Cybersecurity

Neue Normen für die Cybersicherheit von Maschinen

Neue EU-Verordnungen wie die Funkanlagenrichtlinie (RED), die EU-Maschinenverordnung (MR) und der Cyber Resilience Act (CRA) führen Cybersicherheitsanforderungen ein, die sich auf Funkanlagen, Maschinen und digitale Produkte auswirken. Für Erstausrüster, die drahtlose Fernsteuerungssysteme einsetzen, erleichtert ein frühzeitiges Verständnis der regulatorischen Landschaft die Planung eines vorhersehbaren Wegs zur CE-Kennzeichnung 2027 und darüber hinaus. 

Was bedeutet das für mobile Maschinen?

Mit den neuen EU-Rechtsvorschriften werden Anforderungen an die Cybersicherheit eingeführt, die Funkanlagen, Maschinen und digitale Produkte betreffen.

Einige Anforderungen gelten direkt für die auf dem EU-Markt in Verkehr gebrachte Maschine, während andere für in die Maschine integrierte Komponenten wie z.B. Funkfernsteuerungssysteme gelten.

Für Erstausrüster, die drahtlose oder ferngesteuerte Systeme verwenden, werden sich diese Entwicklungen in den kommenden Jahren darauf auswirken, wie Maschinen konstruiert, dokumentiert und mit der CE-Kennzeichnung versehen werden.

Das regulatorische Umfeld entwickelt sich weiter, aber ein frühzeitiges Verständnis der Richtung hilft, einen vorhersehbaren Weg nach vorn zu gewährleisten. Bei Scanreco verfolgen wir diese Entwicklungen genau und arbeiten kontinuierlich daran, unsere OEM-Partner zu unterstützen.

Was noch kommt

Das regulatorische Umfeld für die CE-Kennzeichnung im Jahr 2027

Mehrere EU-Rechtsvorschriften stellen Anforderungen an die Cybersicherheit von Maschinen, die auf dem europäischen Markt in Verkehr gebracht werden. Sie betreffen verschiedene Teile des Systems - die Maschine selbst, die Funkausrüstung und die digitalen Produkte - bilden zusammen den künftigen Rahmen für die Einhaltung der Vorschriften.

 

RED_SCANRECO_400x200_2

Funkanlagenrichtlinie (RED)

Was ist das?
Die EU-Funkgeräterichtlinie (RED) 2014/53/EU regelt Geräte, die über Funksignale auf bestimmten Frequenzen kommunizieren.

In der Tat
Die Cybersicherheitsanforderungen gemäß Artikel 3 Absatz 3 gelten ab August 2025.

Was deckt sie ab?
Funkanlagen, einschließlich drahtloser Fernsteuerungssysteme.

Was bedeutet dies für die Hersteller von Geräten
In Maschinen integrierte Fernsteuerungseinrichtungen müssen der RED entsprechen und mit den erforderlichen Unterlagen versehen sein.

MR_SCANRECO_400x200_

Maschinenverordnung (MR)

Was sie ist
Die EU-Maschinenverordnung (EU) 2023/1230 ersetzt die derzeitige Maschinenrichtlinie.

In Kraft
Gilt ab Januar 2027 für alle EU-Mitgliedstaaten.

Was sie abdeckt
Die gesamte Maschine, die auf dem EU-Markt in Verkehr gebracht wird.

Was bedeutet sie für OEMs
OEMs müssen weiterhin eine Risikobewertung und ein CE-Kennzeichnungsverfahren durchführen, um sicherzustellen, dass Sicherheits- und Cybersicherheitsrisiken - auch im Zusammenhang mit Software und digitalen Technologien - angemessen berücksichtigt werden.

CRA_SCANRECO_400x200

Gesetz über die Widerstandsfähigkeit im Internet (CRA)

Was ist das?
Die EU Cyber Resilience Act (CRA) führt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, einschließlich Elektronik und Software ein.

Inkrafttreten
Die Verordnung gilt ab Dezember 2027, wobei bestimmte Verpflichtungen bereits im September 2026 eingeführt werden.

Was deckt sie ab?
Produkte mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden, einschließlich Elektronik und Software, die in Maschinen und Steuerungssystemen verwendet werden.

Was bedeutet sie für OEMs
Die Hersteller müssen nachweisen, dass Produkte mit digitalen Funktionen während ihres gesamten Lebenszyklus sicher entwickelt und gewartet werden, einschließlich Prozessen für Schwachstellenmanagement und Software-Updates.

Worüber OEMs jetzt nachdenken sollten

Die Vorschriftenlandschaft entwickelt sich weiterhin und bedarf einer Harmonisierung, doch einige Themen sind bereits eindeutig geregelt. Da diese Vorschriften für Maschinen gelten, die nach den entsprechenden Fristen auf den EU-Markt gebracht werden, müssen sowohl neue als auch bestehende Maschinenkonstruktionen überprüft werden. 

 

Sicherheits-Symbol

Frühzeitig getroffene Architekturentscheidungen

Cybersicherheit lässt sich nur schwer in einem späten Stadium der Entwicklung nachrüsten. Drahtlose Kommunikation, Authentifizierungsmechanismen und Softwareintegrität, sollten frühzeitig in der Architektur der Maschinensteuerung berücksichtigt werden.
Sicherheits-Symbol-1

Dokumentation und Rückverfolgbarkeit

Die künftige CE-Kennzeichnung wird sich zunehmend auf eine strukturierte Dokumentation stützen, wie z.B.:

- Risikobewertungen im Bereich der Cybersicherheit
- Entwurfsentscheidungen
- Lebenszyklusmanagementprozesse

Eine klare Dokumentation wird genauso wichtig werden, wie die technische Lösung selbst.

Sicherheits-Symbol-1

Verantwortung im Lebenszyklus

Die Erwartungen an die Cybersicherheit gehen über die erste Produkteinführung hinaus. Hersteller benötigen möglicherweise strukturierte Prozesse für:

- Schwachstellenmanagement
- Sicherheitsupdates
-  Langfristige Wartung
Sicherheits-Symbol-1

Zusammenarbeit in der gesamten Lieferkette

OEMs sind bei kritischen Systemkomponenten auf Zulieferer angewiesen. Klare Zuständigkeiten und Transparenz zwischen OEMs und Technologielieferanten sind für die Einhaltung der Vorschriften und die Dokumentation unerlässlich.
Selbstkontrolle des Cybersicherheitsbildes2 (1)

Selbsttest

Ist Ihre Maschinenplattform Risiken ausgesetzt?

Beginnen Sie hier:

  • Verkaufen Sie Maschinen auf dem europäischen Markt?

  • Verwenden Ihre Maschinen drahtlose Kommunikation, Fernsteuerungssysteme oder andere digitale Produkte?

  • Werden Sie nach 2025-2027 Maschinen auf den EU-Markt bringen?

 

Wenn ja, könnte es eine Überlegung wert sein.

  • Wurden die Cybersicherheitsanforderungen in Ihrer Systemarchitektur berücksichtigt?

  • Sind die Verantwortlichkeiten zwischen OEM und Lieferanten klar definiert?

  • Haben Sie einen dokumentierten Prozess für den Umgang mit Software-Updates und Schwachstellen?

Wenn mehrere dieser Fragen noch offen sind, kann es sinnvoll sein, zu prüfen, wie sich die kommenden Vorschriften auf Ihre Plattform auswirken könnten.

Updates zur Cybersicherheit erhalten

Sie erhalten relevante Updates direkt in Ihren Posteingang sowie Einladungen zu Webinaren, in denen Experten Einblicke geben und Fragen zum Thema Cybersicherheit beantworten.

Hier anmelden

product integrity model_DE

Scanreco Perspektive

Schlüssel zum Erfolg - eine ganzheitliche Perspektive

Bei Scanreco steht die bestmögliche Produktintegrität im Mittelpunkt unserer Arbeit - Kontrolllösungen, die sowohl den heutigen Anforderungen als auch den Risiken und Herausforderungen von morgen standhalten.

Wir betrachten die Produktintegrität über drei miteinander verbundene Dimensionen.

  • Die Sicherheitsintegrität gewährleistet, dass unsere Systeme die anspruchsvollen Anforderungen an die funktionale Sicherheit erfüllen, einschließlich SIL- bewerteter   Architekturen für kritische Maschinenabläufe.

  • Die Sicherheitsintegrität befasst sich mit der zunehmenden Bedeutung der Cybersicherheit und den sich entwickelnden gesetzlichen Anforderungen für drahtlose und digitale Systeme.

  •  Die Lebenszyklusintegrität   konzentriert sich auf die Aufrechterhaltung der Systemstabilität im Laufe der Zeit, einschließlich strukturierter Ansätze für Updates, den Umgang mit Schwachstellen und den langfristigen Plattformservice. 


Zusammen bilden diese Dimensionen die Grundlage für das langfristige Engagement von Scanreco, zuverlässige und zukunftssichere Steuerungslösungen für Maschinenbauer und Betreiber zu liefern.

Häufig gestellte Fragen

Welche EU-Vorschriften zur Cybersicherheit betreffen Maschinenhersteller?

Mehrere EU-Verordnungen stellen Erwartungen an die Cybersicherheit, die sich auf Maschinenhersteller und ihre Zulieferer auswirken können.

 Wesentliche Rahmenwerke sind: 

  • Funkanlagenrichtlinie (RED) - Cybersicherheitsanforderungen für bestimmte Funkanlagen ab August 2025
  • EU-Maschinenverordnung (MR) - aktualisierter Rahmen für die die Maschinensicherheit, ab Januar 2027 gilt 
  • Cyber Resilience Act (CRA) - Anforderungen an die Cybersicherheit im Lebenszyklus von Produkten mit digitalen Elementen


Diese Verordnungen befassen sich mit verschiedenen Teilen des Systems, gestalten aber gemeinsam die künftige Compliance-Übersicht für Maschinen in der EU.

Gelten die neuen EU-Cybersicherheitsvorschriften auch für Maschinen?

Ja, aber auf unterschiedliche Weise.

Einige Vorschriften gelten direkt für die Maschine selbst, während andere für in die Maschine integrierte Komponenten gelten, wie z.B. Funkgeräte oder digitale Steuerungssysteme.

Die Erstausrüster bleiben für die CE-Kennzeichnung der gesamten Maschine verantwortlich, während die Zulieferer sicherstellen müssen, dass ihre Komponenten den geltenden Vorschriften entsprechen.

Müssen die Geräte mit dem Internet verbunden sein, um betroffen zu sein?

Nein.

Eine Maschine muss nicht mit dem Internet verbunden sein, damit diese Vorschriften gelten.

Müssen OEMs ihre Maschinen aufgrund dieser Vorschriften neu konzipieren?

Nicht unbedingt.

OEMs müssen jedoch möglicherweise Aspekte wie z.B.:

  • Systemarchitektur
  • Bewertungen der Cybersicherheitsrisiken
  • Dokumentation
  • Lebenszyklus-Prozesse

Die Auswirkungen hängen von der Konstruktion der Maschine und den verwendeten Technologien ab.

Wer ist für die Einhaltung der Vorschriften und die CE-Kennzeichnung zuständig?

Der OEM bleibt für die CE-Kennzeichnung der in Verkehr gebrachten Maschine verantwortlich.

Die Zulieferer tragen dazu bei, indem sie sicherstellen, dass ihre Komponenten die geltenden Anforderungen erfüllen, und indem sie technische Unterlagen bereitstellen, um den Konformitätsprozess des OEMs zu unterstützen.

Wie geht Scanreco mit diesen regulatorischen Entwicklungen um?

Scanreco verfolgt kontinuierlich die sich entwickelnde Gesetzeslage und arbeitet systematisch daran, sicherzustellen, dass unsere Fernsteuerungslösungen die Anforderungen erfüllen, die Maschinenbauer für die Überprüfung ihrer Geräte benötigen.

Da die harmonisierten Normen immer klarer definiert werden, werden wir unseren OEM-Partnern weiterhin Einblicke und Anleitungen geben.

Was sind die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED)?

Die Funkanlagenrichtlinie (RED) regelt Produkte, die über Funk kommunizieren.

Ab dem 1. August 2025 müssen bestimmte Kategorien von Funkanlagen auch Cybersicherheitsanforderungen gemäß Artikel 3 Absatz 3 Buchstaben d), e) und f) erfüllen.

Diese Anforderungen dienen dazu, sicherzustellen, dass Funkanlagen:

  • die Kommunikationsnetze vor Missbrauch schützen
  • gegebenenfalls den Schutz personenbezogener Daten und der Privatsphäre gewährleisten
  • Betrug oder unbefugte Nutzung der angeschlossenen Dienste verhindert


Für Hersteller von Funkgeräten bedeutet dies in der Regel, dass sie nachweisen müssen, dass ihre Produkte über geeignete Schutzmaßnahmen gegen unbefugten Zugriff, Manipulation oder Missbrauch der Funkschnittstelle verfügen. 

Drahtlose Fernsteuerungssysteme, die in Maschinen eingesetzt werden, fallen in den Anwendungsbereich der RED und müssen anhand dieser Anforderungen bewertet werden.

Fallen drahtlose Fernsteuerungssysteme unter RED?

Ja.

Drahtlose Fernsteuerungssysteme kommunizieren über Funksignale und gelten daher als Funkanlagen im Sinne der EU-Funkanlagenrichtlinie (RED).

Die Hersteller von Funkgeräten müssen sicherstellen, dass die Architektur und die Implementierung der Geräte den Anforderungen der RED entsprechen und entsprechende Unterlagen vorlegen.

Für Erstausrüster, die drahtlose Steuersysteme in Maschinen integrieren, bedeutet dies, dass die in der Maschine eingesetzte Funkausrüstung RED-konform sein muss und durch die entsprechenden technischen Unterlagen nachgewiesen werden kann. 

Was ändert sich mit der EU-Maschinenverordnung im Jahr 2027?

Die EU-Maschinenverordnung (EU) 2023/1230 ersetzt die derzeitige Maschinenrichtlinie und wird ab Januar 2027 in allen EU-Mitgliedstaaten gelten.

Ihr Ziel ist es, den Sicherheitsrahmen für Maschinen zu modernisieren und Risiken im Zusammenhang mit digitalen Technologien, Software und zunehmend vernetzten Systemen anzugehen.

Im Vergleich zur vorherigen Richtlinie legt die Verordnung größeren Wert auf:

  • Risiken im Zusammenhang mit Software und digitalen Steuerungssystemen
  • Überlegungen zur Cybersicherheit, wenn sie die Maschinensicherheit betreffen
  • klarere Anforderungen an Dokumentation und Rückverfolgbarkeit

Erstausrüster, die Maschinen auf dem EU-Markt in Verkehr bringen, müssen weiterhin eine Risikobewertung und ein CE-Kennzeichnungsverfahren durchführen, um sicherzustellen, dass Sicherheitsrisiken - auch im Zusammenhang mit Software und digitalen Technologien - berücksichtigt werden.

Was ist der Cyber Resilience Act (CRA)?

Mit dem Cyber Resilience Act (CRA) werden Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, einschließlich Elektronik und eingebetteter Software, eingeführt.

Ziel ist die Verbesserung der allgemeinen Cybersicherheit von in der EU verkauften vernetzten Produkten durch die Einführung von Anforderungen in Bezug auf:

  • sichere Produktentwicklung
  • Management von Schwachstellen in Produkten
  • Mechanismen zur Aktualisierung der Produktsoftware
  • Transparenz in Bezug auf bekannte Schwachstellen


Anders als die Maschinenverordnung, die sich auf die Maschinensicherheit konzentriert, befasst sich die CRA mit der Cybersicherheit von Produkten während des gesamten Produktlebenszyklus.

Die genaue Anwendung auf bestimmte Industrieprodukte wird mit der Entwicklung von Normen und Umsetzungsleitlinien klarer werden.

Möchten Sie mehr über Cybersicherheit lesen?

Wir erstellen kontinuierlich Informationen, die Ihnen helfen, über aktuelle Entwicklungen im Bereich Cybersicherheit für ferngesteuerte Maschinen informiert zu bleiben.