En maskin med en programmerbar styrenhet, ett HMI, en inbyggd dator eller ett nätverksgränssnitt kan omfattas av både EU:s maskinförordning (Förordning (EU) 2023/1230) och EU:s cyberresiliensförordning (Förordning (EU) 2024/2847). CRA gäller när maskinen är en produkt med digitala element och dess avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk. Ett specifikt skäl i CRA namnger den här dubbelregimsöverlappningen och pekar på två avsnitt i maskinförordningen som täcker cybersäkerhetsdriven säkerhet, avsnitt 1.1.9 och 1.2.1. Den här sidan täcker vad skälet säger, hur CRA-bevis mappar mot maskinsidan och var de två bedömningarna av överensstämmelse förblir åtskilda.
Sammanfattning
- Båda regimerna kan gälla samtidigt. En maskin inom maskinförordningens tillämpningsområde behöver också CRA-hantering när den är en produkt med digitala element med direkt eller indirekt dataanslutning till en enhet eller ett nätverk. Maskiner omfattas inte av CRA-undantagen.
- CRA förankrar överlappet mellan de två regimerna. Tillverkare som omfattas av båda förordningarna måste uppfylla båda, och cybersäkerhetsöverlappningen på maskinsidan koncentreras i avsnitt 1.1.9 och 1.2.1 i maskinförordningen.
- Överlappet ligger på cybersäkerhetsdrivna säkerhetsfel. Ett styrsystem vars säkerhetslogik kan manipuleras över nätverket är osäkert i maskinförordningens mening och osäkert i CRA-mening. Samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) talar till båda förordningarna.
- CRA-bevis kan väga på maskinsidan, men du måste koppla dem. CRA tillåter synergin och pekar på harmoniserade standarder som bron. Bördan att visa kopplingen ligger hos tillverkaren, i den tekniska dokumentationen.
- Varje regim behåller sin egen bedömning av överensstämmelse. Maskinförordningen kör sina egna rutter, med medverkan av anmält organ för maskinkategorier med högre risk; CRA kör sina egna överensstämmelserutter. Samma anmälda organ kan göra båda om det innehar båda utseendena.
Överlappningen i fyra siffror: två förordningar, två avsnitt i maskinförordningen, CRA-förankringen som binder dem samman och datumen som sätter dubbelregimen i kraft.
Var de två förordningarna överlappar
Maskinförordningen reglerar säkerheten; CRA reglerar cybersäkerheten. Maskinförordningen styr säkerheten hos maskiner som släpps på EU-marknaden. CRA styr produkter med digitala element vars avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk. En modern maskin som innehåller en PLC, ett HMI, en inbyggd styrenhet eller ett nätverksgränssnitt uppfyller ofta båda testen, men CRA-scopekontrollen måste fortfarande göras.
Överlappet ligger på cybersäkerhetsdrivna säkerhetsfel. Ett styrsystem vars säkerhetsrelevanta logik kan manipuleras över nätverket är osäkert i maskinförordningens mening och osäkert i CRA-mening. Samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) talar till båda förordningarna.
CRA fäster överlappet på två avsnitt i maskinförordningen:
Maskinförordningen §1.1.9
Skydd mot manipulation av styrsystem. Cyberangrepp mot säkerhetsrelevant logik, som kodinjektion i en PLC, signalspoofing av ett interlock eller obehörig firmware-skrivning, är ett säkerhetsfel enligt maskinförordningen och samtidigt ett cybersäkerhetsfel enligt CRA. Samma tekniska kontroller (integritetsskydd, signerade uppdateringar, indatavalidering) talar till båda förordningarna.
Maskinförordningen §1.2.1
Säkerhet och tillförlitlighet hos styrsystem, även mot avsiktlig manipulering. Styrlogik som tappar integritet under angrepp, som ett nödstopp som kringgås på distans eller ett skyddsinterlock som inaktiveras i programvara, är osäker enligt maskinförordningen och osäker enligt CRA. De tekniska cybersäkerhetskontrollerna och de funktionssäkerhetskontrollerna konvergerar på samma härdning.
Båda avsnitten bär cybersäkerhetsinnehåll eftersom manipulation och avsiktlig manipulering av styrsystem är cybersäkerhetshot med säkerhetskonsekvenser.
- Skydd mot mekaniska faror (skydd, ljusridåer, interlock).
- Nödstoppkretsar och säkerhetsrelaterade stoppfunktioner.
- Operatörsergonomi, sikt och räckvidd.
- Buller, vibrationer och utsläppsgränser.
- Operatörsinstruktioner för säker hantering, transport och underhåll.
- Mekanisk stabilitet och strukturell integritet.
- Skydd av styrsystem mot manipulation.
- Säkerhet och tillförlitlighet hos styrsystem mot avsiktlig manipulering.
- Riskbedömning av cyberdrivna säkerhetsfel.
- Teknisk dokumentation av säker styrsystemdesign.
- Sårbarhetshantering för säkerhetsrelevant styrlogik.
- Programvarustycklista som täcker styrsystemets komponenter.
- Aktiv sårbarhetshantering under hela supportperioden.
- Rapportering av sårbarheter och allvarliga incidenter till den samordnande CSIRT och ENISA.
- Policy för samordnad sårbarhetsredovisning.
- Programvarustycklista framtagen för marknadskontrollmyndigheter på motiverad begäran.
- Åtaganden om säkerhetsuppdateringar under hela supportperioden.
- Kostnadsfria säkerhetsuppdateringar under supportperioden.
CRA och maskinförordningen överlappar. De två regimerna tillämpas samtidigt på en maskin med digitala element. Cybersäkerhetsinnehållet på maskinsidan koncentreras i avsnitt 1.1.9 och 1.2.1 i maskinförordningen. CRA-artefakter (riskbedömning, teknisk dokumentation, sårbarhetshanteringsprocess, programvarustycklista) överbryggar in i den tekniska dokumentationen för maskiner när tillverkaren visar kopplingen.
Vad CRA säger om maskinöverlappningen
CRA binder samman de två regimerna genom Skäl 53. I klartext säger det till tillverkaren av en maskin med digitala element fyra saker:
| Vad skälet säger | Vad det betyder i praktiken |
|---|---|
| Båda regimerna kan gälla, utan maskinundantag | En maskin inom tillämpningsområdet för Förordning (EU) 2023/1230 som också är en CRA-produkt med digitala element måste uppfylla CRA:s väsentliga cybersäkerhetskrav och maskinförordningens grundläggande hälso- och säkerhetskrav. Maskiner omfattas inte av CRA-undantagen. |
| Samma cybersäkerhetsrisker kan dyka upp i båda | De två förordningarna adresserar liknande cybersäkerhetshot från olika vinklar: maskinförordningen genom säkerhet, CRA genom cybersäkerhet. Där de överlappar talar samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) till båda. |
| CRA-arbete kan väga på maskinsidan, men endast där de överlappar | CRA-riskbedömningen (Artikel 13(2)), den tekniska dokumentationen (Bilaga VII) och sårbarhetshanteringsprocessen (Bilaga I del II) genererar bevis som mappar mot maskinförordningen §1.1.9 (skydd mot manipulation) och §1.2.1 (säkerhet och tillförlitlighet hos styrsystem). På varje annan del av maskinförordningen gör du fortfarande maskinarbetet på maskinsättet. |
| Tillverkaren kopplar ihop punkterna i den tekniska dokumentationen | Skälet är tillåtande, inte automatiskt. För att använda CRA-bevis som maskinförordningsbevis mappar tillverkaren CRA-drivna kontroller mot specifika avsnitt i maskinförordningen och åberopar harmoniserade standarder som täcker båda regimerna. |
Skälet avslutas med ytterligare en instruktion som artikeln upprepar nedan: varje regim behåller sitt eget förfarande för bedömning av överensstämmelse, och båda måste följas.
Hur CRA-bevis mappar mot maskinförordningen
En pragmatisk mappning för överlappningen:
| Krav i maskinförordningen | CRA-bevis som stöder det |
|---|---|
| Maskinförordningen §1.1.9 (skydd mot manipulation) | CRA-riskbedömning (Artikel 13(2)), Bilaga I del I säker konfiguration som standard, autentisering och åtkomstkontroll, integritetsskydd för data |
| Maskinförordningen §1.2.1 (säkerhet och tillförlitlighet hos styrsystem) | CRA Bilaga I del I tillgänglighet av väsentliga funktioner, begränsning av exploatering, registrering av säkerhetshändelser; Bilaga I del II regelbundna säkerhetstester |
| Teknisk dokumentation enligt maskinförordningen | CRA teknisk dokumentation enligt Bilaga VII (korsrefererbar), CRA-programvarustycklista, CRA-policy för sårbarhetshantering |
Mappningen är informativ, inte normativ. Tillverkaren måste motivera kopplingen i den tekniska dokumentationen för varje specifik maskin, och skälets formulering om att "sådana synergier måste visas" lägger den bördan på tillverkaren.
Bedömningar av överensstämmelse förblir åtskilda
Varje regim behåller sitt eget förfarande för bedömning av överensstämmelse. Skäl 53 säger att tillverkaren bör följa de tillämpliga förfarandena enligt CRA och enligt Förordning (EU) 2023/1230. Maskinförordningen har sina egna rutter, inklusive medverkan av anmält organ för maskinkategorier med högre risk; CRA har sina egna rutter enligt Artikel 32 och Bilaga VIII.
Ett anmält organ kan köra båda, endast om det har båda utseendena. Samma maskin kan kräva medverkan av anmält organ för båda regimerna, möjligen med samma organ om det har utsetts enligt båda förordningarna. Anmälda organ utses förordning för förordning; en utseende enligt maskinförordningen sträcker sig inte till CRA.
För beslutet om rutt för CRA-bedömning av överensstämmelse, se CRA-bedömning av överensstämmelse. För kraven på teknisk dokumentation, se CRA teknisk dokumentation.
Vanliga fallgropar
| Påstående | Varför det faller |
|---|---|
| "En CE-märkning innebär att vi bara gör en bedömning av överensstämmelse." | CE-märkningen sitter en gång på produkten, men varje tillämplig regim behöver fortfarande sin egen bedömning av överensstämmelse, teknisk dokumentation och försäkran. |
| "Vårt anmälda organ enligt maskinförordningen täcker automatiskt CRA." | Anmälda organ utses förordning för förordning. Ett organ som är upptaget enligt maskinförordningen blir inte automatiskt ett CRA-anmält organ; kontrollera kommissionens NANDO-lista för båda förordningarna mot organets nummer. |
| "Inget internetgränssnitt innebär att CRA inte gäller." | Inbyggd programvara, fast programvara eller en programmerbar styrenhet kan göra maskinen till en produkt med digitala element; en indirekt dataanslutning genom ett anslutningsbart system tar också in maskinen i tillämpningsområdet. |
| "Maskinförordningen avsnitt 1.1.9 ensam bevisar CRA-cybersäkerhetsöverensstämmelse." | Avsnitt 1.1.9 hanterar skydd mot manipulation, vilket är en skiva av cybersäkerhetsdriven säkerhet. CRA:s väsentliga krav är bredare, och tillverkaren måste fortfarande visa överensstämmelse med hela CRA-uppsättningen. |
| "Synergiskälet låter oss återanvända CRA-bevis på maskinsidan automatiskt." | Skälet är tillåtande, inte automatiskt. Tillverkaren måste mappa CRA-drivna kontroller mot specifika avsnitt i maskinförordningen och åberopa harmoniserade standarder som täcker båda regimerna i den tekniska dokumentationen. |
Vanliga frågor
Ersätter eller åsidosätter CRA maskinförordningen?
Nej. Maskinförordningen fortsätter att styra maskinsäkerheten, och CRA lägger till cybersäkerhetsskyldigheter när maskinen också är en produkt med digitala element. En tillverkare som omfattas av båda regimerna måste uppfylla CRA:s väsentliga cybersäkerhetskrav och maskinförordningens grundläggande hälso- och säkerhetskrav. CRA fäster överlappet vid skydd mot manipulation samt säkerhet och tillförlitlighet hos styrsystem (Skäl 53).
Kan en enda CE-märkning täcka båda regimerna?
En CE-märkning kan sitta på produkten, men det underliggande överensstämmelsearbetet är fortfarande separat. CE-märkningen visar att produkten uppfyller tillämplig harmoniserad unionslagstiftning. För en maskin med digitala element innebär det bedömning av överensstämmelse enligt maskinförordningen plus bedömning av överensstämmelse enligt CRA. Märkningen är en, men varje tillämplig regim behöver egna överensstämmelsebevis och en egen försäkran (Artikel 32).
Från och med när tillämpas de två förordningarna?
Maskinförordningen (Förordning (EU) 2023/1230) tillämpas i sin helhet från och med den 20 januari 2027 och ersätter maskindirektivet 2006/42/EG för produkter som släpps ut på marknaden från det datumet. CRA (Förordning (EU) 2024/2847) tillämpas i sin helhet från och med den 11 december 2027 för produkter som släpps ut på marknaden från det datumet (Artikel 71(2)). Produkter med digitala element som släppts ut på marknaden före den 11 december 2027 omfattas av CRA-kraven endast om de från det datumet genomgår en väsentlig ändring; rapporteringsskyldigheterna enligt Artikel 14 gäller dock för alla produkter inom tillämpningsområdet från den 11 september 2026 (Artikel 69(2); Artikel 69(3)).
Täcker mitt anmälda organ för maskinförordningen även CRA?
Endast om organet har båda utseendena. Anmälda organ utses förordning för förordning, så ett organ som är upptaget för en modul enligt maskinförordningen blir inte automatiskt ett CRA-anmält organ. Kontrollera Europeiska kommissionens officiella NANDO-lista för båda förordningarna mot organets nummer; om båda utseendena finns kan ett organ köra båda bedömningarna (Artikel 43).
Vad händer om min maskin inte har något nätverksgränssnitt? Tillämpas CRA ändå?
Kanske. Avsaknad av internetgränssnitt tar inte automatiskt maskinen utanför CRA, men scopetestet kräver fortfarande en dataanslutning. En maskin är inom CRA:s tillämpningsområde bara när dess avsedda ändamål eller rimligen förutsebara användning omfattar en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk. Inbyggd programvara, fast programvara eller en programmerbar styrenhet kan göra maskinen till en produkt med digitala element, men en maskin utan sådan dataanslutning kräver en noggrann scopeanalys, inte ett automatiskt ja (Artikel 2(1)).