Eine Maschine mit programmierbarer Steuerung, einer HMI, einem eingebetteten Rechner oder einer Netzwerkschnittstelle kann sowohl unter die EU-Maschinenverordnung (Verordnung (EU) 2023/1230) als auch unter den EU Cyber Resilience Act (Verordnung (EU) 2024/2847) fallen. Der CRA gilt, wenn die Maschine ein Produkt mit digitalen Elementen ist und ihr bestimmungsgemäßer Zweck oder ihre vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz einschließt. Ein konkreter Erwägungsgrund des CRA benennt diese Überschneidung der zwei Regime und verweist auf zwei Abschnitte der Maschinenverordnung, die cybersicherheitsbedingte Sicherheit abdecken: die Abschnitte 1.1.9 und 1.2.1. Diese Seite behandelt, was der Erwägungsgrund sagt, wie sich CRA-Nachweise auf die Maschinenseite abbilden lassen und wo die beiden Konformitätsbewertungen getrennt bleiben.
Zusammenfassung
- Beide Regime können gleichzeitig gelten. Eine Maschine im Geltungsbereich der Maschinenverordnung braucht zusätzlich eine CRA-Behandlung, wenn sie ein Produkt mit digitalen Elementen mit direkter oder indirekter Datenverbindung zu einem Gerät oder Netz ist. Maschinen gehören nicht zu den CRA-Ausnahmen.
- Der CRA verankert die Überschneidung der zwei Regime. Hersteller im Geltungsbereich beider Verordnungen müssen beide einhalten; die maschinenseitige Cybersicherheitsüberschneidung konzentriert sich in den Maschinenverordnung-Abschnitten 1.1.9 und 1.2.1.
- Die Überschneidung liegt bei cybersicherheitsbedingten Sicherheitsausfällen. Ein Steuerungssystem, dessen Sicherheitslogik über das Netz manipuliert werden kann, ist im Sinne der Maschinenverordnung unsicher und im Sinne des CRA nicht abgesichert. Dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) bedienen beide Verordnungen.
- CRA-Nachweise können auf der Maschinenseite tragen, doch Sie müssen die Verbindung herstellen. Der CRA erlaubt diese Synergie und verweist auf harmonisierte Normen als Brücke. Die Last, die Verbindung darzulegen, liegt beim Hersteller, in den technischen Unterlagen.
- Jedes Regime behält seine eigene Konformitätsbewertung. Die Maschinenverordnung hat eigene Wege, mit Beteiligung einer notifizierten Stelle für Maschinenkategorien mit höherem Risiko; der CRA hat eigene Konformitätswege. Dieselbe notifizierte Stelle kann beide übernehmen, wenn sie über beide Benennungen verfügt.
Die Überschneidung in vier Zahlen: zwei Verordnungen, zwei Maschinenverordnung-Abschnitte, der CRA-Anker, der beide verbindet, und die Daten, ab denen das Doppelregime greift.
Wo sich die beiden Verordnungen überschneiden
Die Maschinenverordnung regelt die Sicherheit; der CRA regelt die Cybersicherheit. Die Maschinenverordnung regelt die Sicherheit von Maschinen, die auf dem EU-Markt in Verkehr gebracht werden. Der CRA regelt Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz einschließt. Eine moderne Maschine mit SPS, HMI, eingebetteter Steuerung oder Netzwerkschnittstelle erfüllt diese Tests häufig, doch die CRA-Geltungsbereichsprüfung bleibt erforderlich.
Die Überschneidung liegt bei cybersicherheitsbedingten Sicherheitsausfällen. Ein Steuerungssystem, dessen sicherheitsrelevante Logik über das Netz manipuliert werden kann, ist im Sinne der Maschinenverordnung unsicher und im Sinne des CRA nicht abgesichert. Dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) bedienen beide Verordnungen.
Der CRA verankert die Überschneidung in zwei Abschnitten der Maschinenverordnung:
Maschinenverordnung §1.1.9
Schutz gegen Korrumpierung von Steuerungssystemen. Cybermanipulationen an sicherheitsrelevanter Logik, etwa Code-Injektion in eine SPS, Signal-Spoofing einer Verriegelung oder unautorisierte Firmware-Schreibvorgänge, sind sowohl ein Sicherheitsversagen im Sinne der Maschinenverordnung als auch ein Cybersicherheitsversagen im Sinne des CRA. Dieselben technischen Maßnahmen (Integritätsschutz, signierte Updates, Eingabevalidierung) bedienen beide Verordnungen.
Maschinenverordnung §1.2.1
Sicherheit und Zuverlässigkeit von Steuerungssystemen, auch gegen vorsätzliche Manipulation. Steuerungslogik, die unter Angriff ihre Integrität verliert, etwa ein remote umgangener Not-Halt oder eine softwareseitig deaktivierte Schutztüren-Verriegelung, ist nach der Maschinenverordnung unsicher und nach dem CRA nicht abgesichert. Cybersicherheitstechnische Maßnahmen und Maßnahmen der funktionalen Sicherheit laufen auf dieselbe Härtung hinaus.
Beide Abschnitte tragen Cybersicherheitsgehalt, weil Korrumpierung und vorsätzliche Manipulation von Steuerungssystemen Cyberbedrohungen mit Sicherheitsfolgen sind.
- Schutz vor mechanischen Gefährdungen (Schutzzäune, Lichtvorhänge, Verriegelungen).
- Not-Halt-Kreise und sicherheitsbezogene Stopp-Funktionen.
- Ergonomie, Sicht und Reichweite des Bedienpersonals.
- Grenzwerte für Lärm, Vibration und Emissionen.
- Bedienanleitungen für sicheres Handling, Transport und Wartung.
- Mechanische Stabilität und strukturelle Integrität.
- Schutz von Steuerungssystemen gegen Korrumpierung.
- Sicherheit und Zuverlässigkeit von Steuerungssystemen gegen vorsätzliche Manipulation.
- Risikobewertung cybersicherheitsbedingter Sicherheitsausfälle.
- Technische Dokumentation eines sicheren Steuerungssystem-Designs.
- Schwachstellenbehandlung für sicherheitsrelevante Steuerungslogik.
- Software-Stückliste für Komponenten des Steuerungssystems.
- Aktive Schwachstellenbehandlung über den gesamten Unterstützungszeitraum.
- Meldung von Schwachstellen und schwerwiegenden Vorfällen an das koordinierende CSIRT und ENISA.
- Richtlinie zur koordinierten Offenlegung von Schwachstellen.
- Software-Stückliste auf begründetes Verlangen einer Marktüberwachungsbehörde bereitgestellt.
- Verpflichtung zu Sicherheitsupdates während des gesamten Unterstützungszeitraums.
- Kostenlose Sicherheitsupdates für den Unterstützungszeitraum.
Überschneidung von CRA und Maschinenverordnung. Beide Regime gelten gleichzeitig für eine Maschine mit digitalen Elementen. Der Cybersicherheitsgehalt der Maschinenseite konzentriert sich in den Maschinenverordnung-Abschnitten 1.1.9 und 1.2.1. CRA-Artefakte (Risikobewertung, technische Unterlagen, Schwachstellenbehandlungsprozess, Software-Stückliste) schlagen die Brücke in die Maschinen-Akte, sobald der Hersteller die Verbindung darlegt.
Was der CRA zur Überschneidung mit der Maschinenverordnung sagt
Der CRA verknüpft die beiden Regime über Erwägungsgrund 53. In klaren Worten sagt der Erwägungsgrund dem Hersteller einer Maschine mit digitalen Elementen vier Dinge:
| Was der Erwägungsgrund sagt | Was es in der Praxis bedeutet |
|---|---|
| Beide Regime können gelten, keine Maschinenausnahme | Eine Maschine im Geltungsbereich der Verordnung (EU) 2023/1230, die zugleich ein CRA-Produkt mit digitalen Elementen ist, muss die grundlegenden Cybersicherheitsanforderungen des CRA und die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Maschinenverordnung erfüllen. Maschinen gehören nicht zu den CRA-Ausnahmen. |
| Dieselben Cybersicherheitsrisiken können in beiden auftauchen | Beide Verordnungen behandeln ähnliche Cyberbedrohungen aus unterschiedlichen Blickwinkeln: die Maschinenverordnung über Sicherheit, der CRA über Cybersicherheit. Wo sie sich überschneiden, bedienen dieselben technischen Maßnahmen (Eingabevalidierung, Authentifizierung, Integritätsschutz der Sicherheitslogik) beide Seiten. |
| CRA-Arbeit kann auf der Maschinenseite tragen, aber nur dort, wo sich beide Regime überschneiden | Die CRA-Risikobewertung (Artikel 13(2)), die technischen Unterlagen (Anhang VII) und der Schwachstellenbehandlungsprozess (Anhang I Teil II) erzeugen Nachweise, die sich auf Maschinenverordnung §1.1.9 (Schutz gegen Korrumpierung) und §1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen) abbilden lassen. In jedem anderen Teil der Maschinenverordnung erledigen Sie die Maschinenarbeit weiterhin auf Maschinenart. |
| Der Hersteller stellt die Verbindung in den technischen Unterlagen her | Der Erwägungsgrund ist erlaubend, nicht automatisch. Um CRA-Nachweise als Maschinenverordnungs-Nachweise zu nutzen, ordnet der Hersteller CRA-getriebene Maßnahmen konkreten Maschinenverordnungs-Abschnitten zu und benennt harmonisierte Normen, die beide Regime abdecken. |
Der Erwägungsgrund schließt mit einer weiteren Anweisung, die der Artikel unten wiederholt: Jedes Regime behält sein eigenes Konformitätsbewertungsverfahren, und beide sind durchzulaufen.
Wie sich CRA-Nachweise auf die Maschinenverordnung abbilden
Eine pragmatische Zuordnung für die Überschneidung:
| Anforderung der Maschinenverordnung | Stützender CRA-Nachweis |
|---|---|
| Maschinenverordnung §1.1.9 (Schutz gegen Korrumpierung) | CRA-Risikobewertung (Artikel 13(2)), Anhang I Teil I sichere Standardkonfiguration, Authentifizierung und Zugriffskontrolle, Integritätsschutz von Daten |
| Maschinenverordnung §1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungssystemen) | CRA Anhang I Teil I Verfügbarkeit wesentlicher Funktionen, Minderung von Ausnutzung, Aufzeichnung sicherheitsrelevanter Ereignisse; Anhang I Teil II regelmäßige Sicherheitstests |
| Technische Unterlagen der Maschinenverordnung | CRA-technische Dokumentation nach Anhang VII (querverweisbar), CRA-Software-Stückliste, CRA-Schwachstellenbehandlungsrichtlinie |
Diese Zuordnung ist informativ, nicht normativ. Der Hersteller muss die Verbindung in den technischen Unterlagen für jede konkrete Maschine begründen; die Formulierung „solche Synergieeffekte müssen nachgewiesen werden" aus dem Erwägungsgrund legt diese Last beim Hersteller ab.
Konformitätsbewertungen bleiben getrennt
Jedes Regime behält sein eigenes Konformitätsbewertungsverfahren. Erwägungsgrund 53 hält fest, dass der Hersteller die anwendbaren Verfahren nach dem CRA und nach der Verordnung (EU) 2023/1230 befolgen soll. Die Maschinenverordnung hat eigene Wege, einschließlich Beteiligung einer notifizierten Stelle für Maschinenkategorien mit höherem Risiko; der CRA hat eigene Wege nach Artikel 32 und Anhang VIII.
Eine notifizierte Stelle kann beide übernehmen, aber nur, wenn sie über beide Benennungen verfügt. Dieselbe Maschine kann für beide Regime die Beteiligung einer notifizierten Stelle erfordern, gegebenenfalls derselben, sofern diese unter beiden Verordnungen benannt ist. Notifizierte Stellen werden je Verordnung benannt; eine Benennung nach der Maschinenverordnung erstreckt sich nicht auf den CRA.
Zur Wahl des CRA-Konformitätsbewertungswegs siehe CRA-Konformitätsbewertung. Zu den Anforderungen an die technische Dokumentation siehe CRA-technische Dokumentation.
Typische Stolperfallen
| Behauptung | Warum sie scheitert |
|---|---|
| „Eine CE-Kennzeichnung bedeutet, dass wir nur eine Konformitätsbewertung machen." | Die CE-Kennzeichnung sitzt einmal am Produkt, doch jedes anwendbare Regime braucht weiterhin eine eigene Konformitätsbewertung, eigene technische Unterlagen und eine eigene Erklärung. |
| „Unsere notifizierte Stelle für die Maschinenverordnung deckt den CRA automatisch ab." | Notifizierte Stellen werden je Verordnung benannt. Eine für die Maschinenverordnung gelistete Stelle wird nicht automatisch zur CRA-notifizierten Stelle; prüfen Sie die NANDO-Liste der Kommission für beide Verordnungen anhand der Kennnummer der Stelle. |
| „Keine Internetschnittstelle heißt: der CRA gilt nicht." | Eingebettete Software, Firmware oder eine programmierbare Steuerung können die Maschine zu einem Produkt mit digitalen Elementen machen; eine indirekte Datenverbindung über ein verbindbares System bringt die Maschine ebenfalls in den Geltungsbereich. |
| „Maschinenverordnung-Abschnitt 1.1.9 allein belegt die CRA-Cybersicherheit." | Abschnitt 1.1.9 behandelt den Schutz gegen Korrumpierung, also einen Ausschnitt der cybersicherheitsbedingten Sicherheit. Die grundlegenden CRA-Anforderungen sind breiter, und der Hersteller muss die Einhaltung des vollständigen CRA-Sets weiterhin nachweisen. |
| „Der Synergie-Erwägungsgrund erlaubt es uns, CRA-Nachweise auf der Maschinenseite automatisch wiederzuverwenden." | Der Erwägungsgrund ist erlaubend, nicht automatisch. Der Hersteller muss CRA-getriebene Maßnahmen konkreten Maschinenverordnungs-Abschnitten zuordnen und harmonisierte Normen benennen, die beide Regime in den technischen Unterlagen abdecken. |
Häufig gestellte Fragen
Ersetzt oder verdrängt der CRA die Maschinenverordnung?
Nein. Die Maschinenverordnung regelt weiterhin die Maschinensicherheit, und der CRA fügt Cybersicherheitspflichten hinzu, wenn die Maschine zugleich ein Produkt mit digitalen Elementen ist. Ein Hersteller im Geltungsbereich beider Verordnungen muss die grundlegenden Cybersicherheitsanforderungen des CRA und die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Maschinenverordnung erfüllen. Der CRA verankert die Überschneidung beim Schutz gegen Korrumpierung sowie bei Sicherheit und Zuverlässigkeit von Steuerungssystemen (Erwägungsgrund 53).
Kann eine einzige CE-Kennzeichnung beide Regime abdecken?
Eine CE-Kennzeichnung kann am Produkt stehen, doch die zugrunde liegende Konformitätsarbeit bleibt getrennt. Die CE-Kennzeichnung zeigt an, dass das Produkt die anwendbaren Harmonisierungsrechtsvorschriften der Union erfüllt. Bei einer Maschine mit digitalen Elementen bedeutet das: Konformitätsbewertung nach der Maschinenverordnung zuzüglich CRA-Konformitätsbewertung. Die Kennzeichnung ist eine, doch jedes anwendbare Regime braucht eigene Konformitätsnachweise und eine eigene Erklärung (Artikel 32).
Ab wann gelten die beiden Verordnungen?
Die Maschinenverordnung (Verordnung (EU) 2023/1230) gilt vollständig ab dem 20. Januar 2027 und ersetzt die Maschinenrichtlinie 2006/42/EG für Produkte, die ab diesem Datum in Verkehr gebracht werden. Der CRA (Verordnung (EU) 2024/2847) gilt vollständig ab dem 11. Dezember 2027 für Produkte, die ab diesem Datum in Verkehr gebracht werden (Artikel 71(2)). Produkte mit digitalen Elementen, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den CRA-Anforderungen nur, wenn sie ab diesem Datum wesentlich verändert werden; die Meldepflichten nach Artikel 14 gelten jedoch ab dem 11. September 2026 für alle erfassten Produkte (Artikel 69(2); Artikel 69(3)).
Deckt meine notifizierte Stelle für die Maschinenverordnung auch den CRA ab?
Nur, wenn die Stelle über beide Benennungen verfügt. Notifizierte Stellen werden je Verordnung benannt, daher wird eine für ein Maschinenverordnungs-Modul gelistete Stelle nicht automatisch zur CRA-notifizierten Stelle. Prüfen Sie die offizielle NANDO-Liste der Europäischen Kommission für beide Verordnungen anhand der Kennnummer der Stelle; liegen beide Benennungen vor, kann eine Stelle beide Bewertungen durchführen (Artikel 43).
Was, wenn meine Maschine keine Netzwerkschnittstelle hat? Gilt der CRA trotzdem?
Vielleicht. Eine fehlende Internetschnittstelle nimmt eine Maschine nicht automatisch aus dem CRA heraus, doch der Geltungsbereichstest verlangt weiterhin eine Datenverbindung. Eine Maschine fällt nur dann in den CRA-Geltungsbereich, wenn ihr bestimmungsgemäßer Zweck oder ihre vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz einschließt. Eingebettete Software, Firmware oder eine programmierbare Steuerung können die Maschine zu einem Produkt mit digitalen Elementen machen, doch eine Maschine ohne solche Datenverbindung braucht eine sorgfältige Geltungsbereichsanalyse statt eines automatischen Ja (Artikel 2(1)).