Verstärkte Cybersicherheitsstandards durch neue Maschinenverordnung gefordert

Vor dem Hintergrund zunehmender Digitalisierung nehmen Softwarekomponenten in Maschinen und Geräten immer mehr Raum ein. Die EU hat darauf mit der neuen Maschinenverordnung (MVO) reagiert, welche die bisherige Maschinenrichtlinie nach einer Übergangszeit ersetzt. Diese Regelung fordert von Händlern, Herstellern und Betreibern entsprechende Anpassungen, wobei der TÜV SÜD wichtige Hinweise für die praktische Umsetzung gibt.

Ein markanter Punkt der Verordnung ist der Ersatz gedruckter Betriebsanleitungen durch QR-Codes, die auf digitale Versionen verweisen. Gedruckte Anleitungen werden vom Hersteller nur noch auf ausdrücklichen Wunsch des Kunden bereitgestellt. Laut der Verordnung 2023/1230 (MVO) ist jedoch für Maschinen, die von Laien bedient werden, eine Anleitung in Papierform weiterhin notwendig.

Zahlreiche Anlagenkomponenten sind betroffen

Die neueste Maschinenverordnung (MVO) adressiert die wachsenden Risiken, die durch fortschreitende Digitalisierung, Cybersicherheitsbedrohungen und den Einsatz von Künstlicher Intelligenz (KI) entstehen. Sie verfolgt das Ziel, Maschinen besser gegen Missbrauch und Betrug zu schützen, Probleme, die untrennbar mit der digitalen Transformation verbunden sind. Diese Verordnung wurde eingeführt, um eine effektive Antwort auf diese Gefahren zu bieten und einen umfassenden Schutz zu gewährleisten.

Der Geltungsbereich der MVO ist weitreichend und deckt zahlreiche Gerätetypen ab – von Maschinen wie Rührwerken, Pumpen und Kompressoren bis hin zu Anlagen für Destillation, Filtration und Trennung. Auch Pedelecs für den internen Betrieb sowie Hebezeuge unterliegen dieser Verordnung. Zudem fallen elektrisch verstellbare Schreibtische unter die Regelungen der neuen MVO.

Die neue MVO adressiert die zunehmenden Risiken in den Bereichen Digitalisierung, Cybersicherheit und Künstliche Intelligenz (KI).
Quelle: AdobeStock / Attasit

Eine bedeutende Änderung in der neuen Maschinenverordnung (MVO) ist die klar definierte Verantwortlichkeit für deren Umsetzung. Die Regelung adressiert Hersteller, Händler, Importeure und Bevollmächtigte der Maschinen. Zudem werden Betreiber, die „wesentliche Veränderungen“ an einer Maschine vornehmen, rechtlich wie Hersteller behandelt. Unter „wesentliche Veränderung“ fällt auch die Modifikation der Software. Dies bedeutet, dass Betreiber, die nach dem Kauf Änderungen an der Werkseinstellung einer Maschine vornehmen, sich eingehend mit den Bestimmungen der MVO auseinandersetzen müssen.

Nachrüstung mit zusätzlicher Software hat zugenommen

Die neue Maschinenverordnung (MVO), die im Juli 2023 in Kraft trat und die vorherige Richtlinie 2006/42/EG ablöst, wird erst nach einer Übergangsfrist von 42 Monaten, also ab dem 20. Januar 2027, vollständig gültig. Trotz dieser Frist empfiehlt der TÜV SÜD, sich bereits jetzt auf die bevorstehenden Änderungen vorzubereiten, um mögliche Sicherheits- und Haftungsrisiken bei Schadensfällen zu minimieren.

Mit der fortschreitenden Digitalisierung betrachtet die MVO nun Maschinen zusammen mit ihren Sensoren und der dazugehörigen Software als eine integrierte Einheit. Insbesondere in der Chemie- und Prozessindustrie sowie im Maschinenbau haben die Integration von vernetzten Sensoren und zusätzlicher Software die Anfälligkeit für Cyberangriffe erhöht. Die MVO passt die gesetzlichen Rahmenbedingungen entsprechend den technologischen Entwicklungen an.

Die Vorschriften zur Cybersicherheit, einschließlich der Steuerungssysteme und der eingesetzten Künstlichen Intelligenz, werden verschärft. Die MVO legt besonderen Fokus auf autonome Maschinen, ferngesteuerte Geräte und kollaborative Roboter, sogenannte Cobots. Sie verlangt, dass alle Maschinen so gestaltet sind, dass sie sowohl vor absichtlichen als auch unabsichtlichen Manipulationen geschützt sind, einschließlich solcher, die über Fernzugriffe erfolgen könnten. Diese speziellen Anforderungen sind unter anderem in Anhang III Teil B der MVO aufgeführt.

Die MVO trat im Juli 2023 in Kraft und löst ab dem 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG ab. Quelle: AdobeStock / Attasit

Allerdings gibt es hinsichtlich der Cybersicherheit eine Erleichterung in der neuen Maschinenverordnung (MVO): Wenn bereits eine Zertifizierung oder eine Konformitätserklärung gemäß dem European Cybersecurity Act 2019/881 vorliegt, gelten die Anforderungen der MVO in Bezug auf Cybersicherheit als erfüllt. In diesem Fall wird angenommen, dass den spezifischen Anforderungen, die in den Abschnitten 1.1.9 und 1.2.1 der MVO festgelegt sind, entsprochen wird. Dies erleichtert es den Unternehmen, den regulatorischen Anforderungen nachzukommen, ohne zusätzliche Zertifizierungsverfahren durchlaufen zu müssen.

Experten raten dazu, die MVO regelmäßig zu prüfen

Die MVO schärft die Sicherheitsanforderungen für bestimmte Maschinenkategorien, die im Anhang I Teil B aufgeführt und in sechs Risikokategorien eingeteilt sind. Maschinen, die aufgrund ihres hohen Risikopotenzials in diese Kategorien fallen, müssen einer strengeren Konformitätsbewertung unterzogen werden, die nicht intern durchführbar ist, sondern von einer notifizierten Stelle vorgenommen werden muss, um die Einhaltung höchster Sicherheitsstandards sicherzustellen.

Insbesondere Systeme, die Künstliche Intelligenz und maschinelles Lernen für kritische Sicherheitsfunktionen nutzen und sich selbstständig weiterentwickeln, fallen unter diese Anforderung. Andere Beispiele für Maschinen, die eine externe Bewertung benötigen, sind abnehmbare Gelenkwellen mit Schutzeinrichtungen, Fahrzeugwartungslifte sowie Befestigungs- und Montagegeräte, die mit Magazinen für Schrauben oder Nägel ausgerüstet sind.

Experten des TÜV SÜD empfehlen, den Anhang der MVO regelmäßig zu überprüfen, da die Liste der Maschinen, die eine Bewertung durch eine notifizierte Stelle benötigen, kontinuierlich aktualisiert wird. Obwohl die MVO viele Gemeinsamkeiten mit der bisherigen Maschinenrichtlinie aufweist, stellen die neuen Vorschriften zur Cybersicherheit und der Einsatz von KI bedeutende Neuerungen dar.

Für Unternehmensentscheider ist es daher ratsam, sich frühzeitig auf diese Änderungen einzustellen. Häufig ist eine Neubewertung vorhandener Maschinen notwendig, sei es aufgrund von Softwareänderungen oder der Integration neuer KI-Systeme. Ein proaktives Vorgehen kann helfen, Sicherheits- und Haftungsrisiken im Falle eines Schadens zu minimieren.