2027 wird ein spannendes Jahr für die Maschinenbaubranche. Mehrere neue regulatorische Anforderungen treten nahezu gleichzeitig in Kraft und verändern den Umgang mit Sicherheit, Software und digitalen Risiken von Maschinen grundlegend. Im Mittelpunkt stehen dabei insbesondere die Maschinenverordnung (EU) 2023/1230 und der Cyber Resilience Act. Für Maschinenhersteller bedeutet das, dass Sicherheit künftig ganzheitlicher gedacht werden muss. Neben mechanischen und elektrischen Risiken rücken zunehmend auch Software, Vernetzung und digitale Sicherheitsaspekte in den Fokus.
Mehrere wichtige Fristen machen deutlich, wie groß der Handlungsdruck für Hersteller ist. Bis zum 19. Januar 2027 können Maschinen noch nach der bisherigen Maschinenrichtlinie 2006/42/EG in Verkehr gebracht werden. Ab dem 20. Januar 2027 gilt jedoch verbindlich die neue Maschinenverordnung. Ab diesem Zeitpunkt muss die CE-Konformität für Maschinen nach den Anforderungen dieser Verordnung erklärt werden. Noch im gleichen Jahr, im Dezember 2027, gilt der Cyber Resilience Act vollständig. Die Umsetzung der Anforderungen beginnt jedoch bereits deutlich früher und erfolgt gestaffelt. Für Produkte mit digitalen Elementen bedeutet dies, dass Hersteller ihre Cybersicherheitsanforderungen schrittweise implementieren müssen. Damit verschiebt sich der Fokus deutlich. Während sich die Maschinenrichtlinie vor allem mit mechanischen und funktionalen Risiken beschäftigt hat, adressiert der CRA erstmals umfassend auch digitale Sicherheitsrisiken. Vereinfacht gesagt wird künftig nicht nur der Mensch vor der Maschine geschützt, sondern auch die Maschine vor digitalen Angriffen.
Der Cyber Resilience Act ist bereits am 10. Dezember 2024 in Kraft getreten, zwanzig Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union. Erste konkrete Verpflichtungen folgen zum 11. September 2026, wenn Anforderungen zur Meldung von Schwachstellen und Sicherheitsvorfällen wirksam werden. Ab dem 11. Dezember 2027 müssen dann alle neuen Produkte mit digitalen Elementen vollständig CRA-konform sein. Der CRA verlangt unter anderem, dass Produkte nach den Prinzipien „Security by Design“ und „Security by Default“ entwickelt werden. Das bedeutet, dass Sicherheitsmechanismen bereits in der Entwicklungsphase berücksichtigt und fest in das Produkt integriert werden müssen. Gleichzeitig müssen Produkte standardmäßig mit einem möglichst hohen Sicherheitsniveau ausgeliefert werden, ohne dass Nutzer zusätzliche Einstellungen vornehmen müssen. Hersteller müssen darüber hinaus Prozesse für ein strukturiertes Schwachstellenmanagement etablieren und sicherstellen, dass Sicherheitsupdates über den gesamten Produktlebenszyklus bereitgestellt werden können. Auch Meldepflichten für Sicherheitslücken und Vorfälle gehören künftig zu den regulatorischen Anforderungen. Dadurch verändert sich das Sicherheitsverständnis im Maschinenbau spürbar. Sicherheit endet nicht mehr mit der Markteinführung eines Produkts, sondern wird zu einem kontinuierlichen Prozess über den gesamten Lebenszyklus einer Maschine.
Die neue Maschinenverordnung ersetzt die bisherige Maschinenrichtlinie und aktualisiert den regulatorischen Rahmen für moderne, zunehmend digitalisierte Maschinen. Zwar bleiben viele grundlegende Prinzipien erhalten, dennoch schafft die Verordnung mehr Klarheit und berücksichtigt Themen wie Softwareintegration, Vernetzung und digitale Steuerungssysteme deutlich stärker. Darüber hinaus definiert sie bestimmte Kategorien von Hochrisiko-Maschinen, für die eine strengere Konformitätsbewertung erforderlich sein kann. In solchen Fällen ist eine Prüfung durch eine sogenannte Benannte Stelle notwendig, bevor das Produkt in Verkehr gebracht werden darf. Für Hersteller bedeutet das, dass eine Selbstdeklaration nicht immer ausreicht und gegebenenfalls eine Baumusterprüfung erforderlich wird.
Für die praktische Umsetzung der gesetzlichen Anforderungen spielen Normen weiterhin eine zentrale Rolle. Wie bereits bei der bisherigen Maschinenrichtlinie formuliert auch die neue europäische Verordnung in erster Linie grundlegende Sicherheits- und Schutzanforderungen. Die konkrete technische Umsetzung erfolgt über harmonisierte europäische Normen. Zu den wichtigsten gehören beispielsweise die EN ISO 12100 zur Risikobeurteilung und Risikominderung von Maschinen sowie die EN ISO 13849 und die IEC 62061, die Anforderungen an die funktionale Sicherheit von Steuerungssystemen definieren. Diese Normen beschreiben unter anderem Methoden zur Risikoanalyse, zur Auslegung sicherheitsrelevanter Funktionen sowie zur Bewertung von Performance Levels oder Safety Integrity Levels. Auch unter der neuen Maschinenverordnung werden sie weiterhin eine zentrale Rolle spielen, um neue Anforderungen etwa im Bereich Software, Vernetzung oder KI-basierter Funktionen abzudecken. Parallel arbeitet die europäische Normung bereits daran, bestehende Standards anzupassen und neue Normen für Themenfelder wie Cybersicherheit, künstliche Intelligenz oder additive Fertigung zu entwickeln.
Eine der größten Veränderungen betrifft den Konformitätsprozess selbst. Hersteller müssen nachfolgend mehrere Sicherheitsdimensionen gleichzeitig berücksichtigen. Während funktionale Sicherheitsnormen die physische Sicherheit von Maschinen adressieren, behandeln Cybersecurity-Normen den Schutz vor digitalen Angriffen. Hinzu kommen neue Anforderungen im Zusammenhang mit künstlicher Intelligenz. Diese unterschiedlichen Disziplinen können nicht mehr isoliert betrachtet werden, sondern müssen im Rahmen der Konformitätsbewertung als integriertes Sicherheitskonzept verstanden werden.
Damit verändern sich auch die Anforderungen an Entwicklungsprozesse und organisatorische Strukturen. Neben klassischen Sicherheitsprüfungen rücken Aspekte wie sichere Softwareentwicklung, Schwachstellenmanagement, Update-Mechanismen und ein durchgängiges Lebenszyklus-Management stärker in den Fokus. Konformitätsbewertungen berücksichtigen daher zunehmend nicht nur die Eigenschaften der Maschine bzw. des Produkts mit digitalen Elementen selbst, sondern auch die Entwicklungs- und Sicherheitsprozesse innerhalb der Herstellerunternehmen. Gleichzeitig gewinnt die technische Dokumentation erheblich an Bedeutung. Hersteller müssen detailliert nachweisen können, welche Normen angewendet, welche Risikoanalysen durchgeführt und welche Sicherheitsmaßnahmen umgesetzt wurden. Diese Dokumentation bildet nicht nur die Grundlage für die CE-Kennzeichnung, sondern dient auch als Nachweis gegenüber Marktüberwachungsbehörden.
In Fachkreisen wird derzeit intensiv diskutiert, ob die vorgesehenen Übergangsfristen tatsächlich ausreichen. Der Grund dafür ist, dass viele Entwicklungen parallel stattfinden. Neue regulatorische Anforderungen, Anpassungen von Normen, neue Zertifizierungsschemata sowie die Anerkennung zusätzlicher Benannter Stellen befinden sich gleichzeitig in Bewegung. Hinzu kommt, dass viele Unternehmen unterschätzen, wie umfassend die notwendigen Anpassungen insbesondere im Bereich Cybersecurity sein werden. Der Cyber Resilience Act verlangt beispielsweise nicht nur eine einmalige Konformitätsprüfung, sondern eine kontinuierliche Sicherheitsstrategie über den gesamten Produktlebenszyklus. Ähnliche Herausforderungen ergeben sich durch die Maschinenverordnung, die digitale Risiken stärker in die Risikobeurteilung integriert. Eine Verschiebung der Fristen ist derzeit jedoch nicht vorgesehen. Unternehmen sollten daher nicht darauf spekulieren, dass die Deadlines angepasst werden. Bei Verstößen gegen den Cyber Resilience Act drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Auch wenn einige Anforderungen erst 2027 vollständig greifen, zeigt sich bereits heute, dass die neuen europäischen Regelwerke einen grundlegenden Wandel im Umgang mit Produktsicherheit auslösen werden. Für Maschinenhersteller bedeutet das, dass Sicherheitskonzepte künftig ganzheitlicher gedacht werden müssen und Entwicklungsprozesse Cybersecurity von Anfang an berücksichtigen sollten. Gleichzeitig steigen die Anforderungen an Dokumentation und Konformitätsbewertung. Maschinenhersteller, die frühzeitig beginnen, ihre Prozesse und Produkte anzupassen, können sich nicht nur regulatorisch absichern, sondern auch langfristig Wettbewerbsvorteile sichern.
Wenn Sie sich intensiver mit den Anforderungen der Maschinenverordnung und des Cyber Resilience Act beschäftigen möchten, finden Sie in unseren Whitepapern eine kompakte und praxisnahe Orientierung.
Einen ganzheitlichen Überblick über die neuen regulatorischen Rahmenbedingungen sowie konkrete Handlungsempfehlungen für Hersteller bietet unser Whitepaper zur Maschinenverordnung .
Wer darüber hinaus tiefer in die Umsetzung im Kontext moderner Antriebssysteme einsteigen möchte, findet im Whitepaper für Antriebshersteller konkrete architektonische Ansätze und praxisnahe Lösungswege. Dort wird unter anderem gezeigt, wie sich funktionale Sicherheit und Cybersicherheit im Lebenszyklus moderner Antriebssysteme miteinander verbinden lassen und welche Sicherheitsarchitekturen dabei unterstützen können. So erhalten Sie sowohl eine fundierte regulatorische Einordnung als auch konkrete technische Ansatzpunkte, um die Anforderungen in der eigenen Entwicklungs- und Sicherheitsstrategie gezielt umzusetzen.