Ab 20. Januar 2027 gilt die neue EU-Maschinenverordnung. Sie regelt die Herstellung, das Inverkehrbringen und die Inbetriebnahme von Maschinen. Erstmals berücksichtigt sie explizit aktuelle Entwicklungen bei Digitalisierung, Künstlicher Intelligenz und Cybersecurity.
Die Maschinenverordnung berücksichtigt erstmals explizit aktuelle Entwicklungen bei Künstlicher Intelligenz und Cybersecurity.
(Bild: TÜV Süd)
Informationstechnologie und operative Technologie von Maschinen sind kaum mehr voneinander zu trennen. Software regelt den Energie- und Materialfluss sowie die Kommunikation in der Prozesskette. Ebenso ist sie unverzichtbar für die Überwachung und Auswertung. Durch die zunehmende Digitalisierung und Vernetzung entstehen aber weitere Gefahren und Einfallstore für Cyberangriffe. Auch der Einsatz von KI-Steuerungen in Maschinen und autonomen Fahrzeugen auf dem Betriebsgelände schafft neue Sicherheitsrisiken. In dieser Hinsicht galt die bisherige Maschinenrichtlinie vielen Experten als veraltet. Nun bildet die EU mit Inkrafttreten der neuen Maschinenverordnung (kurz: MVO) den Stand der Technik ab.
Erweiterter Geltungsbereich
Anders als die Maschinenrichtlinie muss die MVO nicht erst von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Als Verordnung gilt sie nach einer Übergangsfrist länderübergreifend. Das soll Unterschiede vermeiden, die sich aus der Vielzahl nationaler Umsetzungen ergeben könnten. So werden Hersteller sowie Händler entlastet und Hindernisse im Maschinenhandel abgebaut. Die MVO orientiert sich am New Legislative Framework (kurz: NLF), das Anforderungen für Konformitätsbewertungen, für die Zulassung von Prüfstellen und zum Monitoring von Märkten festlegt.
Bildergalerie
Erstmals verwendet die MVO den Begriff des „Wirtschaftsakteurs“. Damit benennt sie ausdrücklich, wer in ihrem Geltungsbereich steht. Und das sind mehr Akteure als bisher: Betroffen sind Hersteller, Importeure und Händler von Maschinen oder deren Bevollmächtigte. Außerdem bezieht die MVO Betreiber ein, die Gebrauchtmaschinen verkaufen und dadurch zu Händlern werden. Nach MVO gelten Betreiber, die eine Maschine mit Auswirkungen auf ihre Sicherheit verändern, als Hersteller mit den zugehörigen Pflichten.
Sicherheit an der Schnittstelle von IT und OT
Die MVO bezieht nicht nur die Hardware der Maschine, sondern auch deren Software explizit ein. Sie verpflichtet Betreiber mit dem neuen Kapitel 1.1.9 des Anhangs III, Maschinen und Software gegen Korrumpierung zu schützen. Dies soll ausdrücklich von Anfang an, also schon in der Konstruktionsphase, eingeplant werden. Das Ziel ist, riskante Zwischenfälle zu vermeiden. Das Risiko besteht beispielsweise dann, wenn eine Maschine ferngesteuert wird oder wenn Daten korrumpiert werden können. Komponenten, die Daten versenden, müssen in Bezug auf mögliche unberechtigte Zugriffe überwacht werden. Auch veränderte Konfigurationen der Sicherheitsprogramme von Maschinen sind zu belegen, selbst, wenn sie rechtmäßig erfolgen.
Ausgehend von derlei präventiven Maßnahmen wird das Konzept der Absicherung weitergedacht: Die Steuereinheiten von Maschinen müssen sicher und zuverlässig sein und unerlaubten Eingriffen, aber auch Bedienfehlern widerstehen. Ausfälle oder Beeinträchtigungen zum Beispiel von Sensoren dürfen nicht zu gefährlichen Zwischenfällen führen. Das heißt, Menschen und Umwelt müssen in jedem Fall vor den Auswirkungen möglicher Defekte geschützt werden. Steuerungen autonomer, mit KI ausgestatteter Maschinen müssen dafür sorgen, dass diese sich auf ihren vom Hersteller festgelegten Bereich beschränken und sich nur innerhalb dieses eng gesetzten Rahmens bewegen und entwickeln. Eine selbstlernende Maschine, selbst wenn diese unsicher geworden ist, muss jederzeit vom Menschen gestoppt werden können. Eine gefährliche Situation ist auch dann nicht zu rechtfertigen, wenn die Steuerung per Funk oder App ausfällt.
Wesentliche Änderung – neue Bewertung
Die MVO konkretisiert zudem die Anforderungen an die Konformitätserklärung. Besonders für „Hochrisikomaschinen“ (Anhang I, Teile A und B) kann das Prozedere komplex ausfallen. Dazu zählen unter anderem sicherheitsrelevante Bauteile, bei denen Künstliche Intelligenz zu selbstständiger Weiterentwicklung führt. Das können auch digitale Bestandteile und somit Software sein. Sollten technische Weiterentwicklungen dies erfordern, kann die Liste der „Hochrisikomaschinen“ jederzeit ergänzt und erweitert werden. Unter Umständen müssen Händler und Hersteller für die Konformitätsbewertung die Unterstützung einer benannten Stelle nutzen, sofern ihre Maschine im Anhang I aufgelistet ist. Einem Hersteller stehen unterschiedliche Module für Konformitätsbewertungsverfahren zur Verfügung (Beschluss Nr. 768/2008/EG).
Wird eine Maschine „wesentlich“ abgewandelt oder weiterentwickelt, ist eine neue Konformitätsbewertung notwendig. Wesentlich ist eine Veränderung dann, wenn sie neue Risiken erzeugt oder bekannte steigert. Dies kann beispielsweise durch den Einsatz einer neuen Steuerungssoftware mit erweiterten Möglichkeiten zur Datenübermittlung geschehen. Dann müssen neue Schutz- und Abwehrmaßnahmen ergriffen werden. Erst, wenn die Konformität sichergestellt ist, darf die abgewandelte Maschine in Betrieb genommen oder auf den Markt gebracht werden. In dieser Hinsicht schafft die MVO gegenüber der Maschinenrichtlinie klare Aussagen darüber, wann eine Konformitätserklärung einzuplanen ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
So bereiten sich Händler und Hersteller vor
Eine Handreichung mit Blick auf die Cybersecurity ist die Norm IEC TR 63074:2019 „Maschinensicherheit – Aspekte zur Cybersicherheit in Verbindung mit der funktionalen Sicherheit von sicherheitsrelevanten Steuerungssystemen“. Anhaltspunkte für die cybersichere Entwicklung, die Einrichtung und den Betrieb von Steuerungssystemen zur Prozessautomatisierung und -überwachung (Industrial Automation and Control Systems, kurz IACS) bietet die Normenreihe IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Aktuell wird zudem der Technische Report ISO/IEC DTR 5469 „Artificial intelligence – Functional safety and AI systems“ entwickelt, der vor allem KI-Funktionen mit Einfluss auf die funktionale Sicherheit fokussiert.
Mit der Maschinenrichtlinie harmonisierte Normen müssen in der 42-monatigen Übergangszeit bis zur endgültigen Anwendung der MVO angepasst werden. Die Zeit sollten Betroffene nutzen, um sich mit den erweiterten Anforderungen und geänderten Begrifflichkeiten auseinanderzusetzen. Das gilt insbesondere für Akteure, die von der Maschinenrichtlinie bisher nicht betroffen waren. Es ist also wichtig, sich rechtzeitig zu positionieren – auch um wettbewerbsfähig zu bleiben.
* Rudolf Bültermann ist Projektleiter und Experte für Maschinensicherheit beim TÜV Süd.
* Pascal Staub-Lang leitet das Kompetenzzentrum Maschinensicherheit und die Abteilung Elektro- & Gebäudetechnik der TÜV-Süd-Niederlassung Saar-Pfalz in Sankt Ingbert.
* Benedikt Pulver leitet die Abteilung Maschinensicherheit beim TÜV Süd, die die Teams Smart Automation, Semiconductor Manufacturing und Field Evaluation beinhaltet..
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a5/c5/a5c564a45a1949888484401a0bf0544e/0116267675.jpeg "Die Maschinenverordnung berücksichtigt erstmals explizit aktuelle Entwicklungen bei Künstlicher Intelligenz und Cybersecurity.(Bild: TÜV Süd)")
:quality(80)/p7i.vogel.de/wcms/03/1a/031ae19f0224fd4877efb9340b21420f/0116267676.jpeg "Wird eine Maschine „wesentlich“ abgewandelt oder weiterentwickelt, ist eine neue Konformitätsbewertung notwendig .(Bild: TÜV Süd)")
:quality(80)/p7i.vogel.de/wcms/92/49/9249b62f65a2b8b351cfcc9d7ed4902b/0116267674.jpeg "Insbesondere Akteure, die von der Maschinenrichtlinie nicht betroffen waren, sollten sich während der Übergangszeit sorgfältig mit der MVO auseinandersetzen.(Bild: TÜV Süd)")
:quality(80)/p7i.vogel.de/wcms/ec/72/ec720f142464023f6eb616318df36536/0114757112.jpeg "Während Cyberangriffe immer raffinierter und zahlreicher werden, stellen auch Mitarbeiter eine Sicherheitsbedrohung dar – oft unbeabsichtigt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/2f/b92f69a8714905c2feecc8081fdce668/0124940765v2.jpeg "Da der CRA Teil der CE-Kennzeichnung wird, müssen alle betroffenen Produkte die neuen Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")