En maskin med en programmerbar styrenhet, ett HMI, en inbyggd dator eller ett nätverksgränssnitt omfattas av både EU:s maskinförordning (förordning (EU) 2023/1230) och EU:s cyberresilienslag (förordning (EU) 2024/2847). Skäl 53 i CRA namnger överlappet och pekar på två avsnitt i bilaga III till maskinförordningen, 1.1.9 och 1.2.1, där cybersäkerhetsinnehållet koncentreras. Den här sidan täcker vad skäl 53 säger, hur CRA-bevis mappar mot maskinsidan och var de två bedömningarna av överensstämmelse förblir åtskilda.
Sammanfattning
- Båda regimerna gäller samtidigt. En maskin som innehåller en programmerbar styrenhet, ett HMI eller ett nätverksgränssnitt regleras av maskinförordningen för säkerhet och av CRA för cybersäkerhet. Inget undantag finns: artikel 2 i CRA undantar medicintekniska produkter, motorfordon, civil luftfart och marin utrustning, och maskiner finns inte på den listan.
- Skäl 53 är förankringen för dubbelregimen. Den säger till tillverkare som omfattas av båda förordningarna att uppfylla båda, och namnger bilaga III avsnitt 1.1.9 och 1.2.1 i maskinförordningen som de platser där cybersäkerhetsinnehållet på maskinsidan koncentreras.
- Överlappet ligger på cybersäkerhetsdrivna säkerhetsfel. Ett styrsystem vars säkerhetslogik kan manipuleras över nätverket är osäkert i maskinförordningens mening och osäkert i CRA-mening. Samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) talar till båda förordningarna.
- CRA-bevis kan väga på maskinsidan, men du måste koppla dem. Skäl 53 tillåter synergin och pekar på harmoniserade standarder som bron. Bördan att visa kopplingen ligger hos tillverkaren, i den tekniska dokumentationen.
- Varje regim behåller sin egen bedömning av överensstämmelse. Maskinförordningen kör sina egna rutter (med medverkan av anmält organ för maskiner med högre risk i bilaga I); CRA kör artikel 32 med modulerna i bilaga VIII. Samma anmälda organ kan göra båda om det innehar båda utseendena.
Överlappet i fyra siffror: två förordningar, två avsnitt i bilaga III, skälet som binder dem samman och datumen som sätter dubbelregimen i kraft.
Var de två förordningarna överlappar
Maskinförordningen reglerar säkerheten hos maskiner som släpps på EU-marknaden. CRA reglerar cybersäkerheten hos produkter med digitala element som släpps på EU-marknaden. En modern maskin som innehåller en PLC, ett HMI, en inbyggd styrenhet eller ett nätverksgränssnitt uppfyller båda definitionerna och utlöser båda regimerna.
Där de överlappar är på krav som adresserar cybersäkerhetsdrivna säkerhetsfel. Ett styrsystem vars säkerhetsrelevanta logik kan manipuleras över nätverket är osäkert i maskinförordningens mening och osäkert i CRA-mening. Samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) talar till båda förordningarna.
CRA fäster överlappet på två platser:
- Bilaga III §1.1.9 i förordning (EU) 2023/1230 behandlar skydd mot manipulation av styrsystem.
- Bilaga III §1.2.1 i förordning (EU) 2023/1230 behandlar säkerhet och tillförlitlighet hos styrsystem, även mot avsiktlig manipulering.
Båda avsnitten bär cybersäkerhetsinnehåll eftersom manipulation och avsiktlig manipulering av styrsystem är cybersäkerhetshot med säkerhetskonsekvenser.
Vad CRA skäl 53 säger, i klartext
Skäl 53 är raden i CRA som binder de två regimerna samman. I klartext säger den till tillverkaren av en maskin med digitala element fyra saker:
| Vad skälet säger | Vad det betyder i praktiken |
|---|---|
| Båda regimerna gäller, inget undantag | En maskin som omfattas av förordning (EU) 2023/1230 och som också är en produkt med digitala element måste uppfylla CRA:s väsentliga cybersäkerhetskrav och maskinförordningens väsentliga hälso- och säkerhetskrav. Artikel 2 i CRA undantar medicintekniska produkter, motorfordon, civil luftfart och marin utrustning; maskiner finns inte på den listan. |
| Samma cybersäkerhetsrisker kan dyka upp i båda | De två förordningarna adresserar liknande cybersäkerhetshot från olika vinklar: maskinförordningen genom säkerhet, CRA genom cybersäkerhet. Där de överlappar talar samma tekniska kontroller (indatavalidering, autentisering, integritetsskydd av säkerhetslogik) till båda. |
| CRA-arbete kan väga på maskinsidan, men endast där de överlappar | CRA-riskbedömningen (artikel 13.2), den tekniska dokumentationen (bilaga VII) och sårbarhetshanteringsprocessen (bilaga I del II) genererar bevis som mappar mot bilaga III §1.1.9 (skydd mot manipulation) och §1.2.1 (säkerhet och tillförlitlighet hos styrsystem). På varje annan del av maskinförordningen gör du fortfarande maskinarbetet på maskinsättet. |
| Tillverkaren kopplar ihop punkterna i den tekniska dokumentationen | Skäl 53 är tillåtande, inte automatisk. För att använda CRA-bevis som maskinförordningsbevis mappar tillverkaren CRA-drivna kontroller mot specifika avsnitt i bilaga III och åberopar harmoniserade standarder som täcker båda regimerna. |
Skälet avslutas med ytterligare en instruktion som artikeln upprepar nedan: varje regim behåller sitt eget förfarande för bedömning av överensstämmelse, och båda måste följas.
Hur CRA-bevis mappar mot maskinförordningen
En pragmatisk mappning för överlappet:
| Krav i maskinförordningen | CRA-bevis som stöder det |
|---|---|
| Bilaga III §1.1.9 (skydd mot manipulation) | CRA-riskbedömning (artikel 13.2), bilaga I del I (b) säker konfiguration som standard, (d) autentisering och åtkomstkontroll, (f) integritetsskydd för data |
| Bilaga III §1.2.1 (säkerhet och tillförlitlighet hos styrsystem) | CRA bilaga I del I (h) tillgänglighet av väsentliga funktioner, (k) begränsning av exploatering, (l) registrering av säkerhetshändelser; bilaga I del II (3) regelbundna säkerhetstester |
| Teknisk dokumentation enligt maskinförordningen | CRA teknisk dokumentation enligt bilaga VII (korsrefererbar), CRA SBOM, CRA-policy för sårbarhetshantering |
Mappningen är informativ, inte normativ. Tillverkaren måste motivera kopplingen i den tekniska dokumentationen för varje specifik maskin, och formuleringen i skäl 53 om att "sådana synergier måste visas" lägger den bördan på tillverkaren.
Bedömningar av överensstämmelse förblir åtskilda
Skäl 53 avslutas med en tydlig instruktion: tillverkaren bör också följa de tillämpliga förfarandena för bedömning av överensstämmelse som anges i denna förordning och i förordning (EU) 2023/1230. Maskinförordningen har sina egna rutter för bedömning av överensstämmelse (inklusive medverkan av anmält organ för maskiner med högre risk i bilaga I); CRA har sina egna (artikel 32 och modulerna i bilaga VIII). Samma maskin kan kräva medverkan av anmält organ för båda regimerna, möjligen med samma anmälda organ om det innehar båda utseendena.
För beslutet om rutt för CRA bedömning av överensstämmelse, se CRA bedömning av överensstämmelse. För kraven på teknisk dokumentation, se CRA teknisk dokumentation.
Vanliga frågor
Ersätter eller åsidosätter CRA maskinförordningen?
Nej. De två förordningarna gäller samtidigt. Skäl 53 i CRA anger den dubbla skyldigheten i klartext: en tillverkare av produkter som omfattas av förordning (EU) 2023/1230 och som också är produkter med digitala element måste uppfylla CRA:s väsentliga cybersäkerhetskrav och maskinförordningens väsentliga hälso- och säkerhetskrav. Maskinförordningen fortsätter att styra säkerheten; CRA lägger till cybersäkerhetslagret och fäster överlappet vid bilaga III avsnitt 1.1.9 och 1.2.1.
Kan en enda CE-märkning täcka båda regimerna?
En CE-märkning på produkten, men två underliggande bedömningar av överensstämmelse. CE-märket är tillverkarens försäkran om att produkten uppfyller varje tillämplig harmoniserad unionsförordning. För en maskin med digitala element innebär det maskinförordningens bedömning av överensstämmelse enligt dess egen bilaga IV (eller den rutt som tillämpas) och CRA:s bedömning av överensstämmelse enligt artikel 32 med modulerna i bilaga VIII. Båda EU-försäkringarna om överensstämmelse måste finnas; CE-märket är ett, men pappersarbetet bakom det är två.
Från och med när tillämpas de två förordningarna?
Maskinförordningen (förordning (EU) 2023/1230) tillämpas i sin helhet från och med den 20 januari 2027 och ersätter maskindirektivet 2006/42/EG för produkter som släpps på marknaden från det datumet. CRA (förordning (EU) 2024/2847) tillämpas i sin helhet från och med den 11 december 2027, med tillverkarens rapporteringsskyldigheter enligt artikel 14 från och med tidigare den 11 september 2026. En maskin som släpps på EU-marknaden mellan den 20 januari och den 11 december 2027 omfattas redan av den nya maskinförordningen; från och med den 11 december 2027 omfattas den också av CRA.
Täcker mitt anmälda organ för maskinförordningen även CRA?
Endast om organet innehar ett CRA-utseende utöver sitt utseende för maskinförordningen. Anmälda organ utses förordning för förordning. Ett organ som är upptaget för modul B/C2/H enligt maskinförordningen visas inte automatiskt på CRA-listan över anmälda organ enligt artikel 43. Kontrollera EU-databasen NANDO för båda förordningarna mot organets nummer; om båda utseendena finns kan ett organ köra båda bedömningarna, vilket är operativt enklare än att dela upp dem.
Vad händer om min maskin inte har något nätverksgränssnitt? Tillämpas CRA ändå?
Förmodligen ja. Artikel 3.1 i CRA definierar en produkt med digitala element som en programvaru- eller hårdvaruprodukt och dess fjärrdataleveranslösningar. Utlösaren är digital funktionalitet, inte uppkoppling. En maskin med inbyggd programvara, fast programvara eller en programmerbar styrenhet omfattas även utan ett nätverksgränssnitt, eftersom själva den inbyggda programvaran är det digitala elementet. Det smala fall där CRA inte tillämpas är rent mekaniska maskiner utan programvara, utan fast programvara och utan programmerbar logik, vilket blir allt mer ovanligt för produkter som omfattas av den nya maskinförordningen.