Übersicht mit KI

Der Beitrag zeigt, warum Cybersecurity im Maschinen- und Anlagenbau durch zunehmende Vernetzung (Echtzeitdaten, Fernzugriffe, Cloud, mobile Schnittstellen) zum Pflichtprogramm wird: Die Angriffsfläche wächst und Cyberangriffe können neben Daten auch die funktionale Sicherheit von Maschinen gefährden. Im Fokus stehen drei EU-Regelwerke und ihre Folgen für die Praxis: – NIS‑2 verlangt von betroffenen Unternehmen (u. a. ab 50 Mitarbeitenden oder >10 Mio. € Umsatz/Bilanzsumme) ein strukturiertes, nachweisbares IT‑Sicherheitsmanagement mit Risikobewertung, Maßnahmen, regelmäßigen Reviews sowie Meldepflichten (24‑h Erstmeldung, 72‑h Nachmeldung). – Neue Maschinenverordnung (EU 2023/22) gilt ab 20.01.2027 und erweitert die CE-/Konformitätsbewertung um digitale Risiken (z. B. unerlaubter Fernzugriff, manipulierte Software). Genannt werden Anforderungen wie abgesicherte Schnittstellen/Konnektivität, Manipulationsschutz, Zugriffskontrollen, Dokumentation, Softwareintegrität und Rückverfolgbarkeit; digitale Betriebsanleitungen werden unter Bedingungen zulässig. – Cyber Resilience Act (EU 2024/87) gilt ab 11.12.2027 für Produkte mit digitalen Elementen (z. B. Steuerungen, HMIs, Sensorik, Software, Apps, Cloud-Dienste) und fordert u. a. Secure by Design/Default, Schwachstellenmanagement, SBOM, sowie dokumentierte Sicherheitsupdates. Als Leitlinie betont der Text Cybersecurity über den gesamten Lebenszyklus: Risiken früh in der Konstruktion berücksichtigen, im Betrieb Zugriffe/Logs/Updates steuern und dokumentieren, Personal schulen – und im Vertrieb sicherstellen, dass CE-Unterlagen, Zukaufteile und Meldeprozesse passen; Produkte mit bekannten Schwachstellen dürfen nicht in Verkehr gebracht werden. Abschließend verweist der Beitrag auf Unterstützungsangebote von Wieland Electric (Webinarreihe, Aufzeichnungen, Seminare, Online-Expertenforum) zur Umsetzung, u. a. mit Bezug auf IEC 62443 und OT-Absicherung.

placeholder
MVO, CRA und NIS 2

Angriffspunkt Maschine: Warum Cybersecurity im Maschinenbau zur Kernaufgabe wird

Maschinen und Anlagen sind heute Teil eines hochvernetzten digitalen Ökosystems. Produktionsdaten fließen in Echtzeit, Fernzugriffe auf Steuerungen gehören zum Alltag, ganze Linien werden remote überwacht. Das steigert Effizienz und Flexibilität – erhöht aber zugleich die Angriffsfläche. Mit jeder Schnittstelle wachsen die Risiken für Cyberbedrohungen.

00:00



Sorry, no results.
Please try another keyword

Durch die weltweite Vernetzung digitaler Systeme lässt sich per Fernzugriff alles steuern. Oder auch ungewollt stoppen.
Durch die weltweite Vernetzung digitaler Systeme lässt sich per Fernzugriff alles steuern. Oder auch ungewollt stoppen.Bild: Wieland Electric GmbH

Die Digitalisierung im Maschinenbau ermöglicht höhere Automatisierung, Echtzeitdatenverarbeitung und effiziente Fernwartung über den gesamten Lebenszyklus. Gleichzeitig entstehen neue Schwachstellen durch vernetzte Systeme, Cloud-Anbindungen und mobile Schnittstellen. Cyberangriffe gefährden damit nicht nur Daten, sondern auch die funktionale Sicherheit von Maschinen. Die EU hat darauf mit verbindlichen Regelwerken reagiert:

  • Maschinenverordnung (EU) 2023/1230
  • Cyber Resilience Act (EU 2024/2847)
  • NIS-2-Richtlinie (EU 2022/2555)

Diese Vorgaben rücken Cybersecurity stärker in den Fokus der Maschinensicherheit und definieren klare Pflichten für Hersteller, Integratoren und Betreiber. Maschinenverordnung und CRA verankern digitale Schutzanforderungen in der Konformitätsbewertung und verlangen, Sicherheit frühzeitig in Entwicklung und Betrieb zu integrieren.

Zusammengedacht: funktionale Sicherheit und Cybersecurity
Zusammengedacht: funktionale Sicherheit und CybersecurityBild: Wieland Electric GmbH

NIS 2 stärkt das Sicherheitsmanagement

Mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit reagiert die EU auf die zunehmende Bedrohung kritischer Infrastrukturen. NIS 2 ersetzt die bisherige NIS 1 und erweitert sowohl den Anwendungsbereich als auch die Anforderungen an Unternehmen. Für den Maschinen- und Anlagenbau ist die Einordnung als ‚wichtiger Sektor‘ zentral. Betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.

Kern von NIS 2 ist der Aufbau eines strukturierten und nachweisbaren IT-Sicherheitsmanagements. Unternehmen müssen Risiken bewerten, Schutzmaßnahmen umsetzen sowie regelmäßig überprüfen und aktualisieren. Hinzu kommen harmonisierte Meldepflichten: Sicherheitsvorfälle sind innerhalb von 24 Stunden an die zuständigen Behörden zu melden, eine ausführlichere Nachmeldung folgt innerhalb von 72 Stunden.

Group of people at the business conference back view. Row of bu

Maschinenverordnung erweitert die CE-Bewertung

Die neue Maschinenverordnung löst die bisherige Maschinenrichtlinie ab und markiert einen Paradigmenwechsel. Neben klassischen Anforderungen an die funktionale Sicherheit berücksichtigt sie erstmals systematisch digitale Risiken aus Vernetzung und Automatisierung. Die Verordnung gilt ab dem 20. Januar 2027 verbindlich in allen EU-Mitgliedstaaten. Ziel ist es, den Stand der Technik in der Sicherheitsbewertung von Maschinen abzubilden – einschließlich digitaler Bedrohungen wie unerlaubten Fernzugriffen, manipulierter Software oder kompromittierten Schnittstellen. Die Anforderungen zur Cybersicherheit in Anhang III betreffen u.a.:

  • Sichere Konnektivität: Externe Verbindungen dürfen keine Gefährdung auslösen. Schnittstellen müssen abgesichert oder deaktiviert sein.
  • Schutz sicherheitskritischer Hardware: Relevante Komponenten sind gegen Manipulation und unbefugten Zugriff zu schützen.
  • Zugriffskontrolle: Sicherheitskritische Funktionen erfordern differenzierte Rechtevergaben.
  • Dokumentation: Digitale Funktionen und Schnittstellen sind vollständig zu dokumentieren.
  • Softwareintegrität: Sicherheitsrelevante Software muss identifizierbar, manipulationsgeschützt und nur autorisiert änderbar sein.
  • Robuste Steuerungsauslegung: Fehlfunktionen, Fremdeinflüsse und Autonomieeffekte müssen beherrscht werden.
  • Rückverfolgbarkeit: Sicherheitsrelevante Steuerungs- und Softwarefunktionen müssen kontrollierbar und nachvollziehbar bleiben.

Neu ist zudem die Zulässigkeit digitaler Betriebsanleitungen. Diese müssen dauerhaft online verfügbar sein und auf Wunsch in Papierform bereitgestellt werden. Für nicht professionelle Nutzer bleiben gedruckte Sicherheitsinformationen Pflicht.

CRA für Produkte mit digitalen Elementen

Mit dem Cyber Resilience Act schafft die EU erstmals einheitliche Vorschriften zur Cybersicherheit für Produkte mit digitalen Elementen. Ziel ist eine höhere Resilienz entlang der Lieferkette sowie mehr Transparenz und Marktsicherheit. Der CRA trat 2024 in Kraft und gilt ab dem 11. Dezember 2027 verbindlich. Betroffen sind alle Produkte, die vernetzbar sind, Software enthalten oder per Update aktualisiert werden können. Im Maschinenbau fallen darunter u.a. Steuerungen, HMIs, Sensorik, Softwaremodule, mobile Apps und cloudbasierte Dienste.

Seiten: 1 2

Thematik: Sichere Automation Ausgabe: SPS-MAGAZIN 5 (Mai) 2026
Wieland Electric GmbH
Zur Firmenwebsite

MEHR ZUM THEMA

das könnte sie auch interessieren