Neue EU-Verordnung EU-Maschinenverordnung verstärkt Fokus auf KI und Cybersecurity

Anbieter zum Thema

TÜV SÜD Industrie Service GmbH

Fujitsu Technology Solutions GmbH

FTAPI Software GmbH

Cohesity GmbH

Ab 20. Januar 2027 gilt die neue EU-Maschinenverordnung. Sie regelt die Herstellung, das Inverkehrbringen und die Inbetriebnahme von Maschinen. Erstmals berücksichtigt sie explizit aktuelle Entwicklungen bei Digitalisierung, Künstlicher Intelligenz und Cybersecurity.

Informationstechnologie und operative Technologie von Maschinen sind kaum mehr voneinander zu trennen. Software regelt den Energie- und Materialfluss sowie die Kommunikation in der Prozesskette. Ebenso ist sie unverzichtbar für die Überwachung und Auswertung. Durch die zunehmende Digitalisierung und Vernetzung entstehen aber weitere Gefahren und Einfallstore für Cyberangriffe. Auch der Einsatz von KI-Steuerungen in Maschinen und autonomen Fahrzeugen auf dem Betriebsgelände schafft neue Sicherheitsrisiken. In dieser Hinsicht galt die bisherige Maschinenrichtlinie vielen Experten als veraltet. Nun bildet die EU mit Inkrafttreten der neuen Maschinenverordnung (kurz: MVO) den Stand der Technik ab.

Erweiterter Geltungsbereich

Anders als die Maschinenrichtlinie muss die MVO nicht erst von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Als Verordnung gilt sie nach einer Übergangsfrist länderübergreifend. Das soll Unterschiede vermeiden, die sich aus der Vielzahl nationaler Umsetzungen ergeben könnten. So werden Hersteller sowie Händler entlastet und Hindernisse im Maschinenhandel abgebaut. Die MVO orientiert sich am New Legislative Framework (kurz: NLF), das Anforderungen für Konformitätsbewertungen, für die Zulassung von Prüfstellen und zum Monitoring von Märkten festlegt.

Bildergalerie

Erstmals verwendet die MVO den Begriff des „Wirtschaftsakteurs“. Damit benennt sie ausdrücklich, wer in ihrem Geltungsbereich steht. Und das sind mehr Akteure als bisher: Betroffen sind Hersteller, Importeure und Händler von Maschinen oder deren Bevollmächtigte. Außerdem bezieht die MVO Betreiber ein, die Gebrauchtmaschinen verkaufen und dadurch zu Händlern werden. Nach MVO gelten Betreiber, die eine Maschine mit Auswirkungen auf ihre Sicherheit verändern, als Hersteller mit den zugehörigen Pflichten.

Sicherheit an der Schnittstelle von IT und OT

Die MVO bezieht nicht nur die Hardware der Maschine, sondern auch deren Software explizit ein. Sie verpflichtet Betreiber mit dem neuen Kapitel 1.1.9 des Anhangs III, Maschinen und Software gegen Korrumpierung zu schützen. Dies soll ausdrücklich von Anfang an, also schon in der Konstruktionsphase, eingeplant werden. Das Ziel ist, riskante Zwischenfälle zu vermeiden. Das Risiko besteht beispielsweise dann, wenn eine Maschine ferngesteuert wird oder wenn Daten korrumpiert werden können. Komponenten, die Daten versenden, müssen in Bezug auf mögliche unberechtigte Zugriffe überwacht werden. Auch veränderte Konfigurationen der Sicherheitsprogramme von Maschinen sind zu belegen, selbst, wenn sie rechtmäßig erfolgen.

IIOT und Security

Vernetzte Produktion: Unternehmen müssen ihre Anlagen besser schützen

Ausgehend von derlei präventiven Maßnahmen wird das Konzept der Absicherung weitergedacht: Die Steuereinheiten von Maschinen müssen sicher und zuverlässig sein und unerlaubten Eingriffen, aber auch Bedienfehlern widerstehen. Ausfälle oder Beeinträchtigungen zum Beispiel von Sensoren dürfen nicht zu gefährlichen Zwischenfällen führen. Das heißt, Menschen und Umwelt müssen in jedem Fall vor den Auswirkungen möglicher Defekte geschützt werden. Steuerungen autonomer, mit KI ausgestatteter Maschinen müssen dafür sorgen, dass diese sich auf ihren vom Hersteller festgelegten Bereich beschränken und sich nur innerhalb dieses eng gesetzten Rahmens bewegen und entwickeln. Eine selbstlernende Maschine, selbst wenn diese unsicher geworden ist, muss jederzeit vom Menschen gestoppt werden können. Eine gefährliche Situation ist auch dann nicht zu rechtfertigen, wenn die Steuerung per Funk oder App ausfällt.

Wesentliche Änderung – neue Bewertung

Die MVO konkretisiert zudem die Anforderungen an die Konformitätserklärung. Besonders für „Hochrisikomaschinen“ (Anhang I, Teile A und B) kann das Prozedere komplex ausfallen. Dazu zählen unter anderem sicherheitsrelevante Bauteile, bei denen Künstliche Intelligenz zu selbstständiger Weiterentwicklung führt. Das können auch digitale Bestandteile und somit Software sein. Sollten technische Weiterentwicklungen dies erfordern, kann die Liste der „Hochrisikomaschinen“ jederzeit ergänzt und erweitert werden. Unter Umständen müssen Händler und Hersteller für die Konformitätsbewertung die Unterstützung einer benannten Stelle nutzen, sofern ihre Maschine im Anhang I aufgelistet ist. Einem Hersteller stehen unterschiedliche Module für Konformitätsbewertungsverfahren zur Verfügung (Beschluss Nr. 768/2008/EG).

Wird eine Maschine „wesentlich“ abgewandelt oder weiterentwickelt, ist eine neue Konformitätsbewertung notwendig. Wesentlich ist eine Veränderung dann, wenn sie neue Risiken erzeugt oder bekannte steigert. Dies kann beispielsweise durch den Einsatz einer neuen Steuerungssoftware mit erweiterten Möglichkeiten zur Datenübermittlung geschehen. Dann müssen neue Schutz- und Abwehrmaßnahmen ergriffen werden. Erst, wenn die Konformität sichergestellt ist, darf die abgewandelte Maschine in Betrieb genommen oder auf den Markt gebracht werden. In dieser Hinsicht schafft die MVO gegenüber der Maschinenrichtlinie klare Aussagen darüber, wann eine Konformitätserklärung einzuplanen ist.

So bereiten sich Händler und Hersteller vor

Eine Handreichung mit Blick auf die Cybersecurity ist die Norm IEC TR 63074:2019 „Maschinensicherheit – Aspekte zur Cybersicherheit in Verbindung mit der funktionalen Sicherheit von sicherheitsrelevanten Steuerungssystemen“. Anhaltspunkte für die cybersichere Entwicklung, die Einrichtung und den Betrieb von Steuerungssystemen zur Prozessautomatisierung und -überwachung (Industrial Automation and Control Systems, kurz IACS) bietet die Normenreihe IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Aktuell wird zudem der Technische Report ISO/IEC DTR 5469 „Artificial intelligence – Functional safety and AI systems“ entwickelt, der vor allem KI-Funktionen mit Einfluss auf die funktionale Sicherheit fokussiert.

Mit der Maschinenrichtlinie harmonisierte Normen müssen in der 42-monatigen Übergangszeit bis zur endgültigen Anwendung der MVO angepasst werden. Die Zeit sollten Betroffene nutzen, um sich mit den erweiterten Anforderungen und geänderten Begrifflichkeiten auseinanderzusetzen. Das gilt insbesondere für Akteure, die von der Maschinenrichtlinie bisher nicht betroffen waren. Es ist also wichtig, sich rechtzeitig zu positionieren – auch um wettbewerbsfähig zu bleiben.

Dieser Artikel stammt von unserem Partnerportal MM MaschinenMarkt.

* Rudolf Bültermann ist Projektleiter und Experte für Maschinensicherheit beim TÜV Süd.

* Pascal Staub-Lang leitet das Kompetenzzentrum Maschinensicherheit und die Abteilung Elektro- & Gebäudetechnik der TÜV-Süd-Niederlassung Saar-Pfalz in Sankt Ingbert.

* Benedikt Pulver leitet die Abteilung Maschinensicherheit beim TÜV Süd, die die Teams Smart Automation, Semiconductor Manufacturing und Field Evaluation beinhaltet..

(ID:50000363)