Neue Maschinenverordnung fordert verstärkte Cybersicherheitsstandards

Die neue MVO soll den gestiegenen Risiken in den Bereichen Digitalisierung, Cybersicherheit und Künstlicher Intelligenz (KI) Rechnung tragen. (Bildquelle: AdobeStock / Attasit)

Im Zuge der fortschreitenden Digitalisierung integrieren Maschinen und Geräte zunehmend mehr Softwarekomponenten. Dies hat die EU in ihrer neuen Maschinenverordnung (MVO) aufgegriffen, die nach einer Übergangsperiode die bisherige Maschinenrichtlinie ablöst. Diese Verordnung verlangt Anpassungen von Händlern, Herstellern und Betreibern, wobei TÜV SÜD entscheidende Hinweise für die Umsetzung liefert.

Ein wesentlicher Bestandteil der Neuerung ist die Ablösung der gedruckten Betriebsanleitung durch einen QR-Code, der Nutzer zu einer digitalen Version führt. Eine gedruckte Version muss nur noch auf speziellen Wunsch des Kunden vom Hersteller bereitgestellt werden. Die Verordnung 2023/1230 (MVO) sieht jedoch vor, dass bei Maschinen, die von Laien genutzt werden, weiterhin eine Anleitung in Papierform erforderlich ist.

Neue Adressaten

Die neueste Maschinenverordnung (MVO) reagiert auf die zunehmenden Gefahren, die durch Digitalisierung, Cybersicherheit und Künstliche Intelligenz (KI) entstehen. Sie zielt darauf ab, Maschinen gegen Missbrauch und Betrug besser abzusichern, Herausforderungen, die mit der digitalen Transformation eng verknüpft sind. Diese Verordnung wurde ins Leben gerufen, um eine robuste Antwort auf diese Risiken zu bieten und umfassenden Schutz zu gewährleisten.

Die Anwendungsbereiche der MVO sind breit gefächert und umfassen eine Vielzahl von Geräten - von Maschinen wie Rührwerken, Pumpen und Kompressoren über Anlagen zur Destillation, Filtration und Trennung. Die Regelungen erstrecken sich ebenso auf Pedelecs, die innerbetrieblich genutzt werden, sowie auf Hebezeuge. Selbst elektrisch verstellbare Schreibtische fallen unter die Bestimmungen der neuen MVO.

Die neue MVO ist im Juli 2023 in Kraft getreten und ersetzt ab 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG (MaschRL). (Bildquelle: AdobeStock / Attasit)

Eine wichtige Neuerung betrifft die Verantwortlichkeit für die Umsetzung der MVO: Die Adressaten in der Verordnung sind Hersteller, Händler, Einführer und Bevollmächtigte der Maschinen. Sofern Betreiber „wesentliche Veränderungen“ an der Maschine vornehmen, werden auch sie rechtlich als Hersteller betrachtet. Als „wesentliche Veränderung“ kann bereits die Veränderung der Software gelten. Wer also werksseitig Veränderungen an einer gekauften Maschine vornimmt, muss sich mit der MVO befassen.

Plattform für Angriffe von außen wird größer

Die neue Maschinenverordnung (MVO), die im Juli 2023 in Kraft trat und die frühere Maschinenrichtlinie 2006/42/EG ersetzt, wird erst nach einer Übergangszeit von 42 Monaten, also ab dem 20. Januar 2027, vollständig wirksam sein. TÜV SÜD rät dennoch dazu, sich schon jetzt auf die kommenden Änderungen einzustellen, um bei Schadensfällen Sicherheits- und Haftungsrisiken vorzubeugen.

Mit dem Aufkommen der Digitalisierung betrachtet die neue MVO Maschinen zusammen mit ihren Sensoren und der zugehörigen Software als eine einzige Einheit. In den letzten Jahren wurden viele Anlagen, besonders in der Chemie- und Prozessindustrie sowie im Maschinenbau, mit vernetzten Sensoren und zusätzlicher Software ausgestattet, was die Angriffsfläche für Cyberangriffe vergrößert. Die MVO berücksichtigt nun diese technologischen Entwicklungen auf regulatorischer Ebene.

Die Anforderungen an die Cybersicherheit, einschließlich der Steuerungssysteme und der verwendeten Künstlichen Intelligenz, nehmen zu. Auch autonome Maschinen, ferngesteuerte Geräte und kollaborative Roboter, sogenannte Cobots, stehen im Fokus. Gemäß MVO müssen alle Maschinen so konzipiert sein, dass sowohl absichtliche als auch unabsichtliche Manipulationen verhindert werden, einschließlich derer, die über Fernzugriffe erfolgen könnten. Diese spezifischen Vorschriften sind unter anderem in Anhang III Teil B der MVO festgelegt.

Eine Erleichterung gibt es allerdings in Bezug auf die Cybersicherheit: Hier gelten die Vorgaben der MVO als erfüllt, wenn bereits eine Zertifizierung oder Konformitätserklärung gemäß dem European Cybersecurity Act 2019/881 über Cybersicherheit vorliegt. In dem Fall wird davon ausgegangen, dass auch den Anforderungen der MVO genüge getan wird, wie sie in den Abschnitten 1.1.9 und 1.2.1 der MVO definiert sind.

Höchste Sicherheitsstandards, strengere Regeln

Die MVO intensiviert die Sicherheitsanforderungen für eine spezifische Kategorie von Maschinen, die im Anhang I Teil B gelistet und in sechs Risikokategorien unterteilt sind. Maschinen dieser Kategorien, die aufgrund ihres erhöhten Risikopotentials klassifiziert sind, unterliegen einer strengeren Konformitätsbewertung, die nicht intern durchgeführt werden kann, sondern durch eine notifizierte Stelle erfolgen muss. Ziel ist es, die Einhaltung höchster Sicherheitsstandards zu garantieren.

Zu diesen Kategorien zählen unter anderem Systeme, die Künstliche Intelligenz und maschinelles Lernen für Sicherheitsfunktionen verwenden und sich selbständig weiterentwickeln können. Maschinen, in die solche Systeme integriert sind, müssen ebenfalls von einer notifizierten Stelle bewertet werden. Weitere Beispiele für Maschinen, die eine externe Konformitätsbewertung benötigen, sind abnehmbare Gelenkwellen mit ihren Schutzeinrichtungen, Fahrzeugwartungslifte und Befestigungs- sowie Montagegeräte, die mit Magazinen für Schrauben oder Nägel ausgestattet sind.

Experten von TÜV SÜD raten dazu, den Anhang der MVO regelmäßig zu überprüfen, da die Liste der Maschinen, die eine Bewertung durch eine notifizierte Stelle erfordern, fortlaufend aktualisiert wird. Obwohl die MVO viele Übereinstimmungen mit der bisherigen Maschinenrichtlinie aufweist, bringen insbesondere die neuen Regelungen zur Cybersicherheit und zum Einsatz von KI signifikante Änderungen mit sich.

Für Unternehmensentscheider ist es daher ratsam, sich frühzeitig auf die Änderungen vorzubereiten. Oft ist eine Neubewertung der bestehenden Maschinen erforderlich, sei es aufgrund veränderter Software oder ergänzter Systeme des maschinellen Lernens. Wer proaktiv handelt, kann so Sicherheits- und Haftungsrisiken im Schadensfall minimieren.