Was hat die Maschinenverordnung mit Cyber Security zu tun?

Die europäische Maschinenverordnung (Verordnung (EU) 2023/1230) ersetzt die bisherige Maschinenrichtlinie (Richtlinie 2006/42/EG) und regelt die Sicherheitsanforderungen für Maschinen, die innerhalb der Europäischen Union in Verkehr gebracht werden. Während die ursprüngliche Maschinenrichtlinie sich primär auf physische Sicherheitsaspekte konzentrierte, berücksichtigt die neue Maschinenverordnung auch den zunehmenden Einsatz von vernetzten und digitalen Technologien in Maschinen, wodurch die Cyber-Sicherheit ein wichtiger Aspekt geworden ist.
Der Text der Verordnung (EU) 2023/1230 bezieht sich hauptsächlich auf Maschinen und nicht speziell auf Cybersecurity. Es gibt jedoch einige Abschnitte, die indirekt Bezug zur Cybersecurity durch den Schutz vor böswilligen Eingriffen nehmen. Besonders relevant sind die Abschnitte des Anhangs III 1.1.9 und 1.2.1, die sich mit dem Schutz gegen Korrumpierung und der Sicherheit und Zuverlässigkeit von Steuerungen befassen:

1. Verbindungen und Interoperabilität: In Artikel 1.1.9 wird auch behandelt, dass Hardware-Komponenten, die für den Anschluss oder Zugriff auf die sicherheitsrelevante Software entscheidend sind, gegen Korrumpierung geschützt sein müssen. Diese Schutzmaßnahmen sind essenziell, um die Integrität und Sicherheit der Kommunikation zu gewährleisten, insbesondere in vernetzten Umgebungen. Die Wirksamkeit dieser Maßnahmen kann anschließend mit einem Penetration Test sichergestellt werden.
2. Risikobeurteilung und Risikominderung: Gemäß Anhang III Abschnitt 1.1 in den allgemeinen Grundsätzen für Risikobeurteilung müssen Hersteller nicht nur mechanische und physikalische Risiken, sondern auch Risiken im Zusammenhang mit digitalen Schnittstellen und möglichen Cyberbedrohungen in Betracht ziehen.
3. Protokollierung und Nachweisführung: An verschiedenen Stellen wird darauf hingewiesen, dass Maschinen oder deren Steuerungssysteme in der Lage sein müssen, Nachweise für rechtmäßige oder unrechtmäßige Eingriffe zu sammeln. Dies hilft, Cyberangriffe nachzuvollziehen und die Verantwortlichkeit zu klären.
4. Software-Aktualisierungen: Die Dokumentation und Kennzeichnung der Softwareversion, die für den sicheren Betrieb einer Maschine erforderlich ist, muss auf dem neuesten Stand gehalten und sicher vor betrügerischen Änderungen und unbefugtem Zugriff geschützt werden.
5. Cybersecurity-Zertifizierungen: Gemäß Artikel 20 gibt es eine Konformitätsvermutung für Maschinen, die im Rahmen von Cybersicherheitszertifizierungsschemata gemäß der Verordnung (EU) 2019/881 (die sogenannte Cybersecurity-Verordnung) zertifiziert wurden. Hier wird auf die Konformitätszertifizierung im Zusammenhang mit digitalen Risiken verwiesen.