Bild 01: In den meisten Unternehmen müssen die verschiedensten Steuerungssysteme und unterschiedlichsten Protokolle zusammenarbeiten. (Quelle: Wieland Electric)
Der Maschinen- und Anlagenbau steht vor einer besonderen Ausgangslage, denn in den meisten Betrieben existiert eine hochgradig heterogene Infrastruktur: So müssen vielerorts die verschiedensten Steuerungssysteme und unterschiedlichsten Protokolle zusammen arbeiten (Bild 1). Diese technologische Vielfalt ist für den Betrieb zwar unvermeidlich, erschwert aber die Einführung einheitlicher Sicherheitsstandards erheblich. Hinzu kommt die Konvergenz von OT und IT. Es sind meist zwei Welten mit gänzlich unterschiedlichen Sicherheitsphilosophien, Verantwortlichkeiten und Prioritäten.
Doppelter regulatorischer Rahmen
Ab 2027 greift mit der neuen Maschinenverordnung (EU) 2023/1230 (MVO) [2] und dem Cyber Resilience Act (EU) 2024/2847 (CRA) [3] ein doppelter regulatorischer Rahmen, der Cybersecurity nicht mehr als freiwillige Maßnahme, sondern als rechtlich bindende Voraussetzung für Marktzugang und Produkthaftung definiert. Unternehmen müssen künftig nicht nur zeigen, dass ihre Maschinen mechanisch und elektrisch sicher sind, sondern auch, dass sie digitale Risiken systematisch beherrschen, von sicheren Software-Updates über Schutz vor Manipulation bis hin zur Abwehr gezielter Angriffe.
Was bislang oft als Best Practice für besonders sicherheitsbewusste Hersteller galt, wird damit in naher Zukunft zur verbindlichen Pflicht. Für den Maschinenbau bedeutet das: Wer heute noch mit individuellen Insellösungen arbeitet oder Cybersecurity nur punktuell berücksichtigt, läuft Gefahr, in Zukunft nicht mehr zulassungsfähig zu sein. Der Handlungsdruck steigt, standardisierte Prozesse, durchgängige Risikoanalysen und nachhaltige Sicherheitskonzepte zu etablieren.
Die MVO wird ab dem 20. Januar 2027 gültig sein und trägt den tiefgreifenden Veränderungen durch Digitalisierung, KI und Vernetzung Rechnung. Neu ist: Cybersecurity wird explizit als Bestandteil der Maschinensicherheit verankert. Hersteller müssen künftig nachweisen, dass ihre Maschinen nicht nur mechanisch und elektrisch sicher sind, sondern auch digitale Risiken beherrscht werden, wie z. B. Manipulation durch Schadsoftware oder unsichere Fernzugriffe. Damit wächst die Verantwortung der Entwickler und Integratoren: Sicherheitsbetrachtungen müssen von Beginn an im Konstruktions- und Entwicklungsprozess berücksichtigt werden.
Der CRA wird ab dem 11. Dezember 2027 verbindliche Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ in allen Lebenszyklen vorgeben. Bereits ab dem 11. September 2026 gelten Meldepflichten für erkannte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Der CRA führt das CE‑Zeichen auf ein neues Niveau, denn Produkte müssen zukünftig auch Cyberresilienz nachweisen. Für besonders kritische Systeme ist sogar eine Drittparteienprüfung vorgesehen. Zudem gelten Vorgaben zu technischer Dokumentation (z. B. SBOM, Risikomodelle oder sichere Designs), Update‑Mechanismen und transparente Anwenderanweisungen.
Wer also nach den genannten Daten Maschinen oder Steuerungskomponenten neu auf den Markt bringt, muss diese Regelwerke erfüllt haben, andernfalls drohen Sanktionen – bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.