EU-Maschinenverordnung 2023/1230: Cybersicherheit trifft Arbeitssicherheit

Die neue EU-Maschinenverordnung 2023/1230, die ab dem 20. Januar 2027 in allen EU-Mitgliedsstaaten die alte Maschinenverordnung vollständig ablöst, verbindet zum ersten Mal detailliert Cybersicherheit und Arbeitssicherheit. Sie legt vor diesem Hintergrund fest, dass Maschinen, Anlagen und zugehörige Produkte gegen Cyber-Angriffe geschützt sein müssen, um Gefahren für Menschen, beispielsweise durch Fehlfunktionen, ausschließen zu können. Hersteller müssen die Cybersicherheit in Zukunft durchgängig in Konstruktion, Risikobeurteilung und Dokumentation berücksichtigen.

Wichtige Termine

Hinsichtlich der vollumfänglichen Umsetzung der Verordnung, Teile davon sind bereits in Kraft, sind mehrere wichtige Termine zu beachten. Bis zum 20. Januar 2027 gilt die bisherige Maschinenrichtlinie weiter. Daher können Maschinen und Anlagen bis zu diesem Termin noch nach der alten Richtlinie in den Verkehr gebracht werden, danach gelten die Anforderungen der neuen Maschinenverordnung. Das sollte die Hersteller aber nicht davon abzuhalten, bereits jetzt schon Produkte herzustellen oder zu vermarkten, die den neuen Anforderungen zur Cybersicherheit bereits genügen.

Wichtigste Bausteine

Was sind die wichtigsten Elemente der neuen Maschinenverordnung, die für die Arbeitssicherheit von Bedeutung sind? Hier lassen sich vor allem folgende Punkte nennen:

• Verzahnung von Arbeitssicherheit und Maschinensicherheit: Eine Maschine ist nur dann sicher, d. h. CE-konform, wenn sie auch Cyber-Angriffen widersteht. Manipulationen an Sicherheitsfunktionen, zum Beispiel am Not-Halt, müssen ausgeschlossen werden.
• Schutz vor Manipulation: Sicherheitskritische Software und Daten müssen vor unbeabsichtigter oder vorsätzlicher Manipulation geschützt werden, um Fehlfunktionen zu verhindern.
• Risikobeurteilung und Dokumentation: Hersteller müssen Cyber-Risiken an ihren Maschinen und Anlagen vor Inverkehrbringen identifizieren, bewerten und notwendige Schutzmaßnahmen in technischen Unterlagen dokumentieren.
• Umfang: Alle Anforderungen gelten sowohl für Hard- als auch Software, die für die Maschinenfunktion entscheidend ist.
• KI und neue Technologien: Die Verordnung berücksichtigt erstmals detailliert die Integration von Künstlicher Intelligenz und vernetzten Systemen in Maschinen und Anlagen.
• Betreiberverantwortung: Betreiber müssen bei Umbauten (die eine wesentliche Veränderung darstellen) prüfen, ob nach Umbau weiterhin alle Anforderungen erfüllt sind oder ob eine neue Konformitätsbewertung erforderlich ist.

Konkrete Anforderungen

Doch welche Anforderungen sind es konkret, welche die Hersteller hinsichtlich der engen Verzahnung von Cybersecurity und Arbeitssicherheit umsetzen müssen? Die wichtigsten Anforderungsbereich sind:

• Sichere Konnektivität: Der Anschluss externer Geräte oder Fernzugriffe darf keine Gefährdung darstellen. Hierfür können zum Beispiel integrierte Firewalls und sichere Authentifizierungsmechanismen für die einzelnen Schnittstellen dienen.
• Schutz kritischer Hardware: Hardware-Komponenten müssen gegen unbeabsichtigte oder vorsätzliche Manipulation bzw. Korrumpierung geschützt sein. Die Maschine sollte daher beispielsweise nur kryptografisch signierte Codes bzw. Befehle ausführen.
• Schutz kritischer Software: Sicherheitsrelevante Software und Daten müssen als solche gekennzeichnet und gegen Korrumpierung/Manipulationen geschützt werden, zum Beispiel durch eine verschlüsselte, digital signierte Steuerungssoftware.
• Kenntlichmachung sicherheitsrelevanter Software: Die Maschine muss die für den sicheren Betrieb erforderliche installierte Software kenntlich machen und diese Informationen jederzeit leicht zugänglich bereitstellen können.
• Aufzeichnung von Änderungen: Die Maschine muss Nachweise für rechtmäßige oder unrechtmäßige Eingriffe in die installierte Software oder deren Konfiguration sammeln können, zum Beispiel durch ein kryptografisch gesichertes Änderungsprotokoll, das alle Updates, Konfigurationsänderungen und Zugriffsversuche aufzeichnet.