Maschinenhersteller stehen unter Handlungsdruck: Bis Januar 2027 müssen Produkte und Prozesse die neue EU-Maschinenverordnung erfüllen, inklusive Digitalisierung, KI, funktionaler Sicherheit und Cybersecurity. ABB unterstützt Unternehmen dabei mit gezielter Beratung und Planung.
Zahlreiche Hersteller von Maschinen sowie Anlagenbauer und Händler befinden sich in einer entscheidenden Übergangsphase: Bis zum 20. Januar 2027 müssen sie ihre Produkte, Prozesse und Dokumentationen an die neuen Anforderungen der Maschinenverordnung (EU) 2023/1230 anpassen. Die Verordnung ersetzt die bisherige Maschinenrichtlinie und berücksichtigt erstmals umfassend Aspekte der Digitalisierung, funktionalen Sicherheit, KI-basierter Systeme und insbesondere das Thema Cybersecurity. ABB begleitet die Unternehmen bei dem Änderungsprozess mit spezifischer Beratung und Planung.
Was ist neu?
Ein Kernpunkt der neuen Vorgaben ist der Schutz vor den Auswirkungen von Cyberangriffen. Maschinen müssen künftig sicherstellen, dass auch nach einem erfolgreichen Angriff kein unsicherer Zustand entsteht. Zudem ist jede Änderung an sicherheitsrelevanten Einstellungen und Programmen lückenlos zu dokumentieren. Erstmals wird Software für Sicherheitsfunktionen als eigenständiges Sicherheitsbauteil betrachtet. Wird sie separat angeboten, benötigt sie künftig eine eigene Konformitätserklärung und CE-Kennzeichnung.
Neu ist ebenfalls ein erweitertes Konformitätsbewertungsverfahren für Hochrisikomaschinen. Diese werden künftig in die Subtypen A und B unterteilt. Für Typ-A-Maschinen – darunter zählen auch KI-basierte sicherheitsrelevante Softwarelösungen – ist zwingend einzubeziehen. Typ-B-Maschinen können weiterhin vom Hersteller selbst bewertet werden, sofern eine harmonisierte Produktnorm existiert.
Die Anforderungen des Cyber Resilience Act
Parallel zur neuen EU-Maschinenverordnung (MVO) müssen die Anforderungen des Cyber Resilience Act (CRA) beachtet werden. Beide Regelwerke verlangen eine CE-Kennzeichnung, unterscheiden sich jedoch grundlegend im Ziel: Während die Maschinenverordnung primär die physische Sicherheit von Personen und Gütern fokussiert und Cybersecurity nur insoweit behandelt, wie sie Safety-Aspekte beeinflusst, adressiert der CRA ausschließlich Security-Themen. Er legt Sicherheitsanforderungen für alle digitalen Elemente fest – unabhängig von der physischen Gefährdung – und schließt auch Aktualisierungen und Sicherheitspatches über den gesamten Lebenszyklus hinweg ein.
Relevante Termine und Fristen
Für beide Verordnungen gibt es drei relevante Termine. Ab 11. September 2026 müssen Hersteller nach dem CRA aktiv ausgenutzte Schwachstellen in einer Maschine europäisch und national melden. Am 20. Januar 2027 erfolgt die Umstellung von der Maschinenrichtlinie auf die neue EU-Maschinenverordnung und am 11. Dezember 2027 treten schließlich die übrigen CRA-Anforderungen vollständig in Kraft. Einen Bestandsschutz gibt es nicht: Komponenten und Maschinen müssen stets den jeweilig gültigen Regelwerken entsprechen.
Für Unternehmen bedeutet dies erheblichen Anpassungsbedarf. Sie sollten frühzeitig klären, welche Produkte von MVO und CRA betroffen sind, Risikomanagementprozesse aktualisieren oder neu etablieren und ihre technische Dokumentation – einschließlich einer Software Bill of Materials (SBOM) – überarbeiten. Ebenso wichtig ist ein Konzept für die langfristige Cybersecurity-Unterstützung über die erwartete Lebensdauer der Maschinen. Darüber hinaus müssen die internen Prozesse zur Konformitätsbewertung und CE-Kennzeichnung fristgerecht an die neuen Vorgaben angepasst werden. Funktionsübergreifende Teams helfen, die unterschiedlichen Anforderungen effizient zusammenzuführen.
ABB unterstützt Unternehmen bei allen Fragen rund um die EU-Maschinenverordnung und den Cyber Resilience Act: Experten bieten umfassende Beratung und maßgeschneiderte Lösungen, um Hersteller sicher durch den regulatorischen Prozess zu begleiten und ihre Produkte zukunftssicher aufzustellen.
Text-/Bildquelle: ABB
