Cyber-Sicherheit, KI und Cobots im Fokus: Mehrschichtiges Sicherheitskonzept Defense-in-Depth kombiniert verschiedene Schutzebenen
Fit für 2027: Was sich mit der neuen EU‑Maschinenverordnung wirklich ändert
Mittwoch, 04. Februar 2026
| Redaktion
Teilen auf:
Die neue EU-Maschinenverordnung rückt Cyber-Sicherheit und digitale Risiken stärker in den Fokus
Die neue EU-Maschinenverordnung rückt Cyber-Sicherheit und digitale Risiken stärker in den Fokus, Bild: Adobe Stock (KI-generiert)

Die neue EU‑Maschinenverordnung 2023/1230 tritt am 20. Januar 2027 in Kraft und ersetzt die bisherige Maschinenrichtlinie 2006/42/EG. Ziel ist es, die Betriebssicherheit von Maschinen und vernetzten Systemen zu erhöhen und einen einheitlichen Rechtsrahmen für moderne Automatisierungslösungen zu schaffen. Unternehmen, die Maschinen entwickeln, integrieren oder betreiben, sollten sich frühzeitig auf die neuen Anforderungen einstellen.

Harmonisierung mit digitalen Rechtsakten

Anders als die Richtlinie gilt die neue EU‑Maschinenverordnung unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzungsspielräume. Sie orientiert sich am New Legislative Framework (NLF) und schafft standardisierte Prozesse für Konformitätsbewertungen. Dies gilt insbesondere bei Hochrisikomaschinen und innovativen Technologien. Gleichzeitig wird der Rechtsrahmen besser mit anderen EU‑Vorschriften verzahnt, darunter der Cyber Resilience Act (CRA) und die KI‑Verordnung.

Diese Harmonisierung soll verhindern, dass in verschiedenen Bereichen widersprüchliche Regeln gelten. Zugleich erlaubt sie eine kohärente Sicherheitsstrategie für physische und digitale Risiken.

Cyber-Sicherheit wird verbindlicher Bestandteil

Ein zentrales Element der neuen EU‑Maschinenverordnung betrifft Cyber-Sicherheit. Maschinen müssen so ausgelegt und gebaut werden, dass Cyber-Angriffe, unbefugter Zugriff oder Manipulationen sicherheitskritische Funktionen nicht beeinträchtigen können. Dies gilt für physische Schnittstellen wie USB‑Ports ebenso wie für vernetzte Kommunikationsverbindungen.

Der ergänzende Cyber Resilience Act fordert für Produkte mit digitalen Inhalten ein „Security by Design“ und „Security by Default“. Damit wird die Absicherung von Steuerungen, Sensoren, Antrieben und Softwarekomponenten integraler Bestandteil der Produktentwicklung und des gesamten Lebenszyklus. Branchenverbände schätzen, dass industrielle Cyber-Angriffe allein 2024 Schäden von über 178 Milliarden Euro verursacht haben. Dies ist ein Anstieg von rund 30 Milliarden gegenüber dem Vorjahr.

EU‑Maschinenverordnung: Mehrschichtige Schutzkonzepte für Automatisierungssysteme

Um die Anforderungen der EU‑Maschinenverordnung umzusetzen, gewinnen mehrschichtige Sicherheitskonzepte an Bedeutung. Das sogenannte Defense‑in‑Depth‑Prinzip kombiniert verschiedene Schutzebenen, um Risiken entlang der gesamten Architektur zu minimieren. Wichtige Bausteine sind:

  • Netzwerksegmentierung und Firewall‑Management zur Begrenzung von Zugriffsrechten
  • Verschlüsselte Kommunikation mittels TLS und zertifikatbasierter Protokolle wie OPC UA
  • Benutzer‑ und Rollenmanagement zur Zugriffskontrolle
  • Prüfmechanismen zur Integrität über Hashcodes und Schreibschutz
  • Kontinuierliches Schwachstellen‑ und Patch‑Management

Solche Maßnahmen sorgen dafür, dass digitale Angriffsflächen von der Steuerungsebene bis hin zur Cloud‑Anbindung frühzeitig erkannt und geschlossen werden.

Security‑Guidelines und Vulnerability Management für neue EU‑Maschinenverordnung

Die Vorbereitung auf die neue EU‑Maschinenverordnung erfordert nicht nur technische Anpassungen, sondern auch organisatorische Strukturen. Security‑Guidelines für Steuerungen und Automatisierungssysteme helfen, bestehende Maschinen schrittweise auf den neuesten Sicherheitsstandard zu bringen. Ergänzend ist ein Vulnerability Advisory Service hilfreich, über den Schwachstellen gemeldet, bewertet und kommuniziert werden können. Dies schafft Transparenz über den gesamten Produktlebenszyklus.

Im Zuge dessen rückt auch „Security by Design“ stärker in den Vordergrund: Sicherheitsfunktionen werden nicht nachträglich ergänzt, sondern von Beginn an in Hard‑ und Softwarearchitektur integriert. Beispiele sind sichere Boot‑Prozesse, manipulationssichere Firmware‑Updates und kryptografisch signierte Kommunikationsprotokolle.

KI‑basierte Systeme und sichere Prozesse

Mit Blick auf adaptive und KI‑gestützte Funktionen ergeben sich weitere Anforderungen. Systeme, die Lernprozesse oder autonome Entscheidungen treffen, müssen nachweisen, dass sich ihr Verhalten nicht in sicherheitskritischer Weise verändert. Eine Kombination aus KI‑basierten Optimierungsmechanismen und umfassenden Sicherheitskontrollen kann dazu beitragen, Risiken frühzeitig zu erkennen und zu bewerten.

In der Praxis bedeutet dies: Überwachungsfunktionen protokollieren Änderungen im Systemverhalten in Echtzeit, und sicherheitsrelevante Abweichungen lösen definierte Reaktionen aus. Dieser integrative Ansatz ist ein Schritt in Richtung „sichere KI“ in Maschinen und Automatisierungssystemen.

Autor

Peter Goebbels
Marketing Specialist Safety bei Omron Industrial Automation Europe

Auch interessant für Sie

Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen.
Maschinenverordnung und Cyber Resilience Act bringen Digitalisierung, KI und Cybersecurity ins Zentrum von Kompontenherstellern, Maschinen- und Anlagenbauern sowie Händlern
Ganzheitliche Sicherheitsstrategien für Intralogistikanlagen erfordern die Einbeziehung von Software, Kommunikationstechnik und vernetzten Infrastrukturen in die Instandhaltung
v.l.n.r.: Sergei Biberdorf und Tobias Timm (beide Tüv Rheinland Functional Safety & Cyber Security), Jan Aulenberg, Product Manager, Industrial Network Technology Phoenix Contact, und Andreas Fuß, Senior Specialist OT-Security, Industrial Network Technology Phoenix Contact, freuen sich über die Zertifizierung der Managed Switches
Mit dem Sick Industrial Cybersecurity Testcenter (SICST) in Waldkirch, das im Februar 2025 offiziell durch die Deutsche Akkreditierungsstelle (DAkkS) für die Norm IEC 62443-4-2 akkreditiert wurde, ist SICK der erste deutsche Hersteller mit einem akkreditierten Prüflabor, das Konformitätsbewertungen hinsichtlich der IT-Sicherheit industrieller Automatisierungssysteme durchführen kann.
Profinet bietet eine skalierbare Security-Lösung zur Erfüllung der Anforderungen des CRA
Keywords:
Omron Maschinenverordnung CRA Cybersecurity Security