Im Januar 2027 tritt die Maschinenverordnung (EU) 2023/1230 mit zusätzlichen Cybersecurity-Regularien für Hersteller in Kraft
Cybersecurity sicherstellen: Termine und neue Pflichten durch Maschinenverordnung und CRA
Montag, 01. Dezember 2025
| Redaktion
Teilen auf:
Maschinenverordnung und Cyber Resilience Act bringen Digitalisierung, KI und Cybersecurity ins Zentrum von Kompontenherstellern, Maschinen- und Anlagenbauern sowie Händlern
Maschinenverordnung und Cyber Resilience Act bringen Digitalisierung, KI und Security ins Zentrum von Kompontenherstellern, Software-Anbietern, Maschinen- und Anlagenbauern sowie Händlern, Bild: ABB

Ab Januar 2027 gilt die neue Maschinenverordnung (EU) 2023/1230, mit weitreichenden Auswirkungen auf die Cybersecurity von Maschinen und Anlagen. Parallel treten schrittweise die Anforderungen des Cyber Resilience Act (CRA) in Kraft. Hersteller und Inverkehrbringer stehen damit vor einer umfassenden Neuausrichtung ihrer Produkte, Prozesse und Dokumentationen.

Maschinenverordnung rückt Cybersecurity in den Fokus

Erstmals berücksichtigt die EU-Maschinenverordnung nicht nur funktionale Sicherheit, sondern auch den Schutz vor Cyber-Angriffen. Künftig müssen Maschinen so ausgelegt sein, dass sie auch bei einem erfolgreichen Angriff keinen unsicheren Zustand erzeugen. Zudem ist jede sicherheitsrelevante Änderung, ob an Software, Einstellungen oder Parametern, vollständig zu dokumentieren. Sicherheitssoftware wird als eigenständiges Sicherheitsbauteil eingestuft und benötigt, wenn separat vertrieben, eine eigene Konformitätserklärung und CE-Kennzeichnung.

Neue Bewertungskriterien für Hochrisikomaschinen

Für Maschinen mit erhöhtem Gefährdungspotenzial sieht die Maschinenverordnung ein erweitertes Konformitätsbewertungsverfahren vor. Hochrisikomaschinen werden künftig in zwei Subtypen unterteilt: Typ A, etwa sicherheitskritische KI-Software, erfordert eine verpflichtende externe Bewertung. Typ B kann weiterhin intern bewertet werden, sofern eine harmonisierte Produktnorm vorliegt.

Cyber Resilience Act im Zusammenspiel mit der Maschinenverordnung fokussiert auf Cybersecurity

Der Cyber Resilience Act ergänzt die Maschinenverordnung durch eine konsequente Ausrichtung auf Cybersecurity. Während die MVO Sicherheitsrisiken mit physischem Bezug adressiert, regelt der CRA Anforderungen an digitale Komponenten, unabhängig von der physischen Gefährdung. Dazu gehören auch verpflichtende Sicherheits-Updates und Patch-Management über den gesamten Produktlebenszyklus.

Compliance-Anforderungen sowie Termine für Maschinenverordnung und CRA

Ab 11. September 2026 müssen aktiv ausgenutzte Schwachstellen nach dem CRA gemeldet werden. Die Maschinenverordnung ersetzt am 20. Januar 2027 die bisherige Richtlinie vollständig. Am 11. Dezember 2027 treten alle CRA-Anforderungen in Kraft. Es besteht kein Bestandsschutz, alle Komponenten müssen die geltenden Regelwerke erfüllen.

Strategien für Cybersecurity-Compliance

Unternehmen sollten frühzeitig klären, welche Produkte von MVO und CRA betroffen sind. Dazu gehören die Aktualisierung des Risikomanagements, die Überarbeitung technischer Dokumentation, inklusive Software Bill of Materials (SBOM), sowie die Entwicklung eines Konzepts für langfristige Cybersecurity-Unterstützung. Wichtig ist zudem die Anpassung interner Prozesse für die Konformitätsbewertung und CE-Kennzeichnung.

ABB unterstützt Unternehmen mit Beratung und Planung entlang des gesamten Anpassungsprozesses. Dieser reicht von der Risikoanalyse über die Dokumentation bis zur produktkonformen Umsetzung aller Anforderungen an die Cybersecurity gemäß MVO und CRA.

Auch interessant für Sie

Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen.
Die neue EU-Maschinenverordnung rückt Cyber-Sicherheit und digitale Risiken stärker in den Fokus
Ganzheitliche Sicherheitsstrategien für Intralogistikanlagen erfordern die Einbeziehung von Software, Kommunikationstechnik und vernetzten Infrastrukturen in die Instandhaltung
Profinet bietet eine skalierbare Security-Lösung zur Erfüllung der Anforderungen des CRA
Philipp Mai, Vice President Engineering EMEA bei Arrow, über die Erfüllung des Cyber Resilience Act
Zusammenarbeit im Rahmen des Cyber Resilience Act - „AdCo CRA“ in Athen, v.l.n.r: Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (Enisa), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (Enisa)
Keywords:
ABB Cybersecurity Maschinenverordnung CRA Security