Kein Safety ohne Security (Quelle: Phoenix Contact)
„Die kommende Maschinenverordnung betrifft nicht nur EU-Unternehmen, sondern auch Hersteller außerhalb Europas, sofern sie nach Europa exportieren“, stellt Carsten Gregorius klar. „Diese neue Verordnung wird einige Änderungen mit sich bringen.“ Eine der zentralen Neuerungen: Safety ohne Security wird es künftig nicht mehr geben. Ohne IT-Sicherheit erhält keine Maschine mehr eine CE-Kennzeichnung. „Safety-Funktionen müssen digital abgesichert sein – das ist ein Paradigmenwechsel“, betont C. Gregorius. Ein weiteres zentrales Thema ist die digitale Betriebsanleitung: Das klassische Papierhandbuch wird durch eine dynamische, revisionssichere und maschinenspezifische digitale Version ersetzt. „Man kann jetzt schon mit diesem Thema starten“, so der Experte.
Die Maschinenverordnung verzichtet zwar auf den Begriff „Künstliche Intelligenz“, spricht aber explizit von „selbstlernenden Maschinen“ – im Kontext funktionaler Sicherheit. Damit stellt sich die Frage: Wie lange darf ein sicherheitsrelevantes System nach der Inbetriebnahme noch lernen? „Wir stehen hier technologisch noch am Anfang, aber regulatorisch ist das eine der spannendsten Fragen der nächsten Jahre“, erklärt C. Gregorius. Vergleichbar sei das mit dem Auto, wo Fahrerassistenzsysteme dem Menschen helfen, aber (noch) nicht vollständig autonom agieren dürfen.
Zwischen MVO und CRA: Die doppelte Herausforderung
Während die MVO ab 20. Januar 2027 verbindlich wird, gilt für den CRA eine Übergangsfrist bis 11. Dezember 2027. „Das Zeitfenster ist enger, als viele denken“, warnt C. Gregorius. „Es müssen komplette Automatisierungskonzepte neu bewertet werden – und Maschinen, die neu in Verkehr gebracht werden, müssen der MVO entsprechen.“
Torsten Gast führt aus: „Viele kleinere Maschinenbauer wissen gar nicht, dass sie vom CRA betroffen sind – das ist ein riesiges Awareness-Thema.“ Betroffen sind nicht nur Produkte, sondern auch prozessuale Vorgaben wie neue Meldewege– sowohl in Richtung Endkunden als auch Behörden. „Auch interne Prozesse und Mitarbeitende müssen berücksichtigt werden“, so T. Gast. C. Gregorius hebt hervor.“ Deshalb rät er dazu, sofort zu starten – mit der Risikoanalyse, mit der Normenprüfung und mit der Lieferantenevaluierung.
Umsetzung im Detail noch nicht geklärt
„Aktuell sind viele Details der Umsetzung noch unklar“, erläutert T. Gast. Für den CRA wurden diverse neue Normen in Auftrag gegeben, deren letzte voraussichtlich erst kurz vor dem Inkrafttreten des CRA veröffentlicht wird. „Das wird sportlich.“ Zwar bleibt die IEC 62443 weiter relevant, aber die Konformitätsvermutung wird künftig auch aus weiteren neuen Normen abgeleitet. Die MVO erlaubt es ebenfalls, alternative Security-Zertifizierungen anzuerkennen. „Der CRA bezieht sich auf die komplette Maschine, die MVO nur auf sicherheitsrelevante Funktionen“, präzisiert C. Gregorius.
Eine Schlüsselrolle wird die geplante prEN 50742 einnehmen. Sie soll funktionale Sicherheit und IT-Security methodisch verbinden. Dabei treffen unterschiedliche Zielgruppen aufeinander: „Während Security bisher IT-Experten betrifft, ist für die MVO der Maschinenkonstrukteur zuständig“, sagt C. Gregorius. „Konstrukteure verstehen SIL und Performance Level – Bedrohungsszenarien aber sind ihnen oft fremd.“ Ziel sei es, eine gemeinsame Sprache und Bewertungssystematik zu schaffen.
„Konstrukteure müssen ihre bestehenden Automatisierungskonzepte neu bewerten“, empfiehlt C. Gregorius. Neben der klassischen Risikobeurteilung wird eine zusätzliche Bedrohungsanalyse notwendig. „Die Bewertung erfolgt top-down – von der Architektur bis zur Einzelkomponente.“ Dabei ist kein einheitliches Security Level für alle Komponenten notwendig, sondern ein abgestuftes Konzept sinnvoll – ähnlich wie bei der Risikobeurteilung nach der Maschinenrichtlinie.
Marcel Becker warnt: „Maschinenhersteller werden erleben, dass im Einzelfall bisher eingesetzte Produkte abgekündigt werden – neue Komponenten müssen eingeplant werden.“ Das bedeutet häufig eine komplette Neubewertung oder gar Neukonstruktion der Automatisierung. Besonders für kleine Unternehmen sei das angesichts der parallelen Anforderungen aus MVO, CRA und NIS-2 eine große Herausforderung. „Betroffen ist auch das Lieferantenmanagement – inklusive der geforderten Dokumentation“, betont T. Gast. Das Bundeskabinett hat am 23. Juli das nationale Umsetzungsgesetz der europäischen NIS-2-Richtline beschlossen.
Engineering-Unterstützung in jeder Projektphase
„Maschinenhersteller müssen sich mit der MVO, aber auch mit den relevanten harmonisierten Normen beschäftigen“, weiß M. Becker. Phoenix Contact bietet vielfältige Dienstleistungen zur normgerechten Umsetzung sicherheitsgerichteter Systeme. Das beginnt bereits mit der richtigen Interpretation der Inhalte der neuen Maschinenverordnung und der entsprechenden harmonisierten Normen, auch in Bezug auf die Risikoanalyse für die Security, setzt sich fort mit der Ausarbeitung der Konzepte zur Umsetzung, und reicht bis zur Dokumentation. Als Trumpf sieht M. Becker die digitale Verfügbarkeit aller Informationen über ein Produkt mit dem digitalen Typenschild. Das erleichtert die Dokumentation und die Revision. „Der Maschinenbauer kann die mittlerweile von Phoenix Contact angebotenen digitalen Typenschilder in seiner Verwaltungsschale verwenden“, stellt er heraus. Diese stehen für neue Produkte zur Verfügung und werden nach und nach auf die Bestandsprodukte ausgeweitet. Das digitale Typenschild ermögliche eine einfache Aktualisierung und Pflege von Sicherheitsinformationen im laufenden Betrieb.
„Unser Einstieg in die Thematik beim Kunden hängt von dessen Anforderungen ab“, fährt T. Gast fort. „Wir verstehen uns als ,Steigbügelhalter‘ für unsere Kunden – mit Know-how, Tools und persönlicher Beratung.“ Für KMU besonders wichtig: Schulung, E-Learning und Remote-Support-Angebote, die skalierbar und individuell zugeschnitten sind, bis hin zur TÜV-Schulung mit Zertifikat.
Als Plus stellt T. Gast heraus, dass Kunden bei Phoenix Contact sowohl Lösungen für Safety als auch für OT-Security zur Verfügung gestellt bekommen. „Unsere Kunden profitieren davon, beides bei uns aus einer Hand zu finden.“