Was hat die Maschinenverordnung mit Cyber Security zu tun?

Die europäische Maschinenverordnung, offiziell bekannt als Maschinenrichtlinie (Richtlinie 2006/42/EG), regelt die Sicherheitsanforderungen für Maschinen, die innerhalb der Europäischen Union in Verkehr gebracht werden. Die ursprüngliche Maschinenrichtlinie konzentrierte sich primär auf physische Sicherheitsaspekte, aber mit dem zunehmenden Einsatz von vernetzten und digitalen Technologien in Maschinen wird die Cyber-Sicherheit ein immer wichtigerer Aspekt.
In Anbetracht der technologischen Entwicklungen und der steigenden Relevanz von Cyber Security wird die Maschinenverordnung stetig überarbeitet und weiterentwickelt. Der Entwurf für eine neue Maschinenverordnung (COM(2021) 202 final) zielt darauf ab, aktuelle Herausforderungen, einschließlich der Cybersicherheit, zu adressieren. Dieses neue Regelwerk wird voraussichtlich klare Anforderungen an den Schutz vor Cyber-Bedrohungen enthalten, da vernetzte Maschinen anfällig für solche Risiken sind.
Der Text der Verordnung (EU) 2023/1230 bezieht sich hauptsächlich auf Maschinen und nicht speziell auf Cybersecurity. Es gibt jedoch einige Abschnitte, die indirekt Bezug zur Cybersecurity durch den Schutz vor böswilligen Eingriffen nehmen. Besonders relevant ist Artikelsektion 1.1.9 und 1.2.1, die sich mit dem Schutz gegen Korrumpierung und der Sicherheit und Zuverlässigkeit von Steuerungen befasst:

1. Verbindungen und Interoperabilität: In Artikel 1.1.9 wird auch behandelt, dass Hardware-Komponenten, die für den Anschluss oder Zugriff auf die sicherheitsrelevante Software entscheidend sind, gegen Korrumpierung geschützt sein müssen. Diese Schutzmaßnahmen sind essenziell, um die Integrität und Sicherheit der Kommunikation zu gewährleisten, insbesondere in vernetzten Umgebungen und kann anschließend mit einem Penetration Test sichergestellt werden..
2. Risikobeurteilung und Risikominderung: Gemäß Anhang III Abschnitt 1.1 in den allgemeinen Grundsätzen für Risikobeurteilung müssen Hersteller nicht nur mechanische und physikalische Risiken, sondern auch Risiken im Zusammenhang mit digitalen Schnittstellen und möglichen Cyberbedrohungen in Betracht ziehen.
3. Protokollierung und Nachweisführung: An verschiedenen Stellen wird darauf hingewiesen, dass Maschinen oder deren Steuerungssysteme in der Lage sein müssen, Nachweise für rechtmäßige oder unrechtmäßige Eingriffe zu sammeln. Dies hilft, Cyberangriffe nachzuvollziehen und die Verantwortlichkeit zu klären.
4. Software-Aktualisierungen: Die Dokumentation und Kennzeichnung der Softwareversion, die für den sicheren Betrieb einer Maschine erforderlich ist, muss auf dem neuesten Stand gehalten und sicher vor betrügerischen Änderungen und unbefugtem Zugriff geschützt werden.
5. Cybersecurity-Zertifizierungen: Gemäß Artikel 20 gibt es eine Konformitätsvermutung für Maschinen, die im Rahmen von Cybersicherheitszertifizierungsschemata gemäß der Verordnung (EU) 2019/881 (die sogenannte Cybersecurity-Verordnung) zertifiziert wurden. Hier wird auf die Konformitätszertifizierung im Zusammenhang mit digitalen Risiken verwiesen.