Aktualisiert am 23. Juni 2026; vorheriger Prüfstand: 26. März 2026. Die frühere Fassung nannte eine allgemeine Übergangsfrist bis 14. Januar 2029. Dafür ließ sich in der Maschinenverordnung keine belastbare Grundlage finden; die Angabe wurde entfernt.
Ab dem 20. Januar 2027 gilt die Maschinenverordnung (EU) 2023/1230 — und mit ihr Cybersicherheitspflichten, die in Anhang III, Abschnitt 1.1.9 verankert sind. Was bisher in Sicherheitskonzepten oft fehlte, ist dann CE-relevant: Schutz gegen Korrumpierung von Maschinen, dokumentiert und nachweisbar.
Rechtsstand 23. Juni 2026: Die Maschinenverordnung ist weiterhin ab 20. Januar 2027 anwendbar. Industrieverbände fordern zwar eine Verschiebung der Cybersicherheitsanforderungen auf den 11. Dezember 2027, eine entsprechende Änderung ist bislang aber nicht beschlossen. Auch der Zeitplan für EN 50742 bleibt ein Planungsfaktor, keine garantierte Veröffentlichung. Hersteller sollten deshalb mit dem geltenden Termin arbeiten.
Cybersicherheit in der Maschinenverordnung (EU) 2023/1230
Die MVO ersetzt die Maschinenrichtlinie 2006/42/EG. Der Unterschied, der für Sicherheitsverantwortliche relevant ist: Anhang III, Abschnitt 1.1.9 adressiert explizit den Schutz gegen Korrumpierung — und Abschnitt 1.2.1.f betrifft die Sicherheit und Zuverlässigkeit von Steuerungssystemen bei vernetzten und autonomen Maschinen.
Der Gedanke dahinter ist konsequent: Eine Maschine, die durch einen externen Angriff kompromittiert werden kann, ist eine unsichere Maschine — unabhängig davon, ob ihre mechanischen Sicherheitsfunktionen noch intakt sind. Cybersicherheit ist damit keine IT-Angelegenheit mehr. Sie ist Konstruktionsaufgabe.
Die MVO schützt gegen drei konkrete Szenarien:
- unbeabsichtigte Verbindungen von außen
- böswillige Manipulationen über Netzwerkschnittstellen
- Software-Eingriffe, die Sicherheitsfunktionen außer Kraft setzen
Diese Anforderungen gelten für alle Maschinen, die nach dem Anwendungsdatum erstmals in Verkehr gebracht werden. Bestandsmaschinen sind ausgenommen — allerdings können wesentliche Änderungen eine Maschine als neu qualifizieren.
Wen betrifft die MVO-Cybersicherheitspflicht?
Betroffen sind Maschinenhersteller. Die entscheidende Frage ist simpel: Hat die Maschine eine Schnittstelle, über die Software oder Daten übertragen werden können? USB, Ethernet, WLAN, proprietäre Verbindungen — alles, was eine Verbindung erlaubt, löst die Anforderungen aus.
Konkret relevant:
- Maschinenbauer mit fernüberwachten oder ferngesteuerten Anlagen
- Hersteller von Produktionsanlagen mit SPS-Steuerungen
- Anbieter von Robotiksystemen und Cobots
- Hersteller in Lebensmittel-, Chemie- und Pharmaindustrie
- Druckmaschinen, Werkzeugmaschinen, Förderanlagen mit Datenschnittstellen
Was fordert Anhang III der MVO konkret?
Die MVO definiert Schutzziele, keine Technologien. Spielraum bei der Umsetzung — aber auch die Pflicht, die eigene Lösung zu begründen und zu dokumentieren.
Schutz vor unbeabsichtigten Verbindungen: Netzwerksegmentierung, Firewall-Regeln, Deaktivierung nicht benötigter Ports. Die technische Basis ist bekannt. Neu ist die CE-Relevanz.
Schutz vor böswilliger Manipulation: Authentifizierung und Zugriffssteuerung müssen verhindern, dass Unbefugte auf sicherheitsrelevante Funktionen zugreifen. Ein Passwort reicht nicht mehr. Starke Authentifizierung, rollenbasierte Zugriffssteuerung — das ist der Mindeststandard.
Software-Integrität: Firmware-Updates müssen authentisch und manipulationssicher sein. Code Signing, sichere Update-Kanäle — wer das noch nicht implementiert hat, hat Arbeit vor sich.
Nachvollziehbarkeit: Sicherheitsrelevante Ereignisse müssen protokolliert werden. Kein Protokoll, keine Ursachenanalyse. Keine Ursachenanalyse, kein Verbesserungsprozess.
Dokumentation: In der technischen CE-Dokumentation muss stehen, welche Cybersicherheitsrisiken identifiziert und welche Maßnahmen ergriffen wurden. Das ist der Nachweis für die Marktüberwachungsbehörde — und im Schadensfall für das Gericht.
Zeitplan und Fristen
| Datum | Meilenstein |
|---|---|
| 14. Juli 2023 | MVO in Kraft getreten |
| 20. Januar 2025 | Finaler EU-Normungsauftrag an CEN/CENELEC |
| März 2026 | DIN-Entwurf prEN 50742 veröffentlicht |
| Ende 2026 | Angestrebte Veröffentlichung EN 50742; Termin nicht garantiert |
| 20. Januar 2027 | MVO vollständig anwendbar (aktuell gültiger Termin) |
| 11. Dezember 2027 | Von Industrieverbänden geforderter Ausweichtermin; nicht beschlossen |
MVO, CRA und prEN 50742 — Das Zusammenspiel
Maschinenbauer stehen aktuell vor drei Regelwerken, die sich überschneiden:
Maschinenverordnung (MVO): Maschinen, Cybersicherheit als Teil der Maschinensicherheit, anwendbar ab Januar 2027.
Cyber Resilience Act (CRA): Alle vernetzten Produkte, Schwerpunkt Produktsicherheit und Schwachstellenmanagement, anwendbar ab 11. Dezember 2027.
prEN 50742: Normenentwurf für Maschinen-Cybersicherheit, der MVO-Anhang III 1.1.9 und 1.2.1.f konkretisieren soll. Der DIN-Entwurf erschien im März 2026. Erst eine finale Norm und ihre Referenzierung im EU-Amtsblatt können eine Konformitätsvermutung begründen.
Drei Regelwerke, aber erhebliche inhaltliche Überschneidungen. Eine koordinierte Umsetzung — eine Risikoanalyse, ein Maßnahmenkonzept, eine Dokumentationsstruktur — ist deutlich effizienter als drei parallele Projekte.
Typischer Projektablauf bei TPC Security
In meiner Beratungspraxis läuft das in fünf Schritten:
- Produkt-Screening: Welche Maschinenlinien sind betroffen? Welche Schnittstellen existieren?
- Cybersecurity-Risikoanalyse: Systematische Bedrohungsidentifikation analog zur Sicherheitsrisikoanalyse nach EN ISO 12100
- Maßnahmenplanung: Technische und organisatorische Schutzmaßnahmen auf Basis der identifizierten Risiken
- Umsetzung: Integration in Konstruktion, Softwareentwicklung, Fertigungsprozesse
- Dokumentation und CE: Aktualisierung der technischen Unterlagen, Risikobeurteilung, Konformitätserklärung
MVO & CRA-Beratung: Wie ich Maschinenhersteller bei der MVO-konformen Cybersicherheit und CE-Dokumentation unterstütze, finden Sie unter CRA & Maschinenverordnung.
Häufige Fragen zur Maschinenverordnung und Cybersicherheit
Gilt die MVO-Cybersicherheitspflicht auch für ältere Maschinen?
Nein. Die MVO gilt ausschließlich für Maschinen, die erstmals in Verkehr gebracht werden. Bestandsmaschinen sind ausgenommen. Wesentliche Änderungen an einer bestehenden Maschine können sie jedoch als neue Maschine qualifizieren — dann gelten die MVO-Anforderungen vollständig.
Wird die Cybersicherheitspflicht der MVO wirklich auf Dezember 2027 verschoben?
Rechtsstand 23. Juni 2026 ist das weiterhin eine Forderung von Industrieverbänden, keine beschlossene Änderung. Hersteller sollten sich nicht auf eine Verschiebung verlassen und mit dem geltenden Anwendungstermin 20. Januar 2027 planen.
Welche Norm konkretisiert die Cybersicherheitsanforderungen der MVO?
Die prEN 50742, deren DIN-Entwurf im März 2026 erschienen ist. Der Entwurf allein begründet keine Konformitätsvermutung. Dafür braucht es die finale Norm und ihre Referenzierung im EU-Amtsblatt. Ergänzend kann IEC 62443 als technische Orientierung herangezogen werden, soweit sie zum konkreten Produkt und Risiko passt.
Muss ich eine externe Zertifizierung für MVO-Cybersicherheit durchführen lassen?
Für die meisten Maschinen reicht eine Selbstbewertung — interne Risikobeurteilung plus Konformitätserklärung. Bei Hochrisikokategorien nach Anhang I der MVO ist eine externe Bewertung erforderlich. Für Cybersicherheit gibt es keine pauschale Drittprüfungspflicht — aber die Pflicht, die Maßnahmen nachvollziehbar zu dokumentieren.
Wie hängen MVO und CRA zusammen — muss ich beide erfüllen?
Ja. Beide gelten parallel. Die MVO adressiert die Maschinensicherheit einschließlich Cybersicherheit, der CRA das Produkt mit digitalen Elementen und sein Schwachstellenmanagement. Die inhaltlichen Überschneidungen sind erheblich — eine koordinierte Umsetzung spart Zeit und Kosten gegenüber zwei getrennten Projekten.