Ab dem 14. Januar 2027 gilt die Maschinenverordnung (EU) 2023/1230 — und mit ihr Cybersicherheitspflichten, die in Anhang III, Abschnitt 1.1.9 verankert sind. Was bisher in Sicherheitskonzepten oft fehlte, ist dann CE-relevant: Schutz gegen Korrumpierung von Maschinen, dokumentiert und nachweisbar.
Eine wichtige Einschränkung für März 2026: Industrie-Verbände fordern aktuell eine Verschiebung der Cybersicherheitsanforderungen auf den 11. Dezember 2027 — eine Angleichung an den CRA. Begründung: Die harmonisierte Norm prEN 50742 wird erst Ende 2026 veröffentlicht, eine Normkonformität bis Januar 2027 ist technisch nicht realistisch. Die EU-Kommission hat noch nicht entschieden. Hersteller sollten trotzdem jetzt beginnen — ob Januar oder Dezember 2027, der Aufwand bleibt derselbe.
Cybersicherheit in der Maschinenverordnung (EU) 2023/1230
Die MVO ersetzt die Maschinenrichtlinie 2006/42/EG. Der Unterschied, der für Sicherheitsverantwortliche relevant ist: Anhang III, Abschnitt 1.1.9 adressiert explizit den Schutz gegen Korrumpierung — und Abschnitt 1.2.1.f betrifft die Sicherheit und Zuverlässigkeit von Steuerungssystemen bei vernetzten und autonomen Maschinen.
Der Gedanke dahinter ist konsequent: Eine Maschine, die durch einen externen Angriff kompromittiert werden kann, ist eine unsichere Maschine — unabhängig davon, ob ihre mechanischen Sicherheitsfunktionen noch intakt sind. Cybersicherheit ist damit keine IT-Angelegenheit mehr. Sie ist Konstruktionsaufgabe.
Die MVO schützt gegen drei konkrete Szenarien:
- unbeabsichtigte Verbindungen von außen
- böswillige Manipulationen über Netzwerkschnittstellen
- Software-Eingriffe, die Sicherheitsfunktionen außer Kraft setzen
Diese Anforderungen gelten für alle Maschinen, die nach dem Anwendungsdatum erstmals in Verkehr gebracht werden. Bestandsmaschinen sind ausgenommen — allerdings können wesentliche Änderungen eine Maschine als neu qualifizieren.
Wen betrifft die MVO-Cybersicherheitspflicht?
Betroffen sind Maschinenhersteller. Die entscheidende Frage ist simpel: Hat die Maschine eine Schnittstelle, über die Software oder Daten übertragen werden können? USB, Ethernet, WLAN, proprietäre Verbindungen — alles, was eine Verbindung erlaubt, löst die Anforderungen aus.
Konkret relevant:
- Maschinenbauer mit fernüberwachten oder ferngesteuerten Anlagen
- Hersteller von Produktionsanlagen mit SPS-Steuerungen
- Anbieter von Robotiksystemen und Cobots
- Hersteller in Lebensmittel-, Chemie- und Pharmaindustrie
- Druckmaschinen, Werkzeugmaschinen, Förderanlagen mit Datenschnittstellen
Was fordert Anhang III der MVO konkret?
Die MVO definiert Schutzziele, keine Technologien. Spielraum bei der Umsetzung — aber auch die Pflicht, die eigene Lösung zu begründen und zu dokumentieren.
Schutz vor unbeabsichtigten Verbindungen: Netzwerksegmentierung, Firewall-Regeln, Deaktivierung nicht benötigter Ports. Die technische Basis ist bekannt. Neu ist die CE-Relevanz.
Schutz vor böswilliger Manipulation: Authentifizierung und Zugriffssteuerung müssen verhindern, dass Unbefugte auf sicherheitsrelevante Funktionen zugreifen. Ein Passwort reicht nicht mehr. Starke Authentifizierung, rollenbasierte Zugriffssteuerung — das ist der Mindeststandard.
Software-Integrität: Firmware-Updates müssen authentisch und manipulationssicher sein. Code Signing, sichere Update-Kanäle — wer das noch nicht implementiert hat, hat Arbeit vor sich.
Nachvollziehbarkeit: Sicherheitsrelevante Ereignisse müssen protokolliert werden. Kein Protokoll, keine Ursachenanalyse. Keine Ursachenanalyse, kein Verbesserungsprozess.
Dokumentation: In der technischen CE-Dokumentation muss stehen, welche Cybersicherheitsrisiken identifiziert und welche Maßnahmen ergriffen wurden. Das ist der Nachweis für die Marktüberwachungsbehörde — und im Schadensfall für das Gericht.
Zeitplan und Fristen
| Datum | Meilenstein |
|---|---|
| 14. Juli 2023 | MVO in Kraft getreten |
| 20. Januar 2025 | Finaler EU-Normungsauftrag an CEN/CENELEC |
| März 2026 | DIN-Entwurf prEN 50742 veröffentlicht |
| Ende 2026 | Geplante Veröffentlichung EN 50742 |
| 14. Januar 2027 | MVO vollständig anwendbar (aktuell gültiger Termin) |
| 11. Dezember 2027 | Forderung der Industrie: Verschiebung der Cybersicherheits-Anforderungen |
| 14. Januar 2029 | Ablauf der Übergangsfrist für MRL-konforme Maschinen |
MVO, CRA und prEN 50742 — Das Zusammenspiel
Maschinenbauer stehen aktuell vor drei Regelwerken, die sich überschneiden:
Maschinenverordnung (MVO): Maschinen, Cybersicherheit als Teil der Maschinensicherheit, anwendbar ab Januar 2027.
Cyber Resilience Act (CRA): Alle vernetzten Produkte, Schwerpunkt Produktsicherheit und Schwachstellenmanagement, anwendbar ab 11. Dezember 2027.
prEN 50742: Harmonisierte Norm für Maschinen-Cybersicherheit, konkretisiert MVO-Anhang III 1.1.9 und 1.2.1.f. DIN-Entwurf März 2026, Veröffentlichung als EN geplant Ende 2026.
Drei Regelwerke, aber erhebliche inhaltliche Überschneidungen. Eine koordinierte Umsetzung — eine Risikoanalyse, ein Maßnahmenkonzept, eine Dokumentationsstruktur — ist deutlich effizienter als drei parallele Projekte.
Typischer Projektablauf bei TPC Security
In meiner Beratungspraxis läuft das in fünf Schritten:
- Produkt-Screening: Welche Maschinenlinien sind betroffen? Welche Schnittstellen existieren?
- Cybersecurity-Risikoanalyse: Systematische Bedrohungsidentifikation analog zur Sicherheitsrisikoanalyse nach EN ISO 12100
- Maßnahmenplanung: Technische und organisatorische Schutzmaßnahmen auf Basis der identifizierten Risiken
- Umsetzung: Integration in Konstruktion, Softwareentwicklung, Fertigungsprozesse
- Dokumentation und CE: Aktualisierung der technischen Unterlagen, Risikobeurteilung, Konformitätserklärung
MVO & CRA-Beratung: Wie ich Maschinenhersteller bei der MVO-konformen Cybersicherheit und CE-Dokumentation unterstütze, finden Sie unter CRA & Maschinenverordnung.
Häufige Fragen zur Maschinenverordnung und Cybersicherheit
Gilt die MVO-Cybersicherheitspflicht auch für ältere Maschinen?
Nein. Die MVO gilt ausschließlich für Maschinen, die erstmals in Verkehr gebracht werden. Bestandsmaschinen sind ausgenommen. Wesentliche Änderungen an einer bestehenden Maschine können sie jedoch als neue Maschine qualifizieren — dann gelten die MVO-Anforderungen vollständig.
Wird die Cybersicherheitspflicht der MVO wirklich auf Dezember 2027 verschoben?
Das ist aktuell (März 2026) eine Forderung von Industrie-Verbänden — noch keine beschlossene Änderung. Die EU-Kommission hat nicht entschieden. Hersteller sollten sich nicht auf eine Verschiebung verlassen und jetzt mit der Umsetzung beginnen.
Welche Norm konkretisiert die Cybersicherheitsanforderungen der MVO?
Die prEN 50742, deren DIN-Entwurf im März 2026 erschienen ist. Nach Veröffentlichung als harmonisierte Norm im EU-Amtsblatt begründet ihre Einhaltung Konformitätsvermutung gegenüber Anhang III 1.1.9 und 1.2.1.f der MVO. Ergänzend kann IEC 62443 als internationale Norm herangezogen werden.
Muss ich eine externe Zertifizierung für MVO-Cybersicherheit durchführen lassen?
Für die meisten Maschinen reicht eine Selbstbewertung — interne Risikobeurteilung plus Konformitätserklärung. Bei Hochrisikokategorien nach Anhang I der MVO ist eine externe Bewertung erforderlich. Für Cybersicherheit gibt es keine pauschale Drittprüfungspflicht — aber die Pflicht, die Maßnahmen nachvollziehbar zu dokumentieren.
Wie hängen MVO und CRA zusammen — muss ich beide erfüllen?
Ja. Beide gelten parallel. Die MVO adressiert die Maschinensicherheit einschließlich Cybersicherheit, der CRA das Produkt mit digitalen Elementen und sein Schwachstellenmanagement. Die inhaltlichen Überschneidungen sind erheblich — eine koordinierte Umsetzung spart Zeit und Kosten gegenüber zwei getrennten Projekten.