Wie gehe ich mit Software-Updates und Cybersecurity um?

Die Verordnung erkennt digitale Risiken explizit an: Updates, Patches, Fernzugriffe und potenzielle Manipulationen. Richten Sie sichere Update-Prozesse ein (Signaturen/Integritätsprüfung, Freigabeschritte, Rollback), steuern Sie Zugriffe über Rollen und Protokollierung und belegen Sie, dass Änderungen das Sicherheitsniveau nicht absenken.

Darf ich Betriebsanleitungen ausschließlich digital liefern?

Ja, die elektronische Bereitstellung ist zulässig. Auf Verlangen müssen Sie kostenlos eine Papierfassung in angemessener Frist liefern. Sicherheitsrelevante Informationen müssen jederzeit leicht zugänglich und gut lesbar sein.

Wann brauche ich eine Benannte Stelle?

Fällt Ihre Maschine in eine Kategorie mit höherem Risiko gemäß Anhang I Teil A, ist die Einbindung einer Benannten Stelle grundsätzlich verpflichtend (z. B. EU-Baumusterprüfung). Prüfen Sie die Einstufung frühzeitig und planen Sie ausreichende Puffer für Prüfungen und Rückfragen ein.

Was gilt als „wesentliche Veränderung“?

Jede physische oder digitale Änderung, die das Sicherheitsniveau beeinflusst und vom Originalhersteller nicht vorgesehen ist, kann eine wesentliche Veränderung sein. Typisch: Austausch von Komponenten der Sicherheitskette, neue Software mit geänderter Logik, Integration der Maschine in eine Linie. Dann müssen Sie die Konformität erneut bewerten.

Was bedeutet der Stichtag 14. Januar 2027 für laufende Projekte?

Nach dem 14.01.2027 gilt ausschließlich die Verordnung. Projekten, die über dieses Datum hinauslaufen, droht Doppeltarbeit, wenn sie noch nach der Richtlinie geplant sind. Planen und dokumentieren Sie deshalb bereits heute nach der Verordnung, um spätere Umstellungen zu vermeiden.

Welche Besonderheiten gelten für autonome Funktionen und KI?

Sie müssen Risiken aus Wahrnehmung, Datenqualität und Entscheidungslogik einbeziehen. Nachweise zur Funktionssicherheit, Validierung typischer und kritischer Szenarien, Schutz vor Manipulation sowie Protokollierung sicherheitsrelevanter Entscheidungen zählen zu den wesentlichen Anforderungen.

Maschinenhersteller – neue Anforderungen der Verordnung (EU) 2023/1230: Praxisleitfaden 2025

Maschinenhersteller – neue Anforderungen der Verordnung (EU) 2023/1230 treffen Ihre Projekte bereits heute. Auch wenn die alte Richtlinie 2006/42/EG noch bis zum 14. Januar 2027 gilt, sollten Sie neue Maschinen, Umbauten und Linienintegration ab sofort nach der Verordnung planen. Andernfalls riskieren Sie, dass Sie kurz vor dem Stichtag Prüfungen, Bewertungen und Dokumentation neu aufsetzen – mit vermeidbaren Kosten, Verzögerungen und Nutzungsrisiken.

Die Verordnung bringt klare Definitionen und verschärft an mehreren Stellen die Pflichten für Hersteller. Sie adressiert nicht nur klassische mechanische Risiken, sondern auch Software, Vernetzung und Cybersecurity. Das betrifft Unternehmen, die Maschinen von Grund auf entwickeln, Anlagen modernisieren, mehrere Maschinen zu einer Gesamtanlage koppeln oder als Importeure Produkte unter eigenem Namen in der EU in Verkehr bringen.

Spis Treści

Maschinenhersteller – neue Anforderungen der Verordnung (EU) 2023/1230: Ab wann werden Sie zum Hersteller?

Die Verordnung definiert den Hersteller als natürliche oder juristische Person, die ein unter den Rechtsakt fallendes Produkt konstruiert oder herstellen lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt. Ebenso gilt als Hersteller, wer eine Maschine ausschließlich für den eigenen Gebrauch herstellt und in der eigenen Produktion einsetzt.

In der Praxis übernehmen Sie die volle Herstellerverantwortung, wenn Sie eine der folgenden Konstellationen erfüllen:

Sie entwickeln und/oder fertigen eine Maschine und bringen sie unter Ihrer Marke in Verkehr.
Sie bauen eine Maschine ausschließlich für den Eigengebrauch in Ihrem Werk auf.
Sie importieren eine fertige Maschine aus einem Drittland und vertreiben sie in der EU unter Ihrer Marke.
Sie integrieren Maschinen zu einer funktionalen Gesamtheit (z. B. Produktionslinie) mit gemeinsamer Steuerung und Schutzkonzepten.
Sie nehmen Änderungen vor, die die Sicherheit beeinflussen – einschließlich Software-Updates, die der ursprüngliche Hersteller nicht vorgesehen hat.

Sobald eine Änderung die Sicherheit beeinflusst, behandelt die Verordnung das als „wesentliche Veränderung“. Dann müssen Sie die Konformität erneut bewerten und die Pflichten des Herstellers übernehmen – inklusive Risikobeurteilung, Technischer Dokumentation, CE-Kennzeichnung und EU-Konformitätserklärung. Das gilt ausdrücklich für physische Eingriffe (z. B. Austausch sicherheitsrelevanter Komponenten) und für digitale Änderungen (z. B. neues Steuerungsprogramm, zusätzliche Funktionen, veränderte Sicherheitslogik).

Typische Szenarien, in denen Sie schnell zum Hersteller werden:

Import unter eigener Marke: Sie übernehmen die Rolle des Herstellers – selbst wenn Sie „nur“ Software anpassen oder Schutzverkleidungen ergänzen.
Softwaretausch und -erweiterungen: Wenn die neue Software Sicherheitsfunktionen verändert oder zusätzliche Risiken einführt, gelten Sie als Hersteller der veränderten Maschine.
Modernisierung: Schon kleinere Umbauten können wesentlich sein, wenn sie z. B. Performance-Level, Sicherheitsfunktionen oder Schutzeinrichtungen beeinflussen.
Verkettung von Maschinen: Entsteht ein Gesamtsystem mit gemeinsamer Steuerung und Schutzkonzept, entsteht ein neues Produkt mit eigenständiger Konformitätsbewertung.

Übergangszeit sinnvoll nutzen: Warum Sie jetzt nach der Verordnung planen

Bis zum 14. Januar 2027 dürfen Sie Maschinen noch nach der Richtlinie 2006/42/EG in Verkehr bringen. In der Praxis kollidieren größere Projekte jedoch leicht mit diesem Datum. Wer eine Linie 2025/2026 konzipiert, steht 2027 oft noch in der Inbetriebnahme, beim Abnahmenachweis oder bei Nachläufen. Dann greifen ausschließlich die Regeln der Verordnung – inklusive der teils höheren Nachweise.

Ein vorausschauender Weg vermeidet Doppeltarbeit: Planen und dokumentieren Sie ab sofort nach den Vorgaben der Verordnung. So bleiben Sie rechtskonform, selbst wenn Ihr Projekt die Grenze 2027 überschreitet. Zusätzlich steigen die Erwartungen Ihrer Kunden: digitale Dokumentation, sichere Remote-Zugriffe, planbare Software-Updates. Wer diese Punkte frühzeitig integriert, stärkt Marktzugang und Reputation.

Maschinenhersteller – neue Anforderungen der Verordnung (EU) 2023/1230: Was ändert sich konkret?

Cybersecurity und Software: Die Verordnung adressiert Risiken durch Vernetzung, Remote-Zugriff, Updates und Manipulationen. Hersteller müssen sichere Update-Prozesse, Zugriffsschutz, Änderungsnachweise und Fallback-Konzepte vorsehen – ohne das Sicherheitsniveau zu schwächen.
Kategorien mit höherem Risiko: Für bestimmte Kategorien in Anhang I Teil A ist die Beteiligung einer Benannten Stelle verpflichtend (z. B. EU-Baumusterprüfung). Prüfen Sie frühzeitig, ob Ihr Produkt in diese Liste fällt.
Digitale Anleitungen: Elektronische Bereitstellung ist zulässig. Auf Verlangen liefern Sie kostenlos eine Papierfassung in angemessener Frist; sicherheitskritische Informationen müssen jederzeit leicht zugänglich und lesbar sein.
Wesentliche Veränderung: Jede Änderung mit Einfluss auf die Sicherheit – mechanisch wie digital – kann eine erneute Konformitätsbewertung auslösen. Das betrifft auch die Integration in Linien oder das Nachrüsten neuer Betriebsarten.
Daten- und Ereignisaufzeichnung: Für sicherheitsrelevante Softwareänderungen lohnt sich ein manipulationssicheres Logging. Damit weisen Sie nach, dass Änderungen kontrolliert und bewertet erfolgen.

Praxisleitfaden: So setzen Sie das neue Recht schon heute um

Mit einem strukturierten Vorgehen vermeiden Sie Reibungsverluste und bauen Compliance in Ihre Produktentwicklung ein. Die folgenden Schritte haben sich in der Praxis bewährt:

Produktabgrenzung festlegen: Welche Funktion liefert die Maschine? Welche Betriebsarten (Einrichten, Automatik, Handbetrieb)? Welche Grenzen (räumlich, zeitlich, meist bestimmungsgemäßer Gebrauch)?
Klassifizierung prüfen: Gehört die Maschine zu einer Kategorie mit höherem Risiko gemäß Anhang I Teil A? Benötigen Sie eine Benannte Stelle? Falls ja, kontaktieren Sie sie frühzeitig.
Normenstrategie planen: Identifizieren Sie relevante harmonisierte Normen (z. B. Risikobeurteilung nach ISO 12100, sicherheitsbezogene Steuerungen nach EN ISO 13849-1 / IEC 62061, elektrische Ausrüstung nach EN 60204-1). Planen Sie rechtzeitig Validierungen.
Risikobeurteilung modern denken: Berücksichtigen Sie neben mechanischen Gefährdungen auch Software, Daten, Vernetzung und Remote-Funktionen. Dokumentieren Sie Gefährdungssituationen über den gesamten Lebenszyklus inklusive Inbetriebnahme, Reinigung, Instandhaltung und Außerbetriebnahme.
Sicherheitsfunktionen spezifizieren: Definieren Sie Safety Requirements (SRS), legen Sie Performance Level/SIL fest, planen Sie Architektur, Diagnose und Validierung. Überprüfen Sie, wie Software-Updates diese Funktionen beeinflussen können.
Security-by-Design integrieren: Rollen- und Rechtemanagement, sichere Inbetriebnahme, Härtung der Steuerung, Update- und Patch-Prozess, Signaturen/Integritätsprüfungen sowie Ereignisprotokollierung.
Konformitätsbewertungsverfahren wählen: Abhängig von Produkt und Risikokategorie kommen Module wie Interne Fertigungskontrolle (A), EU-Baumusterprüfung plus Fertigungskontrolle (B+C), Einzelprüfung (G) oder Qualitätssicherung (H) in Betracht.
Technische Dokumentation aufbauen: Strukturieren Sie die Unterlagen so, dass eine fachkundige Stelle die Konformität nachvollziehen kann. Dazu zählen Konstruktionsunterlagen, Risikobeurteilung, Schaltpläne, Software- und Sicherheitskonzepte, Prüfberichte, Liste der angewandten Normen, Betriebsanleitung und Montage-/Installationshinweise.
Anleitungen digital bereitstellen: Stellen Sie sicher, dass Sicherheitsinformationen unmittelbar zugänglich sind und bei Bedarf eine Papierfassung ohne Verzögerung geliefert wird. Achten Sie auf Sprache, Lesbarkeit und Zielgruppenbezug.
CE-Kennzeichnung und EU-Konformitätserklärung: Zeichnen Sie die Maschine nach Abschluss der Bewertung mit CE, erstellen und unterzeichnen Sie die EU-Konformitätserklärung – inklusive eindeutiger Produktidentifikation und angewandter Verfahren.
Lieferanten- und Änderungsmanagement: Binden Sie Zulieferer in Ihre Compliance-Prozesse ein. Dokumentieren Sie Änderungen (Hardware und Software), bewerten Sie deren Einfluss auf Sicherheit und aktualisieren Sie Unterlagen fortlaufend.
Lifecycle-Services planen: Definieren Sie Prozesse für Wartung, Updates, Ersatzteile und Schulungen, damit das Sicherheitsniveau über den gesamten Lebenszyklus erhalten bleibt.

Wer diese Bausteine durchgängig verankert, reduziert Projektrisiken signifikant: weniger Schleifen kurz vor Auslieferung, planbare Tests, klare Unterlagen für Kunden und Behörden sowie robuste Updatemechanismen für den Betrieb.

Maschinenhersteller – neue Anforderungen der Verordnung (EU) 2023/1230: Typische Fallstricke und Praxisbeispiele

„Nur importiert, nicht hergestellt“: Wer eine Maschine aus einem Drittland unter eigener Marke vertreibt, gilt als Hersteller – inklusive voller Verantwortlichkeit für Konformität, CE und Dokumentation.
„Kleine“ Softwareänderung mit großer Wirkung: Ein neues Rezepturmodul oder veränderte Sicherheitslogik kann die Risikobeurteilung verändern und eine erneute Konformitätsbewertung erfordern.
Verkettete Anlagen: Die Verbindung einzelner CE-markanter Maschinen zu einer Linie erzeugt ein neues Produkt – mit gemeinsamer Steuerung, Schutzkonzept und Bewertung als Gesamtheit.
Remote-Zugriff ohne Sicherheitskonzept: Fernwartung und Cloud-Dienste sind bequem, eröffnen aber Angriffsflächen. Ohne Zugriffsschutz, rollenbasierte Rechte und revisionssichere Updates drohen Compliance-Lücken.
Autonome Funktionen und KI: Wahrnehmung, Entscheidung und Bewegung müssen auch bei fehlerhaften Daten sicher bleiben. Planen Sie Fail-Safe-Strategien, Validierung und manipulationssichere Protokollierung.

Aus Projektsicht lohnt es sich, früh klare Zuständigkeiten zu definieren: Wer verantwortet Risikobeurteilung, Sicherheitsfunktionen, Cybersecurity-Konzepte, Tests, Validierung und die finale Konformität? Wer koordiniert Zulieferer und Integratoren? Eine eindeutige Rollen- und Schnittstellenbeschreibung verhindert Lücken in der Beurteilung – insbesondere bei Linienprojekten.

Auch vertraglich sollten Sie reagieren: Anforderungen der Verordnung gehören in Lasten- und Pflichtenhefte, Spezifikationen und Abnahmepläne. Vereinbaren Sie Sicherheits- und Security-Ziele, Nachweisdokumente, Testkriterien sowie Reaktionszeiten für Updates. So stellen Sie sicher, dass alle Beteiligten auf denselben Nachweisen arbeiten und die Benannte Stelle (falls erforderlich) rasch eingebunden werden kann.

FAQ: Häufige Fragen von Maschinenherstellern

Oceń post