img

Cybersecurity: Was sich durch die Maschinenverordnung ändert (16.10.2023)

Die neue Europäische Maschinenverordnung gilt zwar erst 2027. Trotzdem sollten sich die Unternehmen jetzt schon damit beschäftigen, erklärt Siegfried Müller, MB Connectline GmbH aus Dinkelsbühl.

Das Wichtigste vorab: Die neue Maschinenverordnung (EU) 2023/1230 trat am 19. Juli 2023 in Kraft. Für deren Umsetzung vorgesehen ist eine Übergangszeit von 42 Monaten. Danach ist diese zwingend anzuwenden und ersetzt die – seit 17 Jahren geltende – Maschinenrichtlinie 2006/42/EG. Der Weg zum neuen zentralen Regelwerk war dem Thema angemessen: Ende April 2021 wurde der erste Entwurf für die neue EU-Maschinenverordnung veröffentlicht, nach dem üblichen Prozedere – von der Einreichung möglicher Änderungsvorschläge bis zum Abschluss der Trialog-Verhandlungen Mitte Dezember 2022 – fand am 29. Juni 2023 die Bekanntgabe im EU-Amtsblatt statt.

Auch wenn mit der EU-Maschinenverordnung kein Paradigmenwechsel vollzogen wird, sind damit doch einige praxisrelevanten Änderungen verbunden. Ein Hauptmerkmal ist, dass die Vorschriften dahingehend angepasst worden sind, um den Risiken und Herausforderungen – die unter anderem durch die zunehmende Digitalisierung im Bereich Cyber-Sicherheit sowie durch den Einsatz neuer Technologien wie KI in und für Maschinenprodukte resultieren – Rechnung zu tragen und so zu gewährleisten, dass diese nachhaltig sicher betrieben werden können.

Die EU-Verordnung steht im Kontext mit anderen neuen EU-Regularien, unter anderem dem AI-Act, wodurch insgesamt geregelt ist, was zukünftig für Hersteller, Importeure, (Online-)Händler, Bevollmächtigte und Inverkehrbringer von Maschinen wichtig sein könnte. Dies gilt unter anderem für die CE-Kennzeichnung: Die Bedeutung dieser Kennzeichnung ergibt sich daraus, dass die keinesfalls eine Selbsterklärung ist, sondern?das Ergebnis eines Konformitätsbewertungsverfahrens?durch den Hersteller.

Im Endeffekt steht der Hersteller gegenüber den Marktaufsichtsbehörden somit in der Verantwortung, dass sein Produkt konform ist mit allen anzuwendenden Rechtsvorschriften, die eine Anbringung des CE-Zeichens vorsehen.

Maschinenverordnung im Speziellen: Cyber-Sicherheit

Eine der wesentlichen Änderungen in dem Regelwerk ist, dass Maschinenbauer zukünftig nicht nur allen Anforderungen im Bereich Safety gerecht werden müssen, sondern dass die Verordnung darüber hinaus auch den Anwendungsbereich auf die Cyber-Sicherheit ausdehnt und Maschinenbauer somit den Schutz der Steuerungen zu gewährleisten haben. Daraus lässt sich unter anderem ableiten, dass Maßnahmen ergriffen werden müssen, mit denen sicherzustellen ist, dass diese nicht manipuliert werden können.

Obwohl keine konkreten Ausführungshinweise diesbezüglich definiert sind, ergibt sich hieraus, dass eine Risikobeurteilung seitens der Hersteller durchzuführen ist, um durch das Antizipieren potenzieller krimineller Handlungen beziehungsweise Angriffe Dritter Cyber-Sicherheitsmaßnahmen ergreifen zu können, sodass sich die Maschinensicherheit angemessen garantieren lässt. Zudem können hieraus schlüssig weitere Dokumentationsanforderungen gefolgert werden.

Klärungsbedarf besteht zum Beispiel noch dahingehend, wie die Umsetzung des in der Maschinenverordnung aufgeführten Passus „den Anforderungen genügen“ erfolgen kann. Während der Maschinenbauer bei Safety von je her in der Lage war, diese für den bestimmten Einsatz im Rahmen seiner Risikoanalyse genau zu erfassen, fällt diese im Kontext der Maschinensicherheit nicht so einfach aus. Hier spielen verschiedenste Faktoren eine Rolle, da eine Maschine immer in eine Gesamtanlage integriert wird – von daher ist es notwendig, die Umsetzung der Anforderungen ganzheitlich anzugehen, das bedeutet, der Schutz kann nicht als Insellösung erfolgen.

Fazit: Was ist jetzt empfehlenswert?

Mein wichtigster Rat in diesem Zusammenhang ist, dass Unternehmen sich jetzt zeitnah mit diesem Regelwerk und der Thematik insgesamt tiefergehend befassen sollten. Meines Erachtens ist es zudem empfehlenswert, hier kontinuierlich auf dem Laufenden zu bleiben, um die Veränderungen, die sich daraus ergeben könnten – zum Beispiel bezüglich der Einstufung der Kritikalität der Maschinen – im Blick zu haben.

Ebenso essenziell ist es, die eigenen Mitarbeiterinnen und Mitarbeiter für dieses Thema zu sensibilisieren, damit diese die eventuell notwendigen Veränderungen positiv mittragen. Auf keinen Fall sollte der Zeitrahmen von dreieinhalb Jahren überschätzt werden – wie wir ja bereits gesehen haben können unerwartete Ereignisse wie eine Pandemie oder Lieferkettenengpässe mit einem Mal die ganze Aufmerksamkeit erfordern und plötzlich steht der Stichtag vor der Tür, aber die Vorbereitungen für die Verordnung sind noch in vollen Gange.