Was sich für Maschinenbauer und -betreiber ändert

Die neue Maschinenverordnung: Schutz für Mensch und Maschine

Matthias Wimmer Matthias Wimmer

27. November 2023 - 04:30

CYBER SECURITY Business technology secure Firewall Antivirus Ale

Die Maschinenverordnung ist das jüngste Beispiel für die veränderten gesetzlichen Anforderungen in der Industrie: Mit dem Cyber Resilience Act und NIS 2 werden weitere Vorgaben kommen.

(Bild: Adobe Stock - adiruch na chiangmai)

Wer für den europäischen Markt Maschinen und Anlagen herstellt oder hier betreiben möchte, der kommt an der EU-Maschinenverordnung nicht vorbei. Sie und ihr Vorgänger, die Maschinenrichtlinie, beschreiben seit Jahrzehnten den rechtlichen Rahmen für die Maschinensicherheit. Um diese zu gewährleisten, sind künftig auch Aspekte wie Security, Software oder KI relevant. Was kommt auf Maschinenbauer und -betreiber zu?

Die Maschinenverordnung hat die Standardisierung der europäischen Sicherheitsanforderungen an Maschinen zum Ziel. Für Maschinen, die innerhalb des europäischen Wirtschaftsraums in Verkehr gebracht werden, gibt sie ein einheitliches Sicherheitsniveau vor und gewährleistet so den freien Warenverkehr. Mit dem CE-Kennzeichen dokumentiert ein Hersteller, dass er die für sein Produkt relevanten europäischen Richtlinien und Verordnungen berücksichtigt hat und dass eines der zulässigen Verfahren zur Konformitätsbewertung angewendet wurde.

In Kürze

Die EU-Maschinenverordnung standardisiert die europäischen Sicherheitsanforderungen an Maschinen und gewährleistet so den freien Warenverkehr.
Die Verordnung enthält eine Reihe von Neuerungen, darunter die Kennzeichnung von sicherheitsrelevanter Software und die Einführung von sechs Maschinenkategorien, für die eine benannte Stelle hinzugezogen werden muss.
Eine wesentliche Veränderung von Maschinen erfordert ein erneutes Konformitätsbewertungsverfahren.
Die Verordnung erlaubt nun auch digitale Betriebsanleitungen und Montageanleitungen.

Zusammengefügte Maschinen wie Roboterzellen und Fertigungslinien unterliegen ebenfalls dieser Kennzeichnungspflicht. Doch auch Betreiber sind in der Verantwortung, wenn beispielsweise im Rahmen eines Retrofits ‚wesentliche Änderungen‘ an einer Maschine die Neubewertung von Risiken erforderlich machen.
Warum war die neue Verordnung notwendig?

Die EU-Kommission als Herausgeberin von EU-Richtlinien prüft diese regelmäßig auf Aktualität, um Anpassungen an neue Anforderungen und Entwicklungen wie etwa den Stand der Technik zu gewährleisten.

Die ‚alte‘ Maschinenrichtlinie ist seit 2009 in Kraft. Vergleicht man die Automatisierung und den Maschinenbau heute mit den Anforderungen und Technologien von vor rund 15 Jahren, wird deutlich, dass die Überarbeitung überfällig war: Digitalisierung und Vernetzung sowie die damit verbundenen Themen Industrial Security und Künstliche Intelligenz sind dabei, die Fabrikhallen und die darin befindlichen Maschinen und Anlagen stark zu verändern – und damit auch die Rahmenbedingungen für die Maschinensicherheit. Die Zeit war reif für eine Überarbeitung.

Im Vergleich zum Vorgänger enthält die Maschinenverordnung eine Reihe von großen und kleinen Neuerungen. Hier sind die wichtigsten Änderungen:

Sicherheitsrelevante Software

Nicht komplett neu – aber jetzt in deutlicheren Worten angesprochen – ist das Thema sicherheitsrelevante Software. Wird derartige Software allein als Produkt auf den Markt gebracht, wird sie als Sicherheitsbauteil angesehen und unterliegt damit den Regeln der Maschinenverordnung. In den allermeisten Fällen sind derzeit z.B. Funktionsbibliotheken für programmierbare Steuerungen zusammen mit der jeweiligen Hardware geprüft und zertifiziert. Werden solche Bausteine aber beispielsweise durch Dritte separat angeboten, so sind sie mit einer Konformitätserklärung sowie CE-Kennzeichnung zu versehen.

Maschinen mit höherem Risiko

Die neue Maschinenverordnung listet unter Anhang I, Part A sechs Maschinenkategorien unter ‚potentially high risk machinery‘ auf, für die Maschinenhersteller nicht mehr wie bisher eine Konformität in Verbindung mit einer harmonisierten Norm selbst erklären können. In Zukunft muss dafür eine benannte Stelle hinzugezogen werden. Für Maschinenkategorien, die in Part B gelistet sind, kann jedoch weiterhin mithilfe der internen Fertigungskontrolle in Kombination mit einer harmonisierten Norm die Konformität zur Maschinenverordnung erklärt werden.

Wesentliche Veränderung

Die Verordnung wurde um Begriffsbestimmungen zur Definition einer wesentlichen Veränderung von Maschinen erweitert. Ein erneutes Konformitätsbewertungsverfahren ist für die Sicherheit von Maschinen immer dann erforderlich, wenn eine Maschine tiefgreifend technisch verändert wird. Dabei wird klargestellt, dass diejenige Person, die eine Maschine wesentlich verändert, alle Herstellerpflichten zu erfüllen hat.

Maschinen erleben häufig schon kurz nach ihrer Inbetriebnahme die ersten Veränderungen. Die entscheidende Frage ist immer, ob durch die Veränderungen neue oder höhere Risiken entstehen und ob diese dann durch die bestehenden oder neuen, einfachen Schutzeinrichtungen abgesichert werden konnten. Je nach Antwort liegt dann die Verantwortung beim Maschinenbetreiber oder beim Maschinenhersteller.

Aber Achtung: Eine wesentliche Veränderung kann auch ohne physikalische Änderungen an der Maschine, beispielsweise durch Änderungen der Software, entstehen. Auch Programmierer sollten sich daher mit dem Thema vertraut machen.

Digitale Betriebsanleitung

Lang ersehnt wird jetzt endlich die Möglichkeit eröffnet, die Betriebsanleitung von Maschinen in digitaler Form anzubieten. Auf Verlangen müssen weiterhin gedruckte Betriebsanleitungen ausgehändigt werden. Der Gesetzgeber sieht hier nun eine Frist von einem Monat nach Kauf einer Maschine für eine kostenfreie Version vor.
Unvollständige Maschinen dürfen ebenfalls mit digitaler Montageanleitung und digitaler Einbauerklärung geliefert werden. Außerdem ist künftig auch eine digitale EU-Konformitätserklärung zugelassen.

Sich selbst verändernde Maschinen

Neu ist auch die Begriffswelt der sich selbst verändernden Maschinen. Dies ist nichts anderes als eine Umschreibung des Begriffes der künstlichen Intelligenz. Zum einen hat dieses Thema Einfluss auf die Frage, ob eine notifizierte Stelle eingeschaltet werden muss. Zum anderen gehört das Thema in jedem Fall in eine Risikobeurteilung, denn eine veränderte Software könnte neue beziehungsweise höhere Risiken nach sich ziehen! Im Extremfall muss betrachtet werden, ob durch selbstlernende Software sich unter Umständen eine neue Maschine ergeben kann. Ein äußerst interessantes Thema nicht nur für Hersteller, sondern auch für die notifizierten Prüfstellen. Hier müssen zunächst Beurteilungsgrundlagen geschaffen werden.

Industrial Security

Die neue EU-Maschinenverordnung greift neu das Thema „Security“ auf. Im Artikel 20 wird dazu auf die EU-Verordnung (EU) 2019/881 hingewiesen. Diese Verordnung ist ein möglicher Weg, die Anforderung der EU-Maschinenverordnung zu erfüllen. Es ist davon auszugehen, dass es in Zukunft auch zu dieser Anforderung passende harmonisierte Normen geben wird.

Innerhalb der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen für die Konstruktion und den Bau von Maschinen oder dazugehörigen Produkten im Anhang III wird der Schutz gegen Softwarekorrumpierung, insbesondere bei Anschluss von ‚Einrichtungen‘ (Verbindungen zu andern Datenquellen, also z.B. Programmiergeräte oder Netzwerkschnittstellen) an die Maschine gefordert.

Im Stil einer grundlegenden Sicherheits- und Gesundheitsschutzanforderung wird der Anschluss von Einrichtungen als potenzielles Risiko bezüglich der Veränderung maschinenintegrierter Software betrachtet. Daraus ergibt sich die Forderung, dass die Sicherheitsfunktionen der Maschine davon nicht beeinträchtigt werden dürfen.
Hersteller müssen zukünftig konformitätsrelevante Teile ihrer Software benennen und sowohl gegen versehentliche als auch gegen absichtliche Veränderung schützen. Ferner muss jede Maschine zukünftig Nachweise über das rechtmäßige oder unrechtmäßige Eingreifen in die Software sammeln, de facto also aufzeichnen.

Übergangsfrist hat begonnen

Steuerung & IT

Europäisches Parlament verabschiedet EU-Maschinenrichtlinie

Jetzt ist es offiziell: Das Europäische Parlament hat die neue EU-Maschinenrichtlinie gebilligt. Damit kommen auf Maschinenhersteller erhebliche Veränderungen zu - etwa in Sachen KI oder Cyber-Sicherheit.Übergangsfrist gestartet

Was ist zu tun?

Trotz der verpflichtenden Anwendung ab 2027 ist es jetzt schon wichtig, Prozesse und langfristige Projekte entsprechend zu planen, damit die Konstruktion von Maschinen zukünftige Anforderungen berücksichtigt. Cybersecurity ist ein neues Schutzziel. Das zieht für einige Hersteller eine Überarbeitung ihrer bisherigen Sicherheitskonzepte nach sich.

Als Experte für sichere Automation bietet Pilz Dienstleistungen für Maschinensicherheit über den kompletten Lebenszyklus oder auch zu einzelnen Phasen der Maschine an. Pilz bietet für die Bewertung der Maschinensicherheit als auch der sicherheitstechnischen Validierung von Maschinen und Anlagen je nach Kundenanforderung Dienstleistungen mit unterschiedlich umfangreichen Leveln – vom Basischeck bis zum Full-Service-Paket.

Mit Blick auf die CE-Kennzeichnung übernimmt Pilz für seine Kunden den gesamten Prozess rund um das Konformitätsbewertungsverfahren, inklusive der Übernahme der Verantwortung als Bevollmächtigter mit Unterzeichnung der EG-Konformitätserklärung.

Matthias Wimmer,

Application Standards Specialist, Pilz GmbH & Co. KG

Was sich sonst noch tut bei Richtlinien und Verordnungen:

Momentan entstehen in Europa eine Reihe von Richtlinien und Verordnungen, die sich mit Security, Digitalisierung und KI beschäftigen. NIS 2 und der Cyber Resilience Act zählen neben der Maschinenverordnung zu den wichtigsten neuen oder geplanten gesetzlichen Vorgaben:

NIS 2: Mehr Pflichten für mehr Unternehmen

NIS (Netz- und Informationssicherheit) ist eine Richtlinie der Europäischen Union zur Stärkung der Cybersicherheit. Diese Richtlinie gibt es bereits seit 2016 und sie galt bislang für Anbieter im Bereich kritische Infrastrukturen. Der Nachfolger ist NIS 2, die Anfang 2023 in Kraft trat und bis Herbst 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss. Die Richtlinie gilt jetzt unter anderem auch innerhalb der Sektoren Maschinenbau sowie Automotive und hier für Unternehmen mit mehr als 50 MitarbeiterInnen oder einem Jahresumsatz von mehr als 10 Millionen Euro. Diese Unternehmen müssen künftig nachweisen, dass sie technische, operative und organisatorische Maßnahmen zum Schutz vor Security-Vorfällen ergreifen. Unternehmen, die keine Maßnahmen ergreifen, drohen empfindliche Strafen.

Cyber Resilience Act – Security für den gesamten Produktlebenzyklus

Im September 2022 hat die Europäische Kommission einen Entwurf für eine Verordnung vorgelegt, die die Cybersicherheit von Produkten erhöhen soll. Dieser Cyber Resilience Act richtet sich an Hersteller von Produkten mit digitalen Elementen (Hard- und Software), also eigentlich an fast jeden Maschinenbauer. Wie groß die Auswirkungen tatsächlich sein werden, hängt davon ab, welche Kriterien am Ende für die Einstufung der Produkte angelegt werden. Laut Cyber Resilience Act dürfen nur noch Produkte in Verkehr gebracht werden, die ein angemessenes Cybersicherheitsniveau gewährleisten – und zwar über den gesamten Lebenszyklus eines Produktes. Experten gehen davon aus, dass die Verordnung Ende 2024 verabschiedet wird.

Die EU geht bei der Security-Gesetzgebung voran und wird zunächst die weltweit schärfsten Vorgaben haben. Es laufen jedoch bereits Abstimmungen mit anderen Ländern, und auch dort werden entsprechende Gesetze kommen. Es ist also eine weltweite Harmonisierung bei Industrial Security zu erwarten.