen sollten Sie im Einzelfall anhand des aktuellen Verordnungstextes prüfen, da hier die Rechtsentwicklung noch läuft. Wichtig ist die zeitliche Nähe zur Maschinenverordnung: Beide entfalten ihre Hauptwirkung in einem ähnlichen Zeitraum.
Verhältnis zur MVO
MVO und CRA können sich bei vernetzten Maschinen überschneiden. Der europäische Gesetzgeber will Doppelregulierung vermeiden. In der Praxis heißt das: Wo eine Maschine bereits nach der MVO auf den Schutz ihrer sicherheitsrelevanten Steuerung geprüft wird, sollen sich die Anforderungen ergänzen statt doppeln. Die MVO betrachtet Cybersecurity mit Blick auf die Sicherheit von Personen, der CRA mit Blick auf die Cybersicherheit des Produkts an sich. Für Maschinenhersteller ist es sinnvoll, beide Perspektiven in einem gemeinsamen Vorgehen zu bündeln.
Was das für Maschinenhersteller bedeutet
Cybersecurity wird zur Konstruktionsaufgabe. Sie lässt sich nicht nachträglich aufsetzen, sondern muss von Anfang an mitgedacht werden.
Für Hersteller von Maschinen mit vernetzter oder softwaregestützter Steuerung ergeben sich aus MVO und CRA zusammengenommen einige Handlungsfelder. Sie decken sich mit gutem Engineering, werden aber nun rechtlich eingefordert:
- Sicherheit von Beginn an: Schutzmaßnahmen gegen Manipulation gehören in die Konstruktion der Steuerung, nicht in eine nachträgliche Ergänzung. Zugriffe werden auf das Nötige beschränkt, Schnittstellen bewusst abgesichert.
- Bedrohungsanalyse: Neben der klassischen Gefährdungsanalyse wird ermittelt, welche Angriffs- und Manipulationsszenarien die sicherheitsrelevante Steuerung treffen können und welche Folgen sie hätten.
- Sichere Updates: Software-Aktualisierungen müssen so gestaltet sein, dass sie das Sicherheitsniveau erhalten und nicht selbst zum Einfallstor werden. Herkunft und Integrität der Updates sollten überprüfbar sein.
- Dokumentation der Sicherheitsmaßnahmen: Die getroffenen Schutzmaßnahmen und ihre Wirkung gehören nachvollziehbar in die technische Dokumentation, damit sie im Rahmen der Konformitätsbewertung belegbar sind.
- Zusammenspiel von Safety und Security: Sicherheitsfunktionen und Schutz vor Manipulation werden gemeinsam betrachtet, weil eine kompromittierte Steuerung eine Sicherheitsfunktion aushebeln kann.
Der praktische Hebel liegt darin, Cybersecurity in die vorhandenen Prozesse der Risikobeurteilung und der technischen Dokumentation zu integrieren, statt eine getrennte Parallelwelt aufzubauen.
MVO und CRA im Vergleich
Zwei Verordnungen, zwei Blickwinkel auf dasselbe Ziel: eine Maschine, deren Steuerung sich nicht gefährlich manipulieren lässt.
| Thema | MVO 2023/1230 | CRA (EU) 2024/2847 |
|---|---|---|
| Blickrichtung | Sicherheit von Personen (Maschinensicherheit) | Cybersicherheit des Produkts mit digitalen Elementen |
| Gegenstand | Maschinen und zugehörige Produkte | Produkte mit digitalen Elementen (Hardware und Software) |
| Kernforderung | Schutz sicherheitsrelevanter Steuerungen gegen Korrumpierung | Cybersicherheit über den gesamten Lebenszyklus |
| Updates | Software und Updates dürfen die Sicherheit nicht beeinträchtigen | Bereitstellung sicherer Updates und Umgang mit Schwachstellen |
| Nachweis | Teil der Risikobeurteilung und Konformitätsbewertung | Teil der Konformitätsbewertung nach CRA |
| Geltung | Ab 20. Januar 2027, ohne Übergangsfrist | Gestaffelt, wesentliche Pflichten im Kern ab 2027 |
Übersicht nach bestem Wissen, ohne Anspruch auf abschließende Vollständigkeit. Die genaue Anwendbarkeit hängt vom Einzelfall und dem aktuellen Verordnungsstand ab.
Safety und Security: getrennte Begriffe, gemeinsame Betrachtung
Safety meint den Schutz von Menschen und Umwelt vor Gefahren, die von der Maschine ausgehen, etwa vor beweglichen Teilen, Energie oder Fehlfunktionen. Security meint den Schutz der Maschine und ihrer Steuerung vor unbefugten Eingriffen, Manipulation und Angriffen von außen. Klassisch wurden beide Disziplinen getrennt behandelt, mit eigenen Normen und eigenen Fachleuten.
Mit der MVO rücken sie zusammen. Der Grund ist einfach: Eine sicherheitsrelevante Steuerung, die manipuliert werden kann, ist keine sichere Steuerung mehr. Wenn ein Angreifer eine Schutzfunktion abschaltet oder Parameter verändert, entsteht aus einem Security-Problem unmittelbar ein Safety-Problem. Deshalb verlangt die MVO, den Schutz vor Korrumpierung dort zu bewerten, wo die Sicherheit der Maschine bewertet wird: in der Risikobeurteilung.
Praktisch bedeutet das, dass die Bedrohungsanalyse und die klassische Gefährdungsanalyse verzahnt werden. Für jede sicherheitsrelevante Funktion wird nicht nur gefragt, was bei einem zufälligen Fehler passiert, sondern auch, was bei einem gezielten Eingriff geschieht und wie sich beides beherrschen lässt. So entsteht eine gemeinsame Betrachtung von Safety und Security in einem Dokument statt in zwei getrennten Welten.
Vernetzte oder softwaregestützte Steuerung im Einsatz? Dann gehört Cybersecurity in Ihre Risikobeurteilung. Wir ordnen das im Erstgespräch ein.
Zur Risikobeurteilung →Cybersecurity-Anforderungen der MVO umsetzen
Knutec bringt Safety und Security in einer Risikobeurteilung zusammen, damit Ihre Maschine 2027 konform und prüfsicher bleibt.
Als Ingenieurdienstleister für die Umstellung auf die Maschinenverordnung integrieren wir den Schutz vor Korrumpierung in Ihre bestehende CE-Dokumentation. Das umfasst:
- Bedrohungs- und Gefährdungsanalyse für sicherheitsrelevante Steuerungen in einer gemeinsamen Risikobeurteilung nach EN ISO 12100
- Bewertung der Anforderungen aus MVO 2023/1230 und, wo relevant, der Berührungspunkte zum CRA
- Dokumentation der Sicherheitsmaßnahmen für die Konformitätsbewertung
- Einordnung im Rahmen unserer MVO-Lückenanalyse mit Ergebnisbericht in fünf Werktagen zum Festpreis
Mit über 15 Jahren Erfahrung im Maschinenbau, als Certified Machinery Safety Expert (CMSE) und mit Fokus auf Intralogistik, Fördertechnik und Sondermaschinenbau ordnen wir die Anforderungen praxisnah ein, statt Sie mit Rechtstheorie allein zu lassen.
Häufige Fragen zu MVO, Cybersecurity und CRA
Was fordert die Maschinenverordnung zu Cybersecurity?
Was ist der Cyber Resilience Act (CRA)?
Wie spielen MVO und CRA zusammen?
Ab wann gelten die Cybersecurity-Pflichten?
Was bedeutet Schutz vor Korrumpierung?
Was ist der Unterschied zwischen Safety und Security?
Muss Cybersecurity in die Risikobeurteilung?
Was müssen Maschinenhersteller bei Updates beachten?
Betrifft der CRA auch klassische Maschinen ohne Vernetzung?
Wie hilft Knutec bei den Cybersecurity-Anforderungen?
Passende Themen bei Knutec
Cybersecurity gehört in Ihre CE-Dokumentation
Die MVO macht den Schutz vor Korrumpierung ab 2027 zur Pflicht, und der CRA verstärkt das Thema. Wir bringen Safety und Security in einer prüfsicheren Risikobeurteilung zusammen. Starten Sie mit einem kostenlosen Erstgespräch.
Antwort in der Regel innerhalb eines Werktags. Angaben zur Rechtslage nach bestem Wissen, im Zweifel empfehlen wir eine fachliche Prüfung des Einzelfalls.