- Die EU-Maschinenverordnung 2023/1230 ersetzt ab 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG und enthält erstmals Cybersecurity als Essential Requirement.
- Maschinen mit digitalen Elementen müssen so konstruiert sein, dass ihre Sicherheitsfunktionen nicht durch unbefugte digitale Zugriffe kompromittiert werden können.
- Hersteller müssen Cybersecurity in der Risikobeurteilung berücksichtigen und durch die CE-Kennzeichnung die Konformität bestätigen.
- Die Verordnung ergänzt NIS2 (Betreiberpflichten) und den Cyber Resilience Act (digitale Produkte) und schließt die Lücke für den Maschinenbau.
- Betreiber profitieren von sichereren Maschinen, müssen aber weiterhin eigene Schutzmaßnahmen für Bestandsanlagen und Netzwerkintegration treffen.
Die Maschinenrichtlinie wird zur Maschinenverordnung
Am 29. Juni 2023 wurde die Verordnung (EU) 2023/1230 über Maschinen im Amtsblatt der Europäischen Union veröffentlicht. Sie ersetzt die bisherige Maschinenrichtlinie 2006/42/EG, die seit fast zwei Jahrzehnten den regulatorischen Rahmen für das Inverkehrbringen von Maschinen in Europa bildet.
Der Wechsel von einer Richtlinie zu einer Verordnung hat eine wichtige Konsequenz: Die Maschinenverordnung gilt ab dem 20. Januar 2027 unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich ist. Es gibt keine Übergangsfristen durch unterschiedliche nationale Gesetzgebungen. Ab dem Stichtag gelten die neuen Anforderungen einheitlich in der gesamten EU.
Die grundlegendste Neuerung für die Cybersecurity-Community: Die Maschinenverordnung enthält erstmals explizite Anforderungen an die Cybersicherheit von Maschinen. Die alte Maschinenrichtlinie kannte das Wort „Cybersecurity" nicht. Die neue Verordnung macht es zu einem wesentlichen Sicherheitsaspekt.
Was die Verordnung fordert
Die Cybersecurity-Anforderungen finden sich in Anhang III der Verordnung, der die „Essential Health and Safety Requirements" (EHSR) definiert. Die zentrale Passage in Abschnitt 1.1.9 lautet sinngemäß:
Maschinen müssen so konstruiert und gebaut sein, dass die Verbindung eines anderen Geräts mit der Maschine über jedes Merkmal der angeschlossenen Vorrichtung oder über eine entfernte Vorrichtung, die mit der Maschine kommuniziert, nicht zu einer gefährlichen Situation führt. Eine Hardware-Komponente, die Signale oder Daten überträgt, die für die Verbindung relevant sind, sowie die Software müssen so konstruiert sein, dass sie angemessen vor versehentlicher oder absichtlicher Korruption geschützt sind.
Zusätzlich präzisiert Abschnitt 1.1.9 weiter: Die Maschine muss Nachweise über legitime und illegitime Eingriffe in die Software der Maschine bereitstellen, sofern sie zur Erfüllung der Sicherheitsanforderungen erforderlich ist.
Was das konkret bedeutet
Übersetzt in praktische Anforderungen heißt das:
Schutz vor unbefugten Zugriffen. Die Sicherheitsfunktionen einer Maschine (Not-Halt, Schutztürüberwachung, Druckbegrenzung, Geschwindigkeitsüberwachung etc.) dürfen durch digitale Angriffe nicht beeinträchtigt werden können. Wenn ein Angreifer über eine Netzwerkverbindung oder eine Wartungsschnittstelle Zugriff auf die Maschinensteuerung erhält, darf er die Sicherheitsfunktionen nicht manipulieren oder deaktivieren können.
Schutz der Kommunikationskanäle. Jede digitale Schnittstelle der Maschine (Ethernet, USB, Feldbus, drahtlose Verbindungen) muss gegen Manipulation geschützt sein. Das betrifft sowohl die Hardware (physischer Zugangsschutz zu Schnittstellen) als auch die Software (Authentifizierung, Integritätsprüfung, Verschlüsselung wo angemessen).
Integritätsschutz der Software. Die Steuerungssoftware und insbesondere die sicherheitsrelevanten Softwarekomponenten müssen vor Korruption geschützt sein. Das umfasst Maßnahmen wie Code-Signing, Integritätsprüfungen beim Systemstart und Schutz vor unbefugten Programmänderungen.
Audit-Trail. Die Maschine muss nachweisen können, ob legitimate oder illegitime Eingriffe in die sicherheitsrelevante Software stattgefunden haben. Das erfordert eine Protokollierung von Zugriffen und Änderungen an sicherheitskritischen Softwarekomponenten.
Wer ist betroffen?
Hersteller und Importeure
Die Verordnung richtet sich primär an Hersteller (und deren Bevollmächtigte), Importeure und Händler von Maschinen. Jede Maschine, die ab dem 20. Januar 2027 in der EU in Verkehr gebracht oder in Betrieb genommen wird, muss die neuen Anforderungen erfüllen.
Das betrifft nicht nur klassische Maschinenbauer, sondern jeden, der eine Maschine mit digitalen Elementen auf den EU-Markt bringt. Die Definition „digitale Elemente" ist bewusst weit gefasst: Sie umfasst jede Software, die auf der Maschine läuft oder für die Maschinenfunktion erforderlich ist, sowie jede Netzwerk- oder Kommunikationsschnittstelle.
In der Praxis bedeutet das: Nahezu jede moderne Maschine fällt unter die Cybersecurity-Anforderungen. Eine rein mechanische Maschine ohne jede Elektronik wäre ausgenommen, aber solche Maschinen werden immer seltener. Sobald eine SPS, ein Frequenzumrichter mit Netzwerkschnittstelle oder ein HMI-Panel verbaut ist, gelten die neuen Anforderungen.
Betreiber
Betreiber von Maschinen sind nicht direkt Adressaten der Maschinenverordnung (die regelt das Inverkehrbringen). Aber sie sind indirekt betroffen:
Neue Maschinen werden sicherer. Ab 2027 gekaufte Maschinen müssen die Cybersecurity-Anforderungen erfüllen. Betreiber können und sollten das bei der Beschaffung einfordern und prüfen.
Bestandsanlagen bleiben unverändert. Maschinen, die vor dem 20. Januar 2027 in Betrieb genommen wurden, fallen nicht unter die neue Verordnung. Der bestehende Maschinenpark muss also weiterhin durch betreiberseitige Maßnahmen geschützt werden.
Wesentliche Veränderungen. Wenn eine bestehende Maschine wesentlich verändert wird (z.B. durch eine neue Steuerung, eine Netzwerkanbindung oder eine Softwaremodifikation, die die Sicherheit betrifft), kann sie als „neue Maschine" eingestuft werden und muss dann die Anforderungen der neuen Verordnung erfüllen. Das ist besonders relevant für Retrofitting-Projekte.
Risikobeurteilung um Cybersecurity erweitern
Die Maschinenverordnung fordert, dass Hersteller Cybersecurity-Risiken in ihre Risikobeurteilung einbeziehen. Das ist eine signifikante Erweiterung der bisherigen Praxis, bei der die Risikobeurteilung nach EN ISO 12100 primär mechanische, elektrische, thermische und ergonomische Gefährdungen betrachtete.
Der erweiterte Risikobeurteilungsprozess
Die Risikobeurteilung muss nun zusätzlich folgende Aspekte berücksichtigen:
Identifikation der digitalen Schnittstellen. Welche Kommunikationsschnittstellen hat die Maschine? Ethernet, USB, serielle Schnittstellen, Feldbusse, drahtlose Verbindungen (WLAN, Bluetooth, 5G)? Jede Schnittstelle ist ein potenzieller Angriffsvektor.
Identifikation der sicherheitsrelevanten Software. Welche Softwarekomponenten steuern Sicherheitsfunktionen? Wo liegt die Grenze zwischen sicherheitsrelevanter und nicht-sicherheitsrelevanter Software? Diese Grenze muss klar definiert sein.
Bedrohungsanalyse. Welche Angriffe sind über die identifizierten Schnittstellen möglich? Wer sind die potenziellen Angreifer (Insider, externe Angreifer, Wartungsdienstleister)? Welche Fähigkeiten haben sie?
Risikobewertung. Wie wahrscheinlich ist ein erfolgreicher Angriff? Welche Auswirkungen hat er auf die Sicherheit von Personen? Hier unterscheidet sich die Maschinensicherheit fundamental von der klassischen IT-Security: Es geht nicht um Datenverlust oder Geschäftsunterbrechung, sondern um Personenschäden.
Maßnahmenableitung. Welche konstruktiven Maßnahmen reduzieren die Cybersecurity-Risiken? Die Priorität folgt der bewährten Dreistufenmethode der Maschinensicherheit: 1. Inhärent sichere Konstruktion (z.B. Safety-SPS mit separatem, nicht aus dem Netzwerk erreichbarem Sicherheitskanal), 2. Technische Schutzmaßnahmen (z.B. Authentifizierung, Verschlüsselung, Netzwerksegmentierung in der Maschine), 3. Benutzerinformation (z.B. Hinweise in der Betriebsanleitung zur sicheren Netzwerkintegration).
Harmonisierte Normen
Zum Zeitpunkt der Erstellung dieses Artikels sind die harmonisierten Normen zur Maschinenverordnung noch in Entwicklung. Folgende Normen sind besonders relevant:
EN ISO 12100 (Revision): Die Grundnorm für Risikobeurteilung wird um Cybersecurity-Aspekte erweitert.
IEC 62443: Der bestehende Standard für industrielle Cybersicherheit wird voraussichtlich als (teilweise) harmonisierte Norm unter der Maschinenverordnung gelistet. Insbesondere IEC 62443-4-1 (sichere Produktentwicklung) und IEC 62443-4-2 (technische Sicherheitsanforderungen für Komponenten) sind relevant.
EN ISO 13849 und IEC 62061: Die bestehenden Normen für funktionale Sicherheit von Steuerungen müssen im Kontext der Cybersecurity-Anforderungen interpretiert werden. Eine Safety-SPS, die nach EN ISO 13849 PL e erreicht, aber keine Cybersecurity-Maßnahmen hat, erfüllt die Maschinenverordnung nicht vollständig.
CE-Kennzeichnung und Konformitätsbewertung
Die Cybersecurity-Anforderungen sind Teil der Essential Requirements der Maschinenverordnung. Das bedeutet: Sie müssen für die CE-Kennzeichnung erfüllt sein. Ein Hersteller, der seine Maschine mit dem CE-Zeichen versieht, bestätigt damit auch die Einhaltung der Cybersecurity-Anforderungen.
Konformitätsbewertungsverfahren
Die Maschinenverordnung definiert verschiedene Konformitätsbewertungsverfahren, abhängig von der Risikoklasse der Maschine:
Für Maschinen in Anhang I (Hochrisiko-Maschinen): EU-Baumusterprüfung durch eine benannte Stelle (Notified Body) oder umfassendes Qualitätssicherungssystem. Zu den Hochrisiko-Maschinen gehören unter anderem: Pressen, Sägen, Spritzgießmaschinen, Aufzüge und bestimmte Hebezeuge.
Für alle anderen Maschinen: Interne Fertigungskontrolle (Selbstbewertung durch den Hersteller). Der Hersteller stellt die Konformität selbst fest und erstellt die EU-Konformitätserklärung.
In beiden Fällen muss die technische Dokumentation nachweisen, dass die Cybersecurity-Anforderungen erfüllt sind. Das umfasst: die erweiterte Risikobeurteilung, die identifizierten Cybersecurity-Risiken, die implementierten Maßnahmen und den Nachweis ihrer Wirksamkeit.
Auswirkungen auf die Betriebsanleitung
Die Maschinenverordnung fordert, dass die Betriebsanleitung Informationen enthält, die der Betreiber für die sichere Nutzung der Maschine benötigt. Im Cybersecurity-Kontext bedeutet das:
- Empfehlungen für die sichere Netzwerkintegration der Maschine
- Hinweise auf erforderliche Schutzmaßnahmen betreiberseitig (Firewall, Segmentierung)
- Informationen über verfügbare Sicherheitsupdates und wie sie eingespielt werden
- Angaben zu den verwendeten Kommunikationsprotokollen und Schnittstellen
- Hinweise auf Standard-Zugangsdaten und die Notwendigkeit, diese zu ändern
Für Betreiber sind diese Informationen Gold wert: Sie liefern die Grundlage für die betreiberseitige Risikobeurteilung und die Integration der Maschine in das ISMS.
Abgrenzung zu NIS2 und Cyber Resilience Act
Die EU-Maschinenverordnung steht nicht isoliert, sondern ist Teil eines regulatorischen Ökosystems, das Cybersecurity aus verschiedenen Perspektiven adressiert. Die Abgrenzung ist wichtig, damit du verstehst, welche Pflichten für dich gelten.
NIS2: Betreiberpflichten
NIS2 richtet sich an Betreiber von Netz- und Informationssystemen in regulierten Sektoren. Sie fordert ein Risikomanagement, Incident Response, Meldepflichten und Lieferkettensicherheit. NIS2 sagt nicht, wie eine Maschine gebaut sein muss, sondern wie der Betreiber seine Systeme (einschließlich Maschinen) schützen muss.
Ergänzung zur Maschinenverordnung: Die Maschinenverordnung sorgt dafür, dass neue Maschinen sicherere Grundeigenschaften haben. NIS2 sorgt dafür, dass der Betreiber diese Maschinen sicher betreibt und in ein umfassendes Sicherheitskonzept einbettet.
Cyber Resilience Act (CRA): Digitale Produkte
Der Cyber Resilience Act richtet sich an Hersteller digitaler Produkte (Hard- und Software) und fordert Cybersecurity über den gesamten Produktlebenszyklus: sichere Entwicklung, Schwachstellenmanagement und Sicherheitsupdates.
Abgrenzung zur Maschinenverordnung: Der CRA gilt grundsätzlich für alle Produkte mit digitalen Elementen. Die Maschinenverordnung ist lex specialis für Maschinen. Für die Cybersecurity-Anforderungen an Maschinen gilt primär die Maschinenverordnung. Der CRA kann ergänzend gelten, insbesondere für Softwarekomponenten, die separat in Verkehr gebracht werden.
Das Regulierungsdreieck in der Praxis
Für ein mittelständisches Unternehmen, das Maschinen sowohl herstellt als auch betreibt, ergibt sich folgendes Bild:
| Rolle | Regulierung | Pflichten |
|---|---|---|
| Als Maschinenhersteller | Maschinenverordnung 2023/1230 | Cybersecurity in Risikobeurteilung, CE-Kennzeichnung, sichere Konstruktion |
| Als Maschinenhersteller | Cyber Resilience Act | Sichere Entwicklung, Schwachstellenmanagement, Sicherheitsupdates |
| Als Maschinenbetreiber | NIS2 (falls betroffen) | Risikomanagement, Incident Response, Meldepflichten, Supply Chain |
Die gute Nachricht: Die Anforderungen überschneiden sich erheblich. Ein Hersteller, der IEC 62443 umsetzt, erfüllt einen Großteil der Anforderungen aller drei Regulierungen. Ein Betreiber, der ein ISMS nach ISO 27001 betreibt und OT-Sicherheit einbezieht, deckt sowohl NIS2 als auch die betreiberseitigen Implikationen der Maschinenverordnung ab.
Was Maschinenbauer jetzt tun sollten
Risikobeurteilung erweitern
Beginne damit, deine bestehende Risikobeurteilung (nach EN ISO 12100) um Cybersecurity-Aspekte zu erweitern. Identifiziere die digitalen Schnittstellen deiner Maschinen, die sicherheitsrelevante Software und die möglichen Bedrohungen. Nutze IEC 62443 als Leitfaden für die Bedrohungsanalyse.
Secure-by-Design-Prinzipien einführen
Integriere Cybersecurity in deinen Entwicklungsprozess. Das bedeutet nicht, dass du sofort IEC 62443-4-1 zertifiziert sein musst. Aber grundlegende Prinzipien wie Least Privilege (nur die minimal nötigen Zugriffsrechte), Defense in Depth (mehrere Schutzschichten), Secure Defaults (sichere Standardkonfiguration) und Fail Secure (bei einem Fehler in den sicheren Zustand gehen) solltest du in deine Konstruktionsprinzipien aufnehmen.
Sicherheitsupdates ermöglichen
Stelle sicher, dass deine Maschinen sicher aktualisiert werden können. Die besonderen Herausforderungen dabei beschreibt der Artikel zum Patch-Management in der OT. Das umfasst: einen Mechanismus für Firmware-Updates der Steuerung, signierte Update-Pakete zur Integritätsprüfung, einen dokumentierten Update-Prozess und einen Support-Zeitraum, in dem du Sicherheitsupdates bereitstellst.
Betriebsanleitung anpassen
Ergänze die Betriebsanleitung um Cybersecurity-Informationen: Empfehlungen für die Netzwerkintegration, Hinweise auf Sicherheitsupdates, Angaben zu Schnittstellen und Protokollen, Empfehlungen für Zugangskontrollen.
Normung beobachten
Verfolge die Entwicklung der harmonisierten Normen zur Maschinenverordnung. Insbesondere die Revision von EN ISO 12100 und die Harmonisierung von IEC 62443 werden konkrete Leitlinien für die Umsetzung liefern.
Was Maschinenbetreiber jetzt tun sollten
Beschaffungsprozess anpassen
Ab 2027 kannst du von Maschinenherstellern verlangen, dass neue Maschinen die Cybersecurity-Anforderungen der Maschinenverordnung erfüllen. Integriere Cybersecurity-Kriterien in deine Beschaffungsspezifikationen: Welche Sicherheitsfunktionen muss die Maschine bieten? Wie muss die Netzwerkanbindung gestaltet sein? Welche Update-Möglichkeiten gibt es? Wie lange wird der Hersteller Sicherheitsupdates bereitstellen?
Bestandsanlagen inventarisieren
Erstelle ein Inventar deiner bestehenden Maschinen mit digitalen Elementen. Dokumentiere für jede Maschine: Welche Steuerung ist verbaut? Welche Netzwerkschnittstellen gibt es? Welche Firmware-Version läuft? Welche Sicherheitsfunktionen sind vorhanden? Was fehlt? Dieses Inventar ist die Grundlage für die Risikobewertung und die Planung von Nachrüstungsmaßnahmen. In ISMS Lite lassen sich Maschinen mit digitalen Elementen erfassen und die zugehörigen Cybersecurity-Maßnahmen mit der Risikobewertung verknüpfen, 500 Euro pro Jahr für den kompletten Funktionsumfang.
Netzwerkintegration überprüfen
Prüfe, wie deine Maschinen in dein Netzwerk eingebunden sind. Stehen sie in einem segmentierten OT-Netzwerk nach dem Purdue-Modell? Sind die Wartungszugänge abgesichert? Gibt es direkte Verbindungen aus dem Internet? Die Maschinenverordnung fordert, dass die Netzwerkverbindung einer Maschine keine gefährliche Situation erzeugt. Das ist nur gegeben, wenn die betreiberseitige Netzwerkintegration sicher ist.
OT-Sicherheit ins ISMS integrieren
Wenn du unter NIS2 fällst, ist die Integration von OT-Sicherheit in dein ISMS ohnehin Pflicht. Die Maschinenverordnung liefert dir dafür zusätzliche Informationen: Die Betriebsanleitungen neuer Maschinen werden Cybersecurity-Empfehlungen enthalten, die du in deine Maßnahmenplanung einfließen lassen kannst.
Häufig gestellte Fragen
Gilt die Verordnung auch für gebrauchte Maschinen?
Nein. Die Maschinenverordnung gilt für das erstmalige Inverkehrbringen oder die erstmalige Inbetriebnahme einer Maschine auf dem EU-Markt. Gebrauchte Maschinen, die bereits vor dem 20. Januar 2027 in Betrieb waren, fallen nicht unter die neue Verordnung, solange sie nicht wesentlich verändert werden.
Allerdings: Wenn du eine gebrauchte Maschine wesentlich veränderst (z.B. eine komplett neue Steuerung einbaust oder die Maschine mit einer vorher nicht vorhandenen Netzwerkanbindung ausstattest), kann die Maschine als neu eingestuft werden. In diesem Fall musst du die Anforderungen der neuen Verordnung erfüllen und eine neue Konformitätserklärung ausstellen.
Was bedeutet „wesentliche Veränderung"?
Die Maschinenverordnung definiert erstmals den Begriff der wesentlichen Veränderung: Eine Modifikation, die nicht vom Hersteller vorgesehen ist und die die Sicherheit der Maschine betrifft, sodass eine neue Risikobeurteilung erforderlich wird. Im Cybersecurity-Kontext könnte das sein: Das Nachrüsten einer Netzwerkanbindung an einer bisher isolierten Maschine, der Austausch der Safety-SPS gegen ein anderes Modell oder die Installation einer neuen SCADA-Software, die die Sicherheitsarchitektur verändert.
Brauche ich eine benannte Stelle (Notified Body)?
Das hängt von der Risikoklasse deiner Maschine ab. Maschinen, die in Anhang I der Verordnung aufgelistet sind (Hochrisiko-Maschinen wie Pressen, Sägen, Aufzüge), benötigen eine Konformitätsbewertung durch eine benannte Stelle. Für alle anderen Maschinen reicht eine Selbstbewertung (interne Fertigungskontrolle) durch den Hersteller.
Wichtig: Die Cybersecurity-Anforderungen sind Teil der Essential Requirements. Die benannte Stelle wird also auch die Cybersecurity-Aspekte prüfen, wenn eine Baumusterprüfung erforderlich ist.
Wie hängt die Maschinenverordnung mit der CE-Kennzeichnung zusammen?
Die CE-Kennzeichnung bestätigt, dass die Maschine alle anwendbaren Essential Requirements der Maschinenverordnung erfüllt. Ab dem 20. Januar 2027 schließt das die Cybersecurity-Anforderungen ein. Ein Hersteller, der seine Maschine mit dem CE-Zeichen versieht, erklärt damit auch, dass die Cybersecurity-Anforderungen erfüllt sind.
Wenn bei einer Marktüberwachung festgestellt wird, dass die Cybersecurity-Anforderungen nicht erfüllt sind, kann die Marktüberwachungsbehörde den Rückruf der Maschine anordnen oder ein Vertriebsverbot aussprechen. Das ist eine erhebliche Verschärfung gegenüber dem bisherigen Zustand, in dem Cybersecurity kein Kriterium für die CE-Kennzeichnung war.
Praktische Empfehlungen für die Übergangszeit
Die verbleibende Zeit bis Januar 2027 ist knapp. Hier sind die wichtigsten Handlungsempfehlungen:
Für Maschinenhersteller, die noch nicht begonnen haben: Starte sofort mit einer Bestandsaufnahme deiner Produktpalette. Welche Maschinen haben digitale Elemente? Welche Kommunikationsschnittstellen existieren? Welche Sicherheitsfunktionen werden durch Software gesteuert? Auf dieser Basis kannst du priorisieren, welche Produkte den größten Anpassungsbedarf haben.
Für Maschinenhersteller, die bereits IEC 62443 umsetzen: Du bist gut aufgestellt. Prüfe, ob deine bestehende IEC-62443-Dokumentation die spezifischen Anforderungen der Maschinenverordnung abdeckt. Ergänze die Risikobeurteilung nach EN ISO 12100 um die Cybersecurity-Aspekte und passe die Betriebsanleitung an.
Für Maschinenbetreiber: Nutze die Zeit, um deinen Maschinenpark zu inventarisieren. Welche Maschinen haben digitale Elemente? Wie sind sie vernetzt? Welche Sicherheitsmaßnahmen fehlen? Beginne mit den betreiberseitigen Maßnahmen (Netzwerksegmentierung, Zugangskontrolle, Monitoring), die unabhängig von der Maschinenverordnung sinnvoll sind. Und bereite deine Beschaffungsprozesse vor, damit du ab 2027 Cybersecurity-Anforderungen in Ausschreibungen und Lastenheften aufnehmen kannst.
Für alle: Baue Cybersecurity-Kompetenz in der OT auf. Das erfordert Schulungen sowohl für Automatisierungsingenieure (die Cybersecurity verstehen müssen) als auch für IT-Security-Fachleute (die OT verstehen müssen). Die Kombination beider Kompetenzen ist selten und entsprechend wertvoll.
Zeitplan und Übergangsfristen
| Datum | Ereignis |
|---|---|
| 29. Juni 2023 | Veröffentlichung der Verordnung (EU) 2023/1230 |
| 20. Januar 2027 | Anwendungsbeginn der Verordnung |
| Ab 20. Januar 2027 | Neue Maschinen müssen die Anforderungen erfüllen |
| Ab 20. Januar 2027 | Maschinenrichtlinie 2006/42/EG aufgehoben |
Es gibt keine gestaffelten Übergangsfristen. Ab dem 20. Januar 2027 gelten die neuen Anforderungen vollständig für alle neu in Verkehr gebrachten Maschinen.
Für Maschinenbauer bedeutet das: Die Vorbereitungszeit läuft. Die Erweiterung der Risikobeurteilung, die Anpassung der Konstruktionsprinzipien, die Qualifizierung der Mitarbeiter und die Aktualisierung der Dokumentation brauchen Zeit. Wer erst 2027 anfängt, wird Probleme bekommen.
Für Betreiber bedeutet das: Ab 2027 bekommst du sicherere Maschinen. Aber dein Bestandsmaschinenpark ändert sich nicht automatisch. Die betreiberseitigen Maßnahmen (Netzwerksegmentierung, Monitoring, Patch-Management, Zugangskontrolle) bleiben weiterhin in deiner Verantwortung.
Weiterführende Artikel
- OT-Sicherheit im Mittelstand: Warum die Produktionssteuerung ins ISMS gehört
- SCADA und SPS absichern: Praxismaßnahmen ohne Produktionsstopp
- Risikobewertung für OT-Systeme: Andere Prioritäten als in der IT
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- Patch-Management in der OT: Wenn du nicht einfach updaten kannst