CRA und EU-Maschinenverordnung 2023/1230: Überschneidung

Eine Maschine mit programmierbarer Steuerung, einer HMI, einem eingebetteten Rechner oder einer Netzwerkschnittstelle fällt sowohl unter die EU-Maschinenverordnung (Verordnung (EU) 2023/1230) als auch unter den EU Cyber Resilience Act (Verordnung (EU) 2024/2847). Erwägungsgrund 53 des CRA benennt die Überschneidung und verweist auf zwei Abschnitte des Anhangs III der Maschinenverordnung, 1.1.9 und 1.2.1, in denen sich der Cybersicherheitsgehalt konzentriert. Diese Seite behandelt, was Erwägungsgrund 53 sagt, wie sich CRA-Nachweise auf die Maschinenseite abbilden lassen und wo die beiden Konformitätsbewertungen getrennt bleiben.

Zusammenfassung

  • Beide Regime gelten gleichzeitig. Eine Maschine mit programmierbarer Steuerung, einer HMI oder einer Netzwerkschnittstelle wird durch die Maschinenverordnung in puncto Sicherheit und durch den CRA in puncto Cybersicherheit reguliert. Es gibt keine Ausnahme: Artikel 2 des CRA nimmt Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt und Schiffsausrüstung aus, Maschinen stehen nicht auf dieser Liste.
  • Erwägungsgrund 53 ist der Anker des Doppelregimes. Er verpflichtet Hersteller im Geltungsbereich beider Verordnungen, beide einzuhalten, und benennt Anhang III Abschnitte 1.1.9 und 1.2.1 der Maschinenverordnung als Stelle, an der sich der Cybersicherheitsgehalt der Maschinenseite konzentriert.
  • Die Überschneidung liegt bei cybersicherheitsbedingten Sicherheitsausfällen. Ein Steuerungssystem, dessen Sicherheitslogik über das Netz manipuliert werden kann, ist im Sinne der Maschinenverordnung unsicher und im Sinne des CRA nicht abgesichert. Dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) bedienen beide Verordnungen.
  • CRA-Nachweise können auf der Maschinenseite tragen, doch Sie müssen die Verbindung herstellen. Erwägungsgrund 53 erlaubt die Synergie und verweist auf harmonisierte Normen als Brücke. Die Last, die Verbindung darzulegen, liegt beim Hersteller, in den technischen Unterlagen.
  • Jedes Regime behält seine eigene Konformitätsbewertung. Die Maschinenverordnung hat eigene Wege (mit Beteiligung einer notifizierten Stelle für Maschinen mit höherem Risiko nach ihrem Anhang I); der CRA verläuft über Artikel 32 mit den Modulen aus Anhang VIII. Dieselbe notifizierte Stelle kann beide übernehmen, sofern sie für beide Regime benannt ist.
2
Regime gleichzeitig
CRA + Maschinenverordnung
§1.1.9 + §1.2.1
Abschnitte aus Anhang III
Wo die Cyber-Überschneidung sitzt
Erwägungsgrund 53
Anker des Doppelregimes
Verordnung (EU) 2024/2847
11. Dez. 2027
CRA gilt vollständig
Maschinenverordnung gilt 20. Jan. 2027

Die Überschneidung in vier Zahlen: zwei Verordnungen, zwei Abschnitte aus Anhang III, der Erwägungsgrund, der sie verbindet, und die Daten, ab denen das Doppelregime greift.

Wo sich die beiden Verordnungen überschneiden

Die Maschinenverordnung regelt die Sicherheit von Maschinen, die auf dem EU-Markt in Verkehr gebracht werden. Der CRA regelt die Cybersicherheit von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Eine moderne Maschine mit SPS, HMI, eingebetteter Steuerung oder Netzwerkschnittstelle erfüllt beide Definitionen und löst beide Regime aus.

Sie überschneiden sich bei Anforderungen, die cybersicherheitsbedingte Sicherheitsausfälle adressieren. Ein Steuerungssystem, dessen sicherheitsrelevante Logik über das Netz manipuliert werden kann, ist im Sinne der Maschinenverordnung unsicher und im Sinne des CRA nicht abgesichert. Dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) bedienen beide Verordnungen.

Der CRA verankert diese Überschneidung an zwei Stellen:

  • Anhang III §1.1.9 der Verordnung (EU) 2023/1230 behandelt den Schutz vor Beschädigung von Steuerungssystemen.
  • Anhang III §1.2.1 der Verordnung (EU) 2023/1230 behandelt die Sicherheit und Zuverlässigkeit von Steuerungssystemen, auch gegen vorsätzliche Manipulation.

Beide Abschnitte tragen Cybersicherheitsgehalt, weil Beschädigung und vorsätzliche Manipulation von Steuerungssystemen Cyberbedrohungen mit Sicherheitsfolgen sind.

Überschneidung von CRA und Maschinenverordnung: drei Spalten mit reinen Maschinen-Inhalten, der Überschneidungszone Anhang III §1.1.9 + §1.2.1 mit überbrückenden CRA-Nachweisen und reinen CRA-Inhalten
Überschneidung von CRA und Maschinenverordnung. Beide Regime gelten gleichzeitig für eine Maschine mit digitalen Elementen. Der Cybersicherheitsgehalt der Maschinenseite konzentriert sich in Anhang III Abschnitten 1.1.9 (Schutz vor Beschädigung) und 1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen). Vier CRA-Artefakte schlagen die Brücke zur Maschinen-Akte, sobald der Hersteller die Verbindung darlegt: die Risikobewertung nach Artikel 13(2), die technischen Unterlagen nach Anhang VII, der Schwachstellenbehandlungsprozess nach Anhang I Teil II und die SBOM.

Was Erwägungsgrund 53 des CRA in klaren Worten sagt

Erwägungsgrund 53 ist die Stelle im CRA, die beide Regime verknüpft. In klaren Worten sagt er dem Hersteller einer Maschine mit digitalen Elementen vier Dinge:

Was der Erwägungsgrund sagt Was es in der Praxis bedeutet
Beide Regime gelten, keine Ausnahme Eine Maschine im Geltungsbereich der Verordnung (EU) 2023/1230, die zugleich Produkt mit digitalen Elementen ist, muss die grundlegenden Cybersicherheitsanforderungen des CRA und die grundlegenden Gesundheits- und Sicherheitsanforderungen der Maschinenverordnung erfüllen. Artikel 2 des CRA nimmt Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt und Schiffsausrüstung aus; Maschinen stehen nicht auf der Liste.
Dieselben Cyberrisiken können in beiden auftauchen Beide Verordnungen behandeln ähnliche Cyberbedrohungen aus unterschiedlichen Blickwinkeln: die Maschinenverordnung über Sicherheit, der CRA über Cybersicherheit. Wo sie sich überschneiden, bedienen dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) beide.
CRA-Arbeit kann auf der Maschinenseite tragen, aber nur dort, wo sie sich überschneiden Die CRA-Risikobewertung (Artikel 13(2)), die technische Dokumentation (Anhang VII) und der Schwachstellenbehandlungsprozess (Anhang I Teil II) erzeugen Nachweise, die sich auf Anhang III §1.1.9 (Schutz vor Beschädigung) und §1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen) abbilden lassen. In jedem anderen Teil der Maschinenverordnung erledigen Sie die Maschinenarbeit weiterhin auf Maschinenart.
Der Hersteller stellt die Verbindung in den technischen Unterlagen her Erwägungsgrund 53 ist erlaubend, nicht automatisch. Um CRA-Nachweise als Maschinenverordnungsnachweise zu nutzen, bildet der Hersteller CRA-getriebene Maßnahmen auf konkrete Abschnitte des Anhangs III ab und benennt harmonisierte Normen, die beide Regime abdecken.

Der Erwägungsgrund schließt mit einer weiteren Anweisung, die der Artikel unten wiederholt: Jedes Regime behält sein eigenes Konformitätsbewertungsverfahren, und beide sind durchzulaufen.

Wie sich CRA-Nachweise auf die Maschinenverordnung abbilden

Eine pragmatische Zuordnung für die Überschneidung:

Anforderung der Maschinenverordnung Stützender CRA-Nachweis
Anhang III §1.1.9 (Schutz vor Beschädigung) CRA-Risikobewertung (Artikel 13(2)), Anhang I Teil I (b) sichere Standardkonfiguration, (d) Authentifizierung und Zugriffskontrolle, (f) Integritätsschutz von Daten
Anhang III §1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen) CRA Anhang I Teil I (h) Verfügbarkeit wesentlicher Funktionen, (k) Minderung von Ausnutzung, (l) Aufzeichnung sicherheitsrelevanter Ereignisse; Anhang I Teil II (3) regelmäßige Sicherheitstests
Technische Unterlagen der Maschinenverordnung CRA-technische Dokumentation nach Anhang VII (querverweisbar), CRA-SBOM, CRA-Schwachstellenbehandlungsrichtlinie

Diese Zuordnung ist informativ, nicht normativ. Der Hersteller muss die Verbindung in den technischen Unterlagen für jede konkrete Maschine begründen, und die Formulierung "solche Synergien sind darzulegen" aus Erwägungsgrund 53 legt diese Last beim Hersteller ab.

Konformitätsbewertungen bleiben getrennt

Erwägungsgrund 53 schließt mit einer klaren Anweisung: Der Hersteller folgt zudem den anwendbaren Konformitätsbewertungsverfahren dieser Verordnung und der Verordnung (EU) 2023/1230. Die Maschinenverordnung hat eigene Konformitätsbewertungswege (einschließlich Beteiligung einer notifizierten Stelle für Maschinen mit höherem Risiko nach ihrem Anhang I); der CRA hat eigene (Artikel 32 und Module aus Anhang VIII). Dieselbe Maschine kann für beide Regime die Beteiligung einer notifizierten Stelle erfordern, gegebenenfalls derselben, sofern diese für beide benannt ist.

Zur Wahl des CRA-Konformitätsbewertungswegs siehe CRA-Konformitätsbewertung. Zu den Anforderungen an die technische Dokumentation siehe CRA-technische Dokumentation.

Häufig gestellte Fragen

Ersetzt oder verdrängt der CRA die Maschinenverordnung?

Nein. Beide Verordnungen gelten gleichzeitig. Erwägungsgrund 53 des CRA formuliert die Doppelpflicht klar: Ein Hersteller von Produkten im Geltungsbereich der Verordnung (EU) 2023/1230, die zugleich Produkte mit digitalen Elementen sind, muss die grundlegenden Cybersicherheitsanforderungen des CRA und die grundlegenden Gesundheits- und Sicherheitsanforderungen der Maschinenverordnung erfüllen. Die Maschinenverordnung regelt weiterhin die Sicherheit; der CRA fügt die Cybersicherheitsschicht hinzu und verankert die Überschneidung in Anhang III Abschnitten 1.1.9 und 1.2.1.

Kann eine einzige CE-Kennzeichnung beide Regime abdecken?

Eine CE-Kennzeichnung am Produkt, aber zwei zugrunde liegende Konformitätsbewertungen. Die CE-Kennzeichnung ist die Erklärung des Herstellers, dass das Produkt jede anwendbare Harmonisierungsverordnung der Union erfüllt. Bei einer Maschine mit digitalen Elementen heißt das: Konformitätsbewertung der Maschinenverordnung nach deren Anhang IV (oder dem jeweils einschlägigen Weg) und CRA-Konformitätsbewertung nach Artikel 32 mit den Modulen aus Anhang VIII. Beide EU-Konformitätserklärungen müssen vorliegen; die CE-Kennzeichnung ist eine, die dahinterliegenden Unterlagen sind zwei.

Ab wann gelten die beiden Verordnungen?

Die Maschinenverordnung (Verordnung (EU) 2023/1230) gilt vollständig ab dem 20. Januar 2027 und ersetzt die Maschinenrichtlinie 2006/42/EG für Produkte, die ab diesem Datum in Verkehr gebracht werden. Der CRA (Verordnung (EU) 2024/2847) gilt vollständig ab dem 11. Dezember 2027; die Meldepflichten der Hersteller nach Artikel 14 beginnen früher, am 11. September 2026. Eine Maschine, die zwischen dem 20. Januar und dem 11. Dezember 2027 auf dem EU-Markt in Verkehr gebracht wird, fällt bereits unter die neue Maschinenverordnung; ab dem 11. Dezember 2027 zusätzlich unter den CRA.

Deckt meine notifizierte Stelle für die Maschinenverordnung auch den CRA ab?

Nur, wenn die Stelle zusätzlich zu ihrer Maschinen-Benennung eine CRA-Benennung hält. Notifizierte Stellen werden je Verordnung benannt. Eine für Modul B/C2/H nach der Maschinenverordnung gelistete Stelle erscheint nicht automatisch in der Liste der notifizierten Stellen nach Artikel 43 des CRA. Prüfen Sie die EU-NANDO-Datenbank für beide Verordnungen anhand der Kennnummer der Stelle; liegen beide Benennungen vor, kann eine Stelle beide Bewertungen durchführen, was operativ einfacher ist als eine Aufteilung.

Was, wenn meine Maschine keine Netzwerkschnittstelle hat? Gilt der CRA trotzdem?

Wahrscheinlich ja. Artikel 3 Nummer 1 des CRA definiert ein Produkt mit digitalen Elementen als ein Software- oder Hardwareprodukt einschließlich seiner Lösungen zur Datenfernverarbeitung. Auslöser ist die digitale Funktionalität, nicht die Konnektivität. Eine Maschine mit eingebetteter Software, Firmware oder programmierbarer Steuerung fällt auch ohne Netzwerkschnittstelle in den Anwendungsbereich, da die eingebettete Software selbst das digitale Element ist. Der enge Fall, in dem der CRA nicht gilt, ist rein mechanische Maschine ohne Software, ohne Firmware und ohne programmierbare Logik, was bei Produkten im Geltungsbereich der neuen Maschinenverordnung zunehmend selten ist.

Wo Sie ansetzen

  1. Führen Sie die Anwendbarkeitsprüfung auf beiden Seiten durch. Zur CRA-Geltungsbereichsprüfung siehe Wer muss den CRA einhalten. Für einen tiefer gehenden, maschinenspezifischen Leitfaden zu Konformitätswegen, Anwendungszeitpunkten und Produktbeispielen siehe den CRA-Evidence-Leitfaden für Maschinenhersteller.
  2. Führen Sie eine CRA-Risikobewertung nach Artikel 13(2) durch, die ausdrücklich die Risiken nach Anhang III §1.1.9 (Schutz vor Beschädigung) und §1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen gegen vorsätzliche Manipulation) abdeckt, sodass dieselbe Bewertung beide Regime tragen kann.
  3. Bauen Sie technische Unterlagen auf, die CRA-Nachweise (technische Dokumentation nach Anhang VII, SBOM, Schwachstellenbehandlungsrichtlinie) in die technischen Unterlagen der Maschinenverordnung querverweisen. Siehe CRA-technische Dokumentation und CRA-SBOM-Anforderungen.
  4. Richten Sie einen Schwachstellenbehandlungsprozess nach Anhang I Teil II ein, der über den gesamten Unterstützungszeitraum läuft und die sicherheitsrelevante Steuerungslogik abdeckt, nicht nur die klassische IT-Angriffsfläche.
  5. Wählen Sie den CRA-Konformitätsbewertungsweg nach Artikel 32. Zur Modulentscheidung siehe CRA-Konformitätsbewertung. Die Konformitätsbewertung der Maschinenverordnung läuft parallel; benötigen beide Regime die Beteiligung einer notifizierten Stelle, prüfen Sie, ob eine Stelle beides übernehmen kann.