Übersicht mit KI

Der Beitrag zeigt, warum Cybersecurity im Maschinen- und Anlagenbau durch zunehmende Vernetzung (Echtzeitdaten, Fernzugriffe, Cloud, mobile Schnittstellen) zum Pflichtprogramm wird: Die Angriffsfläche wächst und Cyberangriffe können neben Daten auch die funktionale Sicherheit von Maschinen gefährden. Im Fokus stehen drei EU-Regelwerke und ihre Folgen für die Praxis: – NIS‑2 verlangt von betroffenen Unternehmen (u. a. ab 50 Mitarbeitenden oder >10 Mio. € Umsatz/Bilanzsumme) ein strukturiertes, nachweisbares IT‑Sicherheitsmanagement mit Risikobewertung, Maßnahmen, regelmäßigen Reviews sowie Meldepflichten (24‑h Erstmeldung, 72‑h Nachmeldung). – Neue Maschinenverordnung (EU 2023/22) gilt ab 20.01.2027 und erweitert die CE-/Konformitätsbewertung um digitale Risiken (z. B. unerlaubter Fernzugriff, manipulierte Software). Genannt werden Anforderungen wie abgesicherte Schnittstellen/Konnektivität, Manipulationsschutz, Zugriffskontrollen, Dokumentation, Softwareintegrität und Rückverfolgbarkeit; digitale Betriebsanleitungen werden unter Bedingungen zulässig. – Cyber Resilience Act (EU 2024/87) gilt ab 11.12.2027 für Produkte mit digitalen Elementen (z. B. Steuerungen, HMIs, Sensorik, Software, Apps, Cloud-Dienste) und fordert u. a. Secure by Design/Default, Schwachstellenmanagement, SBOM, sowie dokumentierte Sicherheitsupdates. Als Leitlinie betont der Text Cybersecurity über den gesamten Lebenszyklus: Risiken früh in der Konstruktion berücksichtigen, im Betrieb Zugriffe/Logs/Updates steuern und dokumentieren, Personal schulen – und im Vertrieb sicherstellen, dass CE-Unterlagen, Zukaufteile und Meldeprozesse passen; Produkte mit bekannten Schwachstellen dürfen nicht in Verkehr gebracht werden. Abschließend verweist der Beitrag auf Unterstützungsangebote von Wieland Electric (Webinarreihe, Aufzeichnungen, Seminare, Online-Expertenforum) zur Umsetzung, u. a. mit Bezug auf IEC 62443 und OT-Absicherung.

placeholder
MVO, CRA und NIS 2

Cybersecurity wird Pflichtprogramm

Maschinen und Anlagen sind heute Teil eines hochvernetzten digitalen Ökosystems. Produktionsdaten fließen in Echtzeit, Fernzugriffe auf Steuerungen gehören zum Alltag, ganze Linien werden remote überwacht. Das steigert Effizienz und Flexibilität – erhöht aber zugleich die Angriffsfläche. Mit jeder Schnittstelle wachsen die Risiken für Cyberbedrohungen.

00:00



Sorry, no results.
Please try another keyword

Durch die weltweite Vernetzung digitaler Systeme lässt sich per Fernzugriff alles steuern. Oder auch ungewollt stoppen.
Durch die weltweite Vernetzung digitaler Systeme lässt sich per Fernzugriff alles steuern. Oder auch ungewollt stoppen. – Bild: Wieland Electric GmbH

Die Digitalisierung im Maschinenbau ermöglicht höhere Automatisierung, Echtzeitdatenverarbeitung und effiziente Fernwartung über den gesamten Lebenszyklus. Gleichzeitig entstehen neue Schwachstellen durch vernetzte Systeme, Cloud-Anbindungen und mobile Schnittstellen. Cyberangriffe gefährden damit nicht nur Daten, sondern auch die funktionale Sicherheit von Maschinen. Die EU hat darauf mit verbindlichen Regelwerken reagiert:

  • Maschinenverordnung (EU) 2023/1230
  • Cyber Resilience Act (EU 2024/2847)
  • NIS-2-Richtlinie (EU 2022/2555)

Diese Vorgaben rücken Cybersecurity stärker in den Fokus der Maschinensicherheit und definieren klare Pflichten für Hersteller, Integratoren und Betreiber. Maschinenverordnung und CRA verankern digitale Schutzanforderungen in der Konformitätsbewertung und verlangen, Sicherheit frühzeitig in Entwicklung und Betrieb zu integrieren.

NIS 2 stärkt das Sicherheitsmanagement

Mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit reagiert die EU auf die zunehmende Bedrohung kritischer Infrastrukturen. NIS 2 ersetzt die bisherige NIS 1 und erweitert sowohl den Anwendungsbereich als auch die Anforderungen an Unternehmen. Für den Maschinen- und Anlagenbau ist die Einordnung als ‚wichtiger Sektor‘ zentral. Betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.

Kern von NIS 2 ist der Aufbau eines strukturierten und nachweisbaren IT-Sicherheitsmanagements. Unternehmen müssen Risiken bewerten, Schutzmaßnahmen umsetzen sowie regelmäßig überprüfen und aktualisieren. Hinzu kommen harmonisierte Meldepflichten: Sicherheitsvorfälle sind innerhalb von 24 Stunden an die zuständigen Behörden zu melden, eine ausführlichere Nachmeldung folgt innerhalb von 72 Stunden.

Maschinenverordnung erweitert die CE-Bewertung

Die neue Maschinenverordnung löst die bisherige Maschinenrichtlinie ab und markiert einen Paradigmenwechsel. Neben klassischen Anforderungen an die funktionale Sicherheit berücksichtigt sie erstmals systematisch digitale Risiken aus Vernetzung und Automatisierung. Die Verordnung gilt ab dem 20. Januar 2027 verbindlich in allen EU-Mitgliedstaaten. Ziel ist es, den Stand der Technik in der Sicherheitsbewertung von Maschinen abzubilden – einschließlich digitaler Bedrohungen wie unerlaubten Fernzugriffen, manipulierter Software oder kompromittierten Schnittstellen. Die Anforderungen zur Cybersicherheit in Anhang III betreffen u.a.:

Anzeige

Mehr Speed mit IO-Link: 5 Praxistipps für Ingenieure
Wie Anwender das volle Potenzial smarter Sensoren ausschöpfen

IO-Link hat deutlich mehr zu bieten als die bekannten Vorzüge. Dieser Fachartikel zeigt mit Beispielen aus der Praxis, wie Anwender sämtliche Vorteile der digitalen Schnittstelle nutzen. Das funktioniert ohne grossen Trainingsaufwand: Selbst Einsteiger ohne Vorkenntnisse können dank kostenfreiem Baumer How-to-Tutorial IO-Link Geräte schon nach 80 Minuten in die SPS integrieren. ‣ weiterlesen

  • Sichere Konnektivität: Externe Verbindungen dürfen keine Gefährdung auslösen. Schnittstellen müssen abgesichert oder deaktiviert sein.
  • Schutz sicherheitskritischer Hardware: Relevante Komponenten sind gegen Manipulation und unbefugten Zugriff zu schützen.
  • Zugriffskontrolle: Sicherheitskritische Funktionen erfordern differenzierte Rechtevergaben.
  • Dokumentation: Digitale Funktionen und Schnittstellen sind vollständig zu dokumentieren.
  • Softwareintegrität: Sicherheitsrelevante Software muss identifizierbar, manipulationsgeschützt und nur autorisiert änderbar sein.
  • Robuste Steuerungsauslegung: Fehlfunktionen, Fremdeinflüsse und Autonomieeffekte müssen beherrscht werden.
  • Rückverfolgbarkeit: Sicherheitsrelevante Steuerungs- und Softwarefunktionen müssen kontrollierbar und nachvollziehbar bleiben.

Neu ist zudem die Zulässigkeit digitaler Betriebsanleitungen. Diese müssen dauerhaft online verfügbar sein und auf Wunsch in Papierform bereitgestellt werden. Für nicht professionelle Nutzer bleiben gedruckte Sicherheitsinformationen Pflicht.

CRA für Produkte mit digitalen Elementen

Mit dem Cyber Resilience Act schafft die EU erstmals einheitliche Vorschriften zur Cybersicherheit für Produkte mit digitalen Elementen. Ziel ist eine höhere Resilienz entlang der Lieferkette sowie mehr Transparenz und Marktsicherheit. Der CRA trat 2024 in Kraft und gilt ab dem 11. Dezember 2027 verbindlich. Betroffen sind alle Produkte, die vernetzbar sind, Software enthalten oder per Update aktualisiert werden können. Im Maschinenbau fallen darunter u.a. Steuerungen, HMIs, Sensorik, Softwaremodule, mobile Apps und cloudbasierte Dienste.

Zusammengedacht: funktionale Sicherheit und Cybersecurity
Zusammengedacht: funktionale Sicherheit und CybersecurityBild: Wieland Electric GmbH

Zu den zentralen Anforderungen zählen:

  • Risikomanagement: Schwachstellen frühzeitig analysieren, Maßnahmen definieren und regelmäßig aktualisieren.
  • Secure by Design: Sicherheitsfunktionen wie Authentifizierung, Zugriffsschutz und sichere Updates bereits in der Entwicklung vorsehen.
  • Secure by Default: Sichere Werkseinstellungen ohne zusätzlichen Nutzeraufwand, keine Standardpasswörter, keine offenen Ports.
  • Schwachstellenmanagement: Prozesse zur Identifikation, Bewertung und Behebung von Schwachstellen etablieren.
  • Softwarestücklisten (SBOM): Eingesetzte Softwarekomponenten inklusive Versionsständen vollständig dokumentieren.
  • Sicherheitsupdates: Korrekturen für bekannte Schwachstellen bereitstellen und nachvollziehbar dokumentieren.

Cybersecurity über den gesamten Lebenszyklus

Cybersicherheit muss heute über den gesamten Lebenszyklus einer Maschine gedacht werden. Bereits in der Konstruktion sind digitale Risiken in die Risikobeurteilung einzubeziehen und nach dem Prinzip Secure by Design umzusetzen – etwa durch abgesicherte Kommunikation, klare Rollen- und Rechtekonzepte, deaktivierte Schnittstellen und eine vollständige Softwarestückliste.

Im Betrieb gilt es, physische und digitale Zugriffspunkte zu kontrollieren, sicherheitsrelevante Ereignisse zu protokollieren sowie ein strukturiertes Schwachstellen- und Update-Management mit nachvollziehbarer Dokumentation zu etablieren. Regelmäßige Schulungen des Personals gehören dazu.

Auch im Vertrieb wächst die Verantwortung. Digitale Sicherheit wird Teil der CE-Kennzeichnung. Gefordert sind vollständige Unterlagen zu Schnittstellen, Software, Risikobewertung und SBOM, die Einbindung konformer Zukaufteile sowie die Einhaltung von Meldepflichten bei Sicherheitsvorfällen. Produkte mit bekannten Schwachstellen dürfen nicht in Verkehr gebracht werden. Zudem sollte früh geklärt werden, welches Sicherheitsniveau der Kunde erwartet, damit die Maschine ab Werk passend ausgelegt ist.

Unterstützung bei der Umsetzung

Wieland Electric unterstützt Maschinenhersteller, Entwickler und Betreiber mit Schulungen, Tools und Sicherheitslösungen, die auf aktuelle regulatorische Anforderungen abgestimmt sind. Dazu zählt eine kostenfreie Webinarreihe zur industriellen Cybersicherheit im Maschinenbau. Die Aufzeichnungen sind online abrufbar und richten sich an CE-Verantwortliche, Entwickler, Betreiber und Sicherheitsbeauftragte. Thematisch reicht das Spektrum von Risikobewertung über Normen wie IEC62443 bis hin zur Absicherung von OT-Infrastrukturen. Ergänzend werden mehrtägige Präsenzseminare zur funktionalen Sicherheit angeboten. Zudem findet am 11. Juni ein kostenfreies Online-Expertenforum zu Cybersecurity und funktionaler Maschinensicherheit statt.

Zur Webinarreihe von Wieland Electric: Cybersecurity für vernetzte Maschinen und Alagen

Sichere Automation SPS-MAGAZIN 5 (Mai) 2026
Wieland Electric GmbH
Zur Firmenwebsite

MEHR ZUM THEMA

das könnte sie auch interessieren