Die Maschinenverordnung fordert Cybersicherheit — aber wie genau soll das aussehen? Die MVO nennt Schutzziele, keine Technologien, keine Protokolle. Das ist technologieneutral und sinnvoll, lässt Hersteller aber mit einer schwierigen Frage zurück: Wie weise ich nach, dass meine Konstruktion die Anforderungen erfüllt?

Antwort kommt von prEN 50742 — dem aktuellen Entwurf der harmonisierten europäischen Norm für Cybersicherheit in Maschinen, im März 2026 als DIN-Entwurf veröffentlicht. Sobald sie als harmonisierte Norm im EU-Amtsblatt erscheint, begründet ihre Einhaltung Konformitätsvermutung gegenüber der MVO. Das vereinfacht die CE-Kennzeichnung — wenn die Norm rechtzeitig fertig wird.

Was ist die prEN 50742?

prEN 50742 entsteht im Normungsauftrag der EU-Kommission, erarbeitet von CENELEC. Der Auftrag wurde am 20. Januar 2025 final erteilt. Der Entwurf durchlief Ende 2025 das Enquiry-Verfahren (Kommentarfrist bis Februar 2026), die DIN-Entwurfsfassung erschien im März 2026.

Die Norm adressiert gezielt zwei Abschnitte der Maschinenverordnung:

  • Anhang III, 1.1.9: Schutz gegen Korrumpierung — Schutz vor externen Eingriffen, die gefährliche Situationen verursachen können
  • Anhang III, 1.2.1.f: Sicherheit und Zuverlässigkeit von Steuerungssystemen bei vernetzten und autonomen Maschinen

Technisch baut prEN 50742 auf IEC 62443 auf — der internationalen Normenreihe für industrielle Automatisierungs- und Steuerungssysteme. Was IEC 62443 für IACS-Systeme leistet, übersetzt prEN 50742 in den Kontext der CE-Kennzeichnung für Maschinen.

prEN 50742 ist eine horizontale Norm — sie gilt für alle Maschinen im Anwendungsbereich der MVO, unabhängig von Branche oder Maschinentyp.

Aktueller Stand und Zeitplan

Der Weg zur harmonisierten Norm verläuft in mehreren Schritten:

  • Dezember 2025: Enquiry-Verfahren (öffentliche Kommentierung)
  • März 2026: DIN-Entwurf veröffentlicht (DIN EN 50742)
  • Ende 2026: Geplante Veröffentlichung als EN (nationale Übernahme)
  • Vor Januar 2027: Angestrebte Publikation im EU-Amtsblatt (Konformitätsvermutung)

Ob der letzte Schritt vor dem MVO-Anwendungsdatum gelingt, ist offen. Industrie-Verbände fordern parallel eine Verschiebung der MVO-Cybersicherheitsanforderungen auf den 11. Dezember 2027 — Angleichung an den CRA. Eine offizielle Entscheidung der EU-Kommission steht noch aus.

Warum ist prEN 50742 für Maschinenbauer relevant?

Ohne harmonisierte Norm muss ein Hersteller selbst argumentieren, warum seine Maßnahmen die MVO-Schutzziele aus 1.1.9 und 1.2.1.f erfüllen. Das ist machbar, aber aufwendig — und in der Marktüberwachungspraxis rechtsunsicher.

Mit einer veröffentlichten EN 50742 gilt: Nachweisliche Normerfüllung erzeugt Konformitätsvermutung. Der Beweis ist strukturiert, der Nachweis einfacher. Für die CE-Dokumentation ist das ein erheblicher praktischer Vorteil.

Konkrete Anforderungen nach prEN 50742

Die Norm strukturiert Anforderungen entlang des gesamten Produktlebenszyklus — Konstruktion, Fertigung, Betrieb, Außerbetriebnahme. Security by Design ist kein Schlagwort, sondern eine methodische Anforderung, die früh im Entwicklungsprozess ansetzt.

Sicherheitsanforderungen in der Konstruktionsphase

Hersteller müssen:

  • eine Cybersecurity-Risikobeurteilung durchführen — strukturiert, dokumentiert, analog zur Sicherheitsrisikoanalyse nach EN ISO 12100
  • Bedrohungen systematisch identifizieren (Threat Modeling)
  • Schutzmaßnahmen in die Konstruktion einarbeiten — nicht nachträglich ergänzen
  • Konstruktionsentscheidungen nachvollziehbar begründen

Technische Schutzmaßnahmen

Was der Entwurf in der Regel fordert:

  • Authentifizierung: Nur autorisierte Nutzer und Systeme auf sicherheitsrelevante Funktionen. Standardpasswörter sind verboten — explizit.
  • Netzwerkminimierung: Nicht benötigte Ports und Protokolle deaktiviert. Schnittstellen kontrolliert, nicht offen.
  • Update-Mechanismus: Sichere Software-Updates — Integrität und Authentizität der Updates sichergestellt, bevor sie eingespielt werden.
  • Protokollierung: Sicherheitsrelevante Ereignisse aufgezeichnet. Keine Protokolle bedeutet keine Ursachenanalyse im Schadensfall.
  • Robustheit: Die Maschine hält ihre Sicherheitsfunktionen auch unter Angriffsbedingungen aufrecht — Netzwerküberlastung, fehlerhafte Eingaben, gezielter Missbrauch.

Anforderungen an die Dokumentation

In der technischen Dokumentation muss stehen:

  • Ergebnis der Cybersecurity-Risikobeurteilung
  • Beschreibung der implementierten Schutzmaßnahmen
  • Hinweise für Betreiber zur sicheren Konfiguration
  • Kontaktpunkt für Schwachstellenmeldungen (Vulnerability Disclosure)

Das letzte Element überrascht viele Hersteller. Es ist aber konsequent: Wer nicht erreichbar ist, erfährt erst aus der Presse, dass sein Produkt kompromittiert wurde.

prEN 50742 im Kontext von IEC 62443 und CRA

IEC 62443: Internationaler Standard für IACS-Sicherheit. Konzepte wie Zonen und Konduits, Security Levels, Security Requirements bilden die technische Grundlage, auf der prEN 50742 aufbaut. Wer IEC 62443 kennt, hat einen erheblichen Einstiegsvorteil — und vermeidet Doppelarbeit.

Cyber Resilience Act (CRA): Gilt für alle vernetzten Produkte. prEN 50742 adressiert die maschinenbezogenen MVO-Anforderungen, der CRA das Produkt als solches — SBOM, Schwachstellenmanagement, Meldepflichten. Inhaltliche Überschneidungen sind groß genug für eine koordinierte Umsetzung.

EN ISO 13849 / IEC 62061: Die klassischen Safety-Normen für maschinenspezifische Steuerungssysteme. prEN 50742 ergänzt sie um die Security-Perspektive. Ein Cyberangriff kann eine Safety-Funktion außer Kraft setzen — Safety und Security müssen deshalb gemeinsam in der Risikobeurteilung betrachtet werden.

So bereiten Sie sich vor — 5 Schritte

  1. Bestandsaufnahme: Welche Produktlinien sind betroffen? Welche Schnittstellen existieren? Welche Software ist eingebettet?

  2. Cybersecurity-Risikobeurteilung: Bedrohungen und Schwachstellen systematisch identifizieren — für jede betroffene Maschinenreihe. STRIDE oder ähnliche Methoden als Strukturrahmen.

  3. Maßnahmen priorisieren: Sicherheitsrelevante Funktionen und exponierte Schnittstellen kommen zuerst.

  4. Entwicklungsprozesse anpassen: prEN 50742 ist kein nachträgliches Audit. Cybersicherheit muss Teil des Konstruktionsprozesses werden — Anpassungen in Entwicklungsmethodik und Projektdokumentation sind nötig.

  5. Dokumentation vervollständigen: Die technische CE-Dokumentation muss die Cybersecurity-Risikobeurteilung und alle Maßnahmen vollständig enthalten. Kein Dokument — kein Nachweis.

OT-Security-Beratung: Wie ich Industrieunternehmen bei der OT-Absicherung nach IEC 62443 und den Anforderungen der Maschinenrichtlinien unterstütze, finden Sie unter OT Security · IEC 62443.

Häufige Fragen zur prEN 50742

Ist EN 50742 bereits als harmonisierte Norm veröffentlicht?

Noch nicht. Im März 2026 ist der DIN-Entwurf (DIN EN 50742) erschienen. Die Veröffentlichung als europäische Norm (EN) und anschließend im EU-Amtsblatt — was die Konformitätsvermutung begründet — ist für Ende 2026 geplant. Hersteller sollten dennoch jetzt mit der Umsetzung beginnen, da sich die inhaltlichen Anforderungen bis zur finalen Veröffentlichung voraussichtlich nicht wesentlich ändern werden.

Was ist der Unterschied zwischen prEN 50742 und IEC 62443?

IEC 62443 ist eine internationale Normenreihe für industrielle Automatisierungs- und Steuerungssysteme — von der Systemebene bis zur Komponentenebene. prEN 50742 ist spezifisch auf Maschinen im Sinne der MVO zugeschnitten und schafft den Bezug zur CE-Kennzeichnung. Inhaltlich gibt es erhebliche Überschneidungen — IEC 62443 ist der fachliche Referenzrahmen, auf dem prEN 50742 aufbaut.

Muss ich prEN 50742 anwenden, oder kann ich auch andere Normen nutzen?

Nach Veröffentlichung als harmonisierte Norm: Anwendung freiwillig, begründet aber Konformitätsvermutung. Andere anerkannte Normen wie IEC 62443 sind möglich, erfordern dann aber einen eigenen Nachweis, dass die MVO-Schutzziele erfüllt werden. In der Praxis wird EN 50742 der effizienteste Weg zur MVO-Konformität sein.

Wer muss prEN 50742 erfüllen — Hersteller oder Betreiber?

prEN 50742 adressiert primär die Konstruktionsanforderungen für Hersteller. Betreiber haben eigene Pflichten — aus NIS2 und aus der MVO-Betriebspflicht. Für den sicheren Betrieb von industriellen Steuerungssystemen ist IEC 62443 der relevantere Rahmen.

Wie lange dauert die Cybersecurity-Risikobeurteilung für eine Maschinenreihe?

Abhängig von der Komplexität: Für eine mittelkomplexe vernetzte Maschine dauert eine strukturierte Beurteilung inklusive Dokumentation zwei bis sechs Wochen. Der Aufwand zahlt sich aus — eine fundierte Risikobeurteilung ist die Grundlage für alle weiteren Maßnahmen und erspart spätere Nacharbeiten bei der CE-Kennzeichnung.