Know-how · MVO & Cybersecurity

Cybersecurity in der Maschinenverordnung: MVO und Cyber Resilience Act

Die Maschinenverordnung (EU) 2023/1230 macht Cybersecurity erstmals zum Teil der Maschinensicherheit: Sicherheitsrelevante Steuerungen müssen gegen Korrumpierung geschützt sein, und Manipulationen dürfen nicht zu gefährlichen Situationen führen. Parallel bringt der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Dieser Beitrag zeigt, was beide Regelwerke fordern und wie sie zusammenspielen.

Kostenloses Erstgespräch, 30 Minuten. Stichtag Maschinenverordnung: noch 0 Tage bis zum 20. Januar 2027.

Was fordert die MVO zu Cybersecurity und wie hängt sie mit dem CRA zusammen?

Die Maschinenverordnung (EU) 2023/1230 verlangt, dass sicherheitsrelevante Steuerungen gegen unbeabsichtigte und beabsichtigte Korrumpierung geschützt sind. Der Hersteller muss nachweisen, dass Manipulation, Störung oder ein Softwarefehler nicht zu einer gefährlichen Situation führen. Cybersecurity wird damit Teil der Risikobeurteilung und der Konformitätsbewertung. Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) ergänzt das um horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Beide Regelwerke können sich überschneiden, die MVO betrachtet Cybersecurity aus Sicht der Maschinensicherheit, der CRA aus Sicht der Produktcybersicherheit. Ziel ist, Doppelregulierung zu vermeiden.

Rechtsgrundlage: Maschinenverordnung (EU) 2023/1230 (ab 20.01.2027), Cyber Resilience Act (EU) 2024/2847. Angaben nach bestem Wissen, im Zweifel fachliche Prüfung.
MVO-Anforderungen

Was die Maschinenverordnung zu Cybersecurity verlangt

Die MVO trennt nicht mehr zwischen klassischer Sicherheit und dem Schutz vor Manipulation. Beides gehört zur Maschinensicherheit.

Die Maschinenverordnung (EU) 2023/1230 nimmt Cybersecurity in die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen auf. Der Kern ist der Schutz sicherheitsrelevanter Steuerungen gegen Korrumpierung. Anders als in der alten Maschinenrichtlinie 2006/42/EG wird der bewusste, böswillige Eingriff jetzt ausdrücklich mitgedacht. Für Maschinenhersteller ergeben sich daraus mehrere konkrete Pflichten:

  • Schutz gegen unbeabsichtigte und beabsichtigte Korrumpierung: Sicherheitsbezogene Steuerungen müssen so ausgelegt sein, dass weder ein zufälliger Fehler noch ein gezielter Angriff ihre Schutzfunktion aushebeln kann.
  • Nachweis der Beherrschung: Der Hersteller muss belegen, dass eine Manipulation oder Störung der Steuerung nicht zu einer gefährlichen Situation führt. Das gehört in die Risikobeurteilung und die technische Dokumentation.
  • Protokollierung von Eingriffen: Eingriffe in sicherheitsrelevante Software oder Parameter sollen nachvollziehbar sein, damit unzulässige Änderungen erkannt werden können.
  • Sichere Software und Updates: Software und deren Aktualisierungen dürfen die Sicherheit der Maschine nicht beeinträchtigen. Auch nach einem Update muss das ursprüngliche Sicherheitsniveau erhalten bleiben.

Damit wird Cybersecurity Teil der Konformitätsbewertung. Wer die Konformität seiner Maschine erklärt, erklärt zugleich, dass die sicherheitsrelevante Steuerung ausreichend gegen Korrumpierung geschützt ist. Die Bewertung dieser Aspekte gehört in dieselbe Risikobeurteilung wie mechanische, elektrische oder thermische Gefährdungen.

Cyber Resilience Act

Der CRA: Cybersicherheit für Produkte mit digitalen Elementen

Der CRA ist keine Maschinenvorschrift, sondern ein horizontales Cybersicherheitsrecht. Er betrifft Maschinen dort, wo sie digitale Elemente enthalten.

Was der CRA regelt

Der Cyber Resilience Act, offiziell Verordnung (EU) 2024/2847, legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Darunter fallen Hardware und Software, die mit einem Gerät oder Netz verbunden werden können. Hersteller müssen Cybersicherheit über den gesamten Lebenszyklus berücksichtigen, von der Entwicklung über die Bereitstellung von Updates bis zum Umgang mit bekannt gewordenen Schwachstellen.

Zeitschiene

Der CRA ist bereits in Kraft, seine Pflichten greifen jedoch gestaffelt. Die wesentlichen Herstellerpflichten werden nach einer Übergangszeit wirksam, im Kern im Jahr 2027, einzelne Melde- und Berichtspflichten früher. Die genauen Fristen sollten Sie im Einzelfall anhand des aktuellen Verordnungstextes prüfen, da hier die Rechtsentwicklung noch läuft. Wichtig ist die zeitliche Nähe zur Maschinenverordnung: Beide entfalten ihre Hauptwirkung in einem ähnlichen Zeitraum.

Verhältnis zur MVO

MVO und CRA können sich bei vernetzten Maschinen überschneiden. Der europäische Gesetzgeber will Doppelregulierung vermeiden. In der Praxis heißt das: Wo eine Maschine bereits nach der MVO auf den Schutz ihrer sicherheitsrelevanten Steuerung geprüft wird, sollen sich die Anforderungen ergänzen statt doppeln. Die MVO betrachtet Cybersecurity mit Blick auf die Sicherheit von Personen, der CRA mit Blick auf die Cybersicherheit des Produkts an sich. Für Maschinenhersteller ist es sinnvoll, beide Perspektiven in einem gemeinsamen Vorgehen zu bündeln.

Für die Praxis

Was das für Maschinenhersteller bedeutet

Cybersecurity wird zur Konstruktionsaufgabe. Sie lässt sich nicht nachträglich aufsetzen, sondern muss von Anfang an mitgedacht werden.

Für Hersteller von Maschinen mit vernetzter oder softwaregestützter Steuerung ergeben sich aus MVO und CRA zusammengenommen einige Handlungsfelder. Sie decken sich mit gutem Engineering, werden aber nun rechtlich eingefordert:

  • Sicherheit von Beginn an: Schutzmaßnahmen gegen Manipulation gehören in die Konstruktion der Steuerung, nicht in eine nachträgliche Ergänzung. Zugriffe werden auf das Nötige beschränkt, Schnittstellen bewusst abgesichert.
  • Bedrohungsanalyse: Neben der klassischen Gefährdungsanalyse wird ermittelt, welche Angriffs- und Manipulationsszenarien die sicherheitsrelevante Steuerung treffen können und welche Folgen sie hätten.
  • Sichere Updates: Software-Aktualisierungen müssen so gestaltet sein, dass sie das Sicherheitsniveau erhalten und nicht selbst zum Einfallstor werden. Herkunft und Integrität der Updates sollten überprüfbar sein.
  • Dokumentation der Sicherheitsmaßnahmen: Die getroffenen Schutzmaßnahmen und ihre Wirkung gehören nachvollziehbar in die technische Dokumentation, damit sie im Rahmen der Konformitätsbewertung belegbar sind.
  • Zusammenspiel von Safety und Security: Sicherheitsfunktionen und Schutz vor Manipulation werden gemeinsam betrachtet, weil eine kompromittierte Steuerung eine Sicherheitsfunktion aushebeln kann.

Der praktische Hebel liegt darin, Cybersecurity in die vorhandenen Prozesse der Risikobeurteilung und der technischen Dokumentation zu integrieren, statt eine getrennte Parallelwelt aufzubauen.

Gegenüberstellung

MVO und CRA im Vergleich

Zwei Verordnungen, zwei Blickwinkel auf dasselbe Ziel: eine Maschine, deren Steuerung sich nicht gefährlich manipulieren lässt.

Thema MVO 2023/1230 CRA (EU) 2024/2847
Blickrichtung Sicherheit von Personen (Maschinensicherheit) Cybersicherheit des Produkts mit digitalen Elementen
Gegenstand Maschinen und zugehörige Produkte Produkte mit digitalen Elementen (Hardware und Software)
Kernforderung Schutz sicherheitsrelevanter Steuerungen gegen Korrumpierung Cybersicherheit über den gesamten Lebenszyklus
Updates Software und Updates dürfen die Sicherheit nicht beeinträchtigen Bereitstellung sicherer Updates und Umgang mit Schwachstellen
Nachweis Teil der Risikobeurteilung und Konformitätsbewertung Teil der Konformitätsbewertung nach CRA
Geltung Ab 20. Januar 2027, ohne Übergangsfrist Gestaffelt, wesentliche Pflichten im Kern ab 2027

Übersicht nach bestem Wissen, ohne Anspruch auf abschließende Vollständigkeit. Die genaue Anwendbarkeit hängt vom Einzelfall und dem aktuellen Verordnungsstand ab.

Abgrenzung

Safety und Security: getrennte Begriffe, gemeinsame Betrachtung

Safety meint den Schutz von Menschen und Umwelt vor Gefahren, die von der Maschine ausgehen, etwa vor beweglichen Teilen, Energie oder Fehlfunktionen. Security meint den Schutz der Maschine und ihrer Steuerung vor unbefugten Eingriffen, Manipulation und Angriffen von außen. Klassisch wurden beide Disziplinen getrennt behandelt, mit eigenen Normen und eigenen Fachleuten.

Mit der MVO rücken sie zusammen. Der Grund ist einfach: Eine sicherheitsrelevante Steuerung, die manipuliert werden kann, ist keine sichere Steuerung mehr. Wenn ein Angreifer eine Schutzfunktion abschaltet oder Parameter verändert, entsteht aus einem Security-Problem unmittelbar ein Safety-Problem. Deshalb verlangt die MVO, den Schutz vor Korrumpierung dort zu bewerten, wo die Sicherheit der Maschine bewertet wird: in der Risikobeurteilung.

Praktisch bedeutet das, dass die Bedrohungsanalyse und die klassische Gefährdungsanalyse verzahnt werden. Für jede sicherheitsrelevante Funktion wird nicht nur gefragt, was bei einem zufälligen Fehler passiert, sondern auch, was bei einem gezielten Eingriff geschieht und wie sich beides beherrschen lässt. So entsteht eine gemeinsame Betrachtung von Safety und Security in einem Dokument statt in zwei getrennten Welten.

Vernetzte oder softwaregestützte Steuerung im Einsatz? Dann gehört Cybersecurity in Ihre Risikobeurteilung. Wir ordnen das im Erstgespräch ein.

Zur Risikobeurteilung →
Dienstleistung

Cybersecurity-Anforderungen der MVO umsetzen

Knutec bringt Safety und Security in einer Risikobeurteilung zusammen, damit Ihre Maschine 2027 konform und prüfsicher bleibt.

Als Ingenieurdienstleister für die Umstellung auf die Maschinenverordnung integrieren wir den Schutz vor Korrumpierung in Ihre bestehende CE-Dokumentation. Das umfasst:

  • Bedrohungs- und Gefährdungsanalyse für sicherheitsrelevante Steuerungen in einer gemeinsamen Risikobeurteilung nach EN ISO 12100
  • Bewertung der Anforderungen aus MVO 2023/1230 und, wo relevant, der Berührungspunkte zum CRA
  • Dokumentation der Sicherheitsmaßnahmen für die Konformitätsbewertung
  • Einordnung im Rahmen unserer MVO-Lückenanalyse mit Ergebnisbericht in fünf Werktagen zum Festpreis

Mit über 15 Jahren Erfahrung im Maschinenbau, als Certified Machinery Safety Expert (CMSE) und mit Fokus auf Intralogistik, Fördertechnik und Sondermaschinenbau ordnen wir die Anforderungen praxisnah ein, statt Sie mit Rechtstheorie allein zu lassen.

FAQ

Häufige Fragen zu MVO, Cybersecurity und CRA

Was fordert die Maschinenverordnung zu Cybersecurity?
Die Maschinenverordnung (EU) 2023/1230 verlangt, dass sicherheitsrelevante Steuerungen gegen unbeabsichtigte und beabsichtigte Korrumpierung geschützt sind. Der Hersteller muss nachweisen, dass eine Manipulation, Störung oder ein Softwarefehler nicht zu einer gefährlichen Situation führt. Zudem dürfen Software und Updates die Sicherheit nicht beeinträchtigen, und Eingriffe sollen nachvollziehbar sein. Cybersecurity wird damit Teil der Risikobeurteilung und der Konformitätsbewertung.
Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act ist die Verordnung (EU) 2024/2847. Er legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, also für Hardware und Software, die mit einem Gerät oder Netz verbunden werden können. Hersteller müssen Cybersicherheit über den gesamten Lebenszyklus berücksichtigen, sichere Updates bereitstellen und mit bekannt gewordenen Schwachstellen umgehen.
Wie spielen MVO und CRA zusammen?
MVO und CRA können sich bei vernetzten Maschinen überschneiden. Die MVO betrachtet Cybersecurity mit Blick auf die Sicherheit von Personen, der CRA mit Blick auf die Cybersicherheit des Produkts. Der europäische Gesetzgeber will Doppelregulierung vermeiden, daher sollen sich die Anforderungen ergänzen statt doppeln. Für Maschinenhersteller ist es sinnvoll, beide Perspektiven in einem gemeinsamen Vorgehen zu bündeln.
Ab wann gelten die Cybersecurity-Pflichten?
Die Maschinenverordnung gilt ab dem 20. Januar 2027 ohne Übergangsfrist, damit auch ihre Cybersecurity-Anforderungen. Der CRA ist bereits in Kraft, seine wesentlichen Herstellerpflichten greifen gestaffelt, im Kern im Jahr 2027, einzelne Melde- und Berichtspflichten früher. Die genauen Fristen sollten anhand des aktuellen Verordnungstextes geprüft werden, da die Rechtsentwicklung noch läuft.
Was bedeutet Schutz vor Korrumpierung?
Korrumpierung meint das Verfälschen oder Aushebeln einer sicherheitsrelevanten Steuerung, sei es durch einen zufälligen Fehler oder einen gezielten Eingriff. Schutz vor Korrumpierung bedeutet, die Steuerung so auszulegen, dass ihre Schutzfunktion auch dann erhalten bleibt, wenn jemand versucht, sie zu manipulieren, und dass ein solcher Eingriff nicht zu einer gefährlichen Situation führt.
Was ist der Unterschied zwischen Safety und Security?
Safety meint den Schutz von Menschen und Umwelt vor Gefahren, die von der Maschine ausgehen. Security meint den Schutz der Maschine und ihrer Steuerung vor unbefugten Eingriffen und Angriffen. Beide rücken mit der MVO zusammen, weil eine manipulierbare Steuerung keine sichere Steuerung mehr ist. Aus einem Security-Problem kann unmittelbar ein Safety-Problem werden, deshalb werden beide gemeinsam in der Risikobeurteilung betrachtet.
Muss Cybersecurity in die Risikobeurteilung?
Ja. Die MVO verlangt, den Schutz sicherheitsrelevanter Steuerungen gegen Korrumpierung dort zu bewerten, wo die übrige Sicherheit der Maschine bewertet wird. Bedrohungsanalyse und klassische Gefährdungsanalyse werden dazu verzahnt. Für jede sicherheitsrelevante Funktion wird nicht nur gefragt, was bei einem zufälligen Fehler passiert, sondern auch, was bei einem gezielten Eingriff geschieht und wie sich das beherrschen lässt.
Was müssen Maschinenhersteller bei Updates beachten?
Software und deren Aktualisierungen dürfen die Sicherheit der Maschine nicht beeinträchtigen. Auch nach einem Update muss das ursprüngliche Sicherheitsniveau erhalten bleiben. Updates sollten so gestaltet sein, dass ihre Herkunft und Integrität überprüfbar sind und sie nicht selbst zum Einfallstor werden. Der CRA verlangt zusätzlich einen strukturierten Umgang mit bekannt gewordenen Schwachstellen.
Betrifft der CRA auch klassische Maschinen ohne Vernetzung?
Der CRA betrifft Produkte mit digitalen Elementen. Eine rein mechanische Maschine ohne Software oder Vernetzung fällt in der Regel nicht in seinen Anwendungsbereich. Sobald eine Maschine jedoch programmierbare Steuerungen, Software oder Netzwerkschnittstellen enthält, kann der CRA relevant werden. Die genaue Einordnung hängt vom Einzelfall ab und sollte fachlich geprüft werden.
Wie hilft Knutec bei den Cybersecurity-Anforderungen?
Knutec integriert den Schutz vor Korrumpierung in Ihre bestehende CE-Dokumentation. Wir führen eine gemeinsame Bedrohungs- und Gefährdungsanalyse für sicherheitsrelevante Steuerungen durch, bewerten die Anforderungen aus MVO und die relevanten Berührungspunkte zum CRA und dokumentieren die Sicherheitsmaßnahmen für die Konformitätsbewertung. Ein Einstieg ist die MVO-Lückenanalyse mit Ergebnisbericht in fünf Werktagen zum Festpreis.

Cybersecurity gehört in Ihre CE-Dokumentation

Die MVO macht den Schutz vor Korrumpierung ab 2027 zur Pflicht, und der CRA verstärkt das Thema. Wir bringen Safety und Security in einer prüfsicheren Risikobeurteilung zusammen. Starten Sie mit einem kostenlosen Erstgespräch.

Antwort in der Regel innerhalb eines Werktags. Angaben zur Rechtslage nach bestem Wissen, im Zweifel empfehlen wir eine fachliche Prüfung des Einzelfalls.