Cybersecurity: Was sich durch die Maschinenverordnung ändert

Endlich Urlaubzeit. Die meisten von Ihnen denken jetzt wahrscheinlich vorrangig an Sonne, Meer, Strand oder vielleicht auch Berge und vermutlich eher weniger an „wie steht's denn um meine Cyber-Sicherheit“. Oder liege ich da falsch? Trotzdem oder möglicherweise gerade aufgrund dessen erscheinen pünktlich – jährlich wiederkehrend – kurz vor dem ersehnten Ferienbeginn in den einschlägigen IT-Fachmagazinen die unvermeidlichen Tipps zur Cyber-Sicherheit rund um den Urlaub. Von „was zu beachten ist, bevor Sie ihr Büro verlassen“ bis hin zu „was kann alles kurz vor und im Urlaub passieren“.

Vieles wissen Sie aller Voraussicht nach bereits. Zum Beispiel, dass Sie auf einer Seite bei der kein Schloss-Symbol – oder noch plakativer ein „Nicht sicher“ – in der Browserleiste zu sehen ist, besser keine vertraulichen Daten eingegeben. Okay. Aber der Hinweis, dass es sinnvoll ist, vor Ihrem Urlaub noch ein Backup zu erstellen oder dass Sie sich bei der Abwesenheitsnotiz genau überlegen sollten, was Sie kommunizieren, ist schon hilfreicher – denn beides kann im Stress vor dem Urlaub schon einmal untergehen.

Dabei liegt es doch auf der Hand: Wenn sich in der Urlaubszeit die Unternehmen leeren, beginnt die Hoch-Zeit der Hacker – nicht zuletzt, weil diese davon ausgehen, dass eben nicht alles in Puncto Cyber-Sicherheit bedacht wurde.

Mit dieser Mutmaßung liegen diese in den meisten Fällen wahrscheinlich eher richtig – aber haben Sie schon einmal einen Ratgeber bekommen, der Ihnen in ähnlicher Art und Weise Ratschläge in Bezug auf die Produktion zur Verfügung stellt, und angemessene Vorgehensweisen bezüglich deren Absicherung für die Urlaubszeit aufzählt?

Diesen erwarten Sie nun (hoffentlich) auch nicht von mir. Denn dafür ist dieses Themengebiet zu komplex und muss erwiesenermaßen strategisch angegangen werden, insbesondere unter dem Aspekt der voranschreitenden Digitalisierung. Aus genau dem Grund gibt es die neue Maschinenverordnung und diese möchte ich Ihnen heute ein Stück weit nahebringen. Warum ausgerechnet jetzt? Weil Sie aktuell, wenn alles ein wenig geruhsamer zugeht, vielleicht eher die Muße haben, sich mit dem Hintergrund einmal etwas eingehender zu befassen.

Was Sie zur neuen Maschinenverordnung wissen sollten

Das Wichtigste vorab: Die neue Maschinenverordnung (EU) 2023/1230 trat am 19. Juli 2023 in Kraft. Für deren Umsetzung vorgesehen ist eine Übergangszeit von 42 Monaten. Danach ist diese zwingend anzuwenden und ersetzt die – seit 17 Jahren geltende – Maschinenrichtlinie 2006/42/EG. Der Weg zum neuen zentralen Regelwerk war dem Thema angemessen: Ende April 2021 wurde der erste Entwurf für die neue EU-Maschinenverordnung veröffentlicht, nach dem üblichen Prozedere – von der Einreichung möglicher Änderungsvorschläge bis zum Abschluss der Trialog-Verhandlungen Mitte Dezember 2022 – fand am 29. Juni 2023 die Bekanntgabe im EU-Amtsblatt statt.

Auch wenn mit der EU-Maschinenverordnung kein Paradigmenwechsel vollzogen wird, sind damit doch einige praxisrelevanten Änderungen verbunden. Ein Hauptmerkmal ist, dass die Vorschriften dahingehend angepasst worden sind, um den Risiken und Herausforderungen – die unter anderem durch die zunehmende Digitalisierung im Bereich Cyber-Sicherheit sowie durch den Einsatz neuer Technologien wie KI in und für Maschinenprodukte resultieren – Rechnung zu tragen und so zu gewährleisten, dass diese nachhaltig sicher betrieben werden können.

Die EU-Verordnung steht im Kontext mit anderen neuen EU-Regularien, unter anderem dem AI-Act, wodurch insgesamt geregelt ist, was zukünftig für Hersteller, Importeure, (Online-)Händler, Bevollmächtigte und Inverkehrbringer von Maschinen wichtig sein könnte. Dies gilt unter anderem für die CE-Kennzeichnung: Die Bedeutung dieser Kennzeichnung ergibt sich daraus, dass die keinesfalls eine Selbsterklärung ist, sondern das Ergebnis eines Konformitätsbewertungsverfahrens durch den Hersteller.

Im Endeffekt steht der Hersteller gegenüber den Marktaufsichtsbehörden somit in der Verantwortung, dass sein Produkt konform ist mit allen anzuwendenden Rechtsvorschriften, die eine Anbringung des CE-Zeichens vorsehen.

Maschinenverordnung im Speziellen: Cyber-Sicherheit

Eine der wesentlichen Änderungen in dem Regelwerk ist, dass Maschinenbauer zukünftig nicht nur allen Anforderungen im Bereich Safety gerecht werden müssen, sondern dass die Verordnung darüber hinaus auch den Anwendungsbereich auf die Cyber-Sicherheit ausdehnt und Maschinenbauer somit den Schutz der Steuerungen zu gewährleisten haben. Daraus lässt sich unter anderem ableiten, dass Maßnahmen ergriffen werden müssen, mit denen sicherzustellen ist, dass diese nicht manipuliert werden können.

Obwohl keine konkreten Ausführungshinweise diesbezüglich definiert sind, ergibt sich hieraus, dass eine Risikobeurteilung seitens der Hersteller durchzuführen ist, um durch das Antizipieren potenzieller krimineller Handlungen beziehungsweise Angriffe Dritter Cyber-Sicherheitsmaßnahmen ergreifen zu können, sodass sich die Maschinensicherheit angemessen garantieren lässt. Zudem können hieraus schlüssig weitere Dokumentationsanforderungen gefolgert werden.

Klärungsbedarf besteht zum Beispiel noch dahingehend, wie die Umsetzung des in der Maschinenverordnung aufgeführten Passus „den Anforderungen genügen“ erfolgen kann. Während der Maschinenbauer bei Safety von je her in der Lage war, diese für den bestimmten Einsatz im Rahmen seiner Risikoanalyse genau zu erfassen, fällt diese im Kontext der Maschinensicherheit nicht so einfach aus. Hier spielen verschiedenste Faktoren eine Rolle, da eine Maschine immer in eine Gesamtanlage integriert wird – von daher ist es notwendig, die Umsetzung der Anforderungen ganzheitlich anzugehen, das bedeutet, der Schutz kann nicht als Insellösung erfolgen.

Fazit: Was ist jetzt empfehlenswert?

Mein wichtigster Rat in diesem Zusammenhang ist, dass Unternehmen sich jetzt zeitnah mit diesem Regelwerk und der Thematik insgesamt tiefergehend befassen sollten. Meines Erachtens ist es zudem empfehlenswert, hier kontinuierlich auf dem Laufenden zu bleiben, um die Veränderungen, die sich daraus ergeben könnten – zum Beispiel bezüglich der Einstufung der Kritikalität der Maschinen – im Blick zu haben.

Ebenso essenziell ist es, die eigenen Mitarbeiterinnen und Mitarbeiter für dieses Thema zu sensibilisieren, damit diese die eventuell notwendigen Veränderungen positiv mittragen. Auf keinen Fall sollte der Zeitrahmen von dreieinhalb Jahren überschätzt werden – wie wir ja bereits gesehen haben können unerwartete Ereignisse wie eine Pandemie oder Lieferkettenengpässe mit einem Mal die ganze Aufmerksamkeit erfordern und plötzlich steht der Stichtag vor der Tür, aber die Vorbereitungen für die Verordnung sind noch im vollen Gange.

(Bearbeitet von Sabine Königl und Anja Ringel.)