Technologische Entwicklungen im Maschinenbau, allen voran die intelligente Vernetzung von Maschinen und die Verwendung von KI-Technologie, bringen auch neue Herausforderungen mit sich: Verstärkt müssen sich Unternehmen auch dem Thema der Cyberkriminalität widmen. Immer häufiger sehen sie sich Hacker-Angriffen ausgesetzt, Datendiebstahl sowie -verschlüsselung und damit einhergehende Erpressungsversuche können beträchtliche finanzielle Schäden verursachen.
Diesen Entwicklungen trägt die neue EU-Maschinenverordnung (EU) Nr. 2023/1230 Rechnung. In ihr finden sich Vorgaben zur Cybersicherheit, die Unternehmen künftig umsetzen müssen, um auch weiterhin das CE-Kennzeichen zu erhalten. Im Unterschied zur alten Maschinenrichtlinie 2006/42/EG gilt die Verordnung für alle EU-Länder und muss nicht erst in nationale Gesetze gegossen werden. Obgleich sie erst ab dem 20. Januar 2027 anzuwenden ist, stellt die neue EU-Maschinenverordnung im Bereich der Cybersecurity anspruchsvolle Vorgaben, auf die sich die Unternehmen frühzeitig vorbereiten sollten.
Hersteller in der Bringschuld
Die Verordnung nimmt vor allem die Hersteller in die Pflicht. Sie sind künftig dazu angehalten, Vorkehrungen zu treffen, um ihre Maschinen gegen Cyber-Angriffe zu sichern. Doch bedeutet dies nicht, dass damit die anderen Akteure aus der Verantwortung entlassen wären – insbesondere die Anwender werden zu einer gewissenhaften Nutzung angehalten.
Die Neuerungen im Detail
Schutz gegen Korrumpierung und größere Steuerungssicherheit
Die neuen Vorgaben zur Cybersecurity finden sich größtenteils in Anhang lll der Verordnung. Relevant sind hier vor allem folgende Aspekte:
Þ Schutz gegen Korrumpierung (Protection against corruption) (Artikel 1.1.9):
Þ Die Maschine muss so gebaut sein, dass ihre Verknüpfung mit anderen Geräten oder dem Internet zu keiner „gefährlichen Situation“ führt, wie es in der Verordnung heißt. Software und Daten, die dem sicheren Betrieb der Maschine dienen, müssen zudem benannt und geschützt werden. Schließlich sind auch alle (rechtmäßigen wie unrechtmäßigen) Eingriffe in sicherheitsrelevante Software zu dokumentieren.
Þ Sicherheit und Zuverlässigkeit von Steuerungen (Artikel 1.2.1):
Auch für die Sicherung der Maschinensteuerung haben die Hersteller Sorge zu tragen. So dürfen weder im Falle von Hacker-Angriffen, noch bei versehentlichen Anwenderfehlern Gefährdungssituationen entstehen. Die Grenzen der Sicherheitsfunktionen von Maschinen müssen überdies vorab genau abgesteckt werden und vor nachträglichen Veränderungen geschützt sein. Dies gilt ausdrücklich auch für selbstlernende, d. h. KI-basierte Systeme. Die Verordnung sieht außerdem vor, dass Rückverfolgungsprotokolle zu absichtlichen oder unabsichtlichen Eingriffen bis zu fünf Jahre lang gespeichert werden und zugänglich sein müssen.
Ebenfalls bedeutsam: Vorgaben zu AfterSales-Pflichten und KI-Systemen
Doch hat die neue EU-Maschinenverordnung nicht nur Auswirkungen auf Herstellung und Risikoanalyse – auch Nachmarktpflichten finden sich explizit aufgeführt. Sollten Maschinen nicht mehr ‚verordnungskonform‘ sein, sind Hersteller unverzüglich dazu aufgefordert, Korrekturmaßnahmen zu ergreifen oder aber Rückrufaktionen einzuleiten bzw. das Produkt vom Markt zu nehmen. Auch die zuständigen nationalen Behörden sind in einem entsprechenden Fall zu unterrichten.
Eine weitere Neuerung betrifft zudem Maschinen, die über Systeme mit sog. „selbstentwickelndem Verhalten“ (sprich: KI-Systeme) verfügen. Sie werden künftig zu den Hochrisikomaschinen gerechnet, was das Konformitätsbewertungsverfahren deutlich aufwendiger werden lässt. So werden die Hersteller gemäß der neuen EU-Verordnung eine Baumusterprüfung oder ein umfassendes Qualitätssicherungssystem vorzuweisen haben, um die Konformität von Maschinen mit KI-Software garantieren zu können.
Welche Maßnahmen
können Hersteller ergreifen?