Die neue EU Maschinenverordnung und der Cyber Resilience Act (CRA) werfen aktuell viele Fragen auf: Beide Regelwerke sollen die Sicherheit im europäischen Binnenmarkt verbessern, setzen aber unterschiedliche Schwerpunkte und gelten für verschiedene Produktgruppen. Während die Maschinenverordnung auf die mechanische und funktionale Sicherheit von Maschinen abzielt, legt der CRA den Fokus auf den Schutz vor Cyberangriffen bei digitalen Produkten. In diesem Artikel erfahren Sie, welche Unterschiede es gibt, welche Pflichten auf Hersteller zukommen und ab wann die neuen Regelungen verbindlich gelten. So sind Sie optimal vorbereitet, um Ihre Maschinen und digitalen Produkte rechtssicher und zukunftsfähig zu gestalten.
Die Ziele der EU Maschinenverordnung und des Cyber Resilience Acts
Was beinhaltet die EU Maschinenverordnung?
Die EU Maschinenverordnung (EU-Richtlinie 2023/1230) konzentriert sich auf den Schutz von Personen und Umwelt beim Einsatz von Maschinen. Sie gilt für alle Maschinen, unvollständige Maschinen und sicherheitsrelevante Bauteile – einschließlich Software, wenn diese sicherheitsrelevant ist. Die Verordnung adressiert vor allem mechanische, elektrische und funktionale Sicherheit. Neu ist, dass sie auch digitale Risiken berücksichtigt, wie etwa Gefährdungen durch künstliche Intelligenz, autonome Systeme oder die Zusammenarbeit von Mensch und Roboter. Cybersicherheit ist hier nur ein Teilaspekt – etwa der Schutz vor Manipulation sicherheitsrelevanter Funktionen.
Was besagt der Cyber Resilience Act?
Der Cyber Resilience Act hat das Ziel, die Cybersicherheit aller Produkte mit digitalen Elementen zu verbessern. Er gilt insbesondere für Software, IoT-Geräte, vernetzte Maschinen oder industrielle Steuerungen – also Produkte, die digitale Funktionen aufweisen und dadurch anfällig für Cyberangriffe sind. Der Fokus liegt klar auf der Prävention von Cyberangriffen, dem Schutz vor Datenverlust und der Manipulation digitaler Systeme. Hersteller müssen Anforderungen wie „Security by Design“, ein professionelles Schwachstellenmanagement und die Fähigkeit zu sicheren Updates umsetzen.
Konkrete Unterschiede zwischen EU Maschinenverordnung und Cyber Resilience Act
Unterschiedlicher Geltungsbereich
Die EU Maschinenverordnung richtet sich an alle Maschinen und sicherheitsrelevanten Maschinenkomponenten, egal ob mit oder ohne digitale Elemente. Sie stellt sicher, dass Maschinen mechanisch, elektrisch und funktional sicher sind und Personen sowie Umwelt geschützt werden. Dabei berücksichtigt sie auch digitale Risiken, doch diese sind nur ein Teilaspekt der Gesamtsicherheitsbetrachtung.
Der Cyber Resilience Act dagegen fokussiert sich ausschließlich auf Produkte mit digitalen Elementen – etwa Software, IoT-Geräte oder vernetzte Steuerungen. Er gilt unabhängig davon, ob diese Produkte Teil einer Maschine sind oder nicht. Entscheidend ist, dass sie digital angreifbar sein können.
Unterschiedlicher Fokus auf Sicherheitsaspekte
Die Maschinenverordnung hat den Schwerpunkt auf der physischen und funktionalen Sicherheit: Sie regelt, dass Maschinen keine Gefährdung für Menschen darstellen und zuverlässig funktionieren – inklusive der Absicherung vor Manipulation sicherheitskritischer Funktionen.
Der Cyber Resilience Act hingegen fokussiert sich auf die digitale Resilienz: Er verlangt, dass digitale Produkte gegen Cyberangriffe geschützt sind, Sicherheitsupdates bereitgestellt werden und ein Schwachstellenmanagement etabliert ist. Der CRA adressiert damit explizit den Schutz vor Bedrohungen aus dem Cyberraum.
Unterschiedliche Anforderungen an Hersteller
Die Maschinenverordnung verpflichtet Hersteller vor allem zu einer umfassenden Risikobewertung der Maschine – inklusive digitaler Gefährdungen – und zur Erstellung einer Konformitätserklärung mit CE-Kennzeichnung auf Basis funktionaler Sicherheit.
Der Cyber Resilience Act fordert Hersteller digitaler Produkte dagegen auf, „Security by Design“ umzusetzen, bekannte Schwachstellen aktiv zu managen, verpflichtende Sicherheitsupdates bereitzustellen und Cybersecurity-konforme CE-Kennzeichnungen zu erstellen.
Pflichten für Hersteller: Was fordert jede Verordnung?
Pflichten nach der EU Maschinenverordnung
Hersteller, die Maschinen oder sicherheitsrelevante Komponenten in Verkehr bringen, müssen eine umfassende Risikobewertung durchführen. Diese muss nicht nur mechanische und elektrische, sondern auch digitale Gefährdungen einschließen – zum Beispiel Risiken durch KI oder Mensch-Roboter-Kollaboration.
Zu den zentralen Pflichten gehören außerdem:
- Erstellung der technischen Dokumentation
- Vorbereitung der CE-Kennzeichnung auf Basis der Maschinenverordnung
- Abgabe einer Konformitätserklärung, die bestätigt, dass alle Anforderungen der Maschinenverordnung erfüllt sind
Die EU Maschinenverordnung wird spätestens ab dem 20. Januar 2027 verbindlich.
Pflichten nach dem Cyber Resilience Act (CRA)
Hersteller von Produkten mit digitalen Elementen – etwa Software, IoT-Geräten oder vernetzten Maschinensteuerungen – müssen besondere Maßnahmen zur Cybersicherheit umsetzen. Dazu zählen:
- Security by Design: Sicherheit muss von Anfang an in den Entwicklungsprozess integriert sein
- Schwachstellenmanagement: Bekannte und neu entdeckte Schwachstellen müssen überwacht und behoben werden
- Sicherheitsupdates: Verpflichtende Updates müssen bereitgestellt werden, um bekannte Sicherheitslücken zu schließen
- Meldepflichten: Sicherheitsvorfälle müssen innerhalb festgelegter Fristen gemeldet werden
Auch hier ist eine technische Dokumentation erforderlich, die die Einhaltung der Cybersecurity-Anforderungen belegt. Eine CE-Kennzeichnung darf nur erfolgen, wenn die Cybersecurity-Konformität nachgewiesen ist. Die Übergangsfrist für den CRA läuft ebenfalls bis Anfang 2027.
Sie wollen Ihre Cybersicherheits-Prozesse auf die neuen Anforderungen vorbereiten?
Mit unserer CSMS Masterclass lernen Sie, wie Sie ein Cybersecurity Management System aufbauen, das den Vorgaben der EU Maschinenverordnung und des Cyber Resilience Acts entspricht. Jetzt mehr erfahren und Platz sichern!
Übergangsfristen und Inkrafttreten: Ab wann gelten die neuen Regeln?
EU Maschinenverordnung: Frist bis Januar 2027
Die neue EU Maschinenverordnung tritt offiziell in Kraft, ist aber mit einer Übergangsfrist verbunden. Hersteller müssen die neuen Anforderungen spätestens ab dem 20. Januar 2027 verbindlich umsetzen. Ab diesem Datum dürfen nur noch Maschinen in Verkehr gebracht werden, die den Vorgaben der Maschinenverordnung entsprechen, inklusive der CE-Kennzeichnung und der Berücksichtigung digitaler Risiken.
Cyber Resilience Act: Übergangsfrist bis Anfang 2027
Der Cyber Resilience Act sieht ebenfalls eine Übergangsfrist vor, die Herstellern Zeit gibt, ihre Prozesse, Produkte und Sicherheitsmaßnahmen anzupassen. Die Frist endet Anfang 2027 (genauer Termin je nach finaler Veröffentlichung der Rechtsakte), ab dann gelten die Anforderungen an Security by Design, Schwachstellenmanagement, verpflichtende Sicherheitsupdates und Meldepflichten verbindlich. Produkte mit digitalen Elementen müssen spätestens zu diesem Zeitpunkt die Cybersecurity-Vorgaben erfüllen, um rechtssicher in den EU-Markt gebracht werden zu dürfen.
Wichtig: Doppelverpflichtung bei Maschinen mit digitalen Komponenten
Hersteller, die Maschinen mit digitalen Funktionen entwickeln, müssen beide Fristen im Blick haben: Sie müssen ihre Maschinen sowohl an die Anforderungen der EU Maschinenverordnung als auch des Cyber Resilience Acts anpassen. Nur so ist sichergestellt, dass sie die neuen gesetzlichen Vorgaben vollständig einhalten und ihre Produkte auch nach 2027 rechtssicher vermarkten können.
Individuelle Unterstützung für Ihr Unternehmen gesucht?
Wir helfen Ihnen, die Anforderungen der EU Maschinenverordnung und des Cyber Resilience Acts optimal umzusetzen. Vereinbaren Sie jetzt ein kostenloses Beratungsgespräch und klären Sie Ihre Fragen direkt mit unseren Experten. Jetzt Termin buchen!
Fazit: Rechtzeitig handeln und doppelt absichern
Die EU Maschinenverordnung und der Cyber Resilience Act stellen Hersteller vor neue Herausforderungen – aber auch Chancen: Beide Verordnungen verfolgen das Ziel, Produkte im EU-Binnenmarkt sicherer zu machen, jedoch mit unterschiedlichen Schwerpunkten. Die Maschinenverordnung kümmert sich um die funktionale und physische Sicherheit von Maschinen, während der CRA die digitale Resilienz von Produkten mit digitalen Elementen sicherstellen soll. Hersteller müssen ihre Prozesse und ihre technische Dokumentation entsprechend anpassen, um ab spätestens Anfang 2027 gesetzeskonform zu bleiben. Besonders bei Maschinen mit digitalen Komponenten gilt: Beide Verordnungen müssen beachtet und umgesetzt werden. Wer sich frühzeitig vorbereitet, sorgt nicht nur für rechtssichere Produkte, sondern stärkt auch das Vertrauen von Kunden und Partnern.
Fit für die Zukunft der Maschinen- und Cybersecurity?
Unsere CSMS Masterclass vermittelt praxisnah alles, was Sie brauchen, um Ihre Organisation sicher und regelkonform aufzustellen – bevor die neuen EU-Vorgaben verbindlich werden. Hier zur Masterclass anmelden!