Wie ordnet man Maschinen in aktuelle Normenwerke ein?

Dieser Beitrag gibt einen Überblick über die wichtigsten Definitionen und erläutert, wie Maschinenbauer sich im Spannungsfeld zwischen Maschinenverordnung, Cyber Resilience Act und IEC 62443 verorten können. Zunächst ist es dafür hilfreich, einige zentrale Begriffe zu klären – von der rechtlichen Definition einer Maschine über den Produktbegriff im CRA bis hin zu den relevanten Rollen und Konzepten aus der IEC 62443.

Maschine (Definition nach EU-Maschinenverordnung 2023/1230)

Die neue Maschinenverordnung (EU) 2023/1230 definiert sehr genau, was unter einer ‚Maschine‘ zu verstehen ist. Vereinfacht gesagt umfasst der Maschinenbegriff jede Gesamtheit verbundener Teile oder Vorrichtungen, von denen mindestens eins beweglich ist, die für eine bestimmte Anwendung zusammengefügt sind und die von einer anderen Energiequelle als direkt eingesetzter menschlicher oder tierischer Kraft angetrieben werden.

Diese Definition schließt verschiedene Varianten ein, zum Beispiel auch Kombinationen mehrerer Maschinen oder Teilsysteme, die zusammen als Einheit funktionieren. Selbst Maschinen, denen nur noch die passende Software zum Betrieb fehlt, fallen unter den breiten Maschinenbegriff der Verordnung.

Für Maschinenbauer bedeutet dies: Ihre Produkte – seien es einzelne Maschinen oder verkettete Maschinenlinien – werden rechtlich als Maschinen im Sinne dieser Verordnung betrachtet und müssen die entsprechenden (Sicherheits-)Anforderungen erfüllen.

Produkt mit digitalen Elementen (Definition nach Cyber Resilience Act)

Der Cyber Resilience Act (CRA) richtet sich an ‚Produkte mit digitalen Elementen‘, die auf dem europäischen Markt bereitgestellt werden. Darunter versteht sich ‚ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden‘, wenn deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Diese Definition ist sehr breit gefasst und umschließt sowohl Software als auch Hardware-Geräte, vom kleinen IoT-Device bis hin zu komplexen Automatisierungssystemen. In diesem Spektrum siedeln sich auch (kleinere) Maschinen sowie (größere) Maschinenanlagen an, welche sowohl von der Maschinenverordnung als auch vom CRA erfasst sind.

Relevant dabei ist, dass moderne Maschinen heute meist digitale Elemente zur Vernetzung enthalten und damit ein ‚Produkt mit digitalen Elementen‘ darstellen, also in den Anwendungsbereich des CRA fallen. Der Hersteller eines solchen Produkts (also in diesem Fall der Maschinenbauer) ist laut CRA jenes Unternehmen, welches ‚Produkte mit digitalen Elementen entwickelt oder herstellt oder […] entwickeln oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet […]‘.

Industrie mit Aufholbedarf bei Cybersecurity-Standards

Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen.

Für diese Hersteller gilt ab dem 11. Dezember 2027, dass Produkte nur dann in Verkehr gebracht werden dürfen, wenn sie den Anforderungen des CRAs entsprechen. Diese Anforderungen betreffen sowohl die technische Sicherheit des Produkts selbst, Dokumentationsanforderungen, Nachmarktpflichten wie Schwachstellen und Update-Management und damit auch eine Überwachung der im Feld befindlichen Produkte sowie gegebenenfalls auch Anforderungen an innerbetriebliche Prozesse, Stichwort sicherer Produktentwicklungsprozess.

IEC 62443: Rollen und relevante Konzepte

Die IEC 62443 ist eine internationale Normenreihe, welche sich mit der Cybersecurity von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS) beschäftigt. Ein IACS bezeichnet gemäß IEC 62443 eine ‚Sammlung/Kombination von Personal, Hardware, Software und Richtlinien, die an der Durchführung eines Industrieprozesses beteiligt sind und die dessen sichere, geschützte und zuverlässige Ausführung beeinflussen‘. Kurzum, die Kombination aus den technischen Systemen (Hardware, Netzwerk), deren Software, sowie dazugehörige Richtlinien und Personen, die das System betreiben, mit dem Ziel, einen industriellen Prozess sicher und zuverlässig auszusteuern. Sicher umfasst dabei sowohl funk­tio­nale Sicherheit als auch Cybersecurity. Dazu besteht ein IACS aus Steuerungen (SPSen), Sensoren & Aktoren, Bedienelementen (HMIs) und industriellen Netzwerken wie ProfiBus oder SCADA Systeme.

Hersteller / Product Supplier

Klassischerweise handelt es sich hierbei um Hersteller von Komponenten wie Steuerungen, Sensoren et cetera, also jenen Komponenten, die in IACS eingesetzt werden. Inwiefern auch Hersteller von Maschinen gegebenenfalls in der Rolle ‚Hersteller nach IEC 62443‘ sind, wird hier weiter unten behandelt.

Systemintegrator (Integration Service Provider): Diese Rolle ist für das Zusammenspiel unterschiedlicher Komponenten verantwortlich. Sie übernimmt also die Konzeption eines Systems inklusive der Auswahl passender Komponenten (zum Beispiel mit hinreichenden Security-Eigenschaften) sowie die korrekte Integration dieser Komponenten (zum Beispiel korrekte Konfiguration et cetera). In IEC 62443 wird üblicherweise davon ausgegangen, dass diese Integration in enger Abstimmung mit dem Betreiber erfolgt. Dies ist zwar im Maschinenbau (insbesondere im industriellen Anlagenbau) zum Teil so, aber speziell mit Blick auf Serienmaschinen wie etwa Werkzeugmaschinen meist nicht der Fall. Die verlockende Annahme ‚Maschinenbauer laut Maschinenverordnung‘ = ‚Integrator lt. IEC 62443‘ ist somit zu sehr vereinfacht und stimmt zumindest nicht immer und insbesondere (leider) nicht vollumfänglich.

Betreiber (Asset Owner)

IEC 62443 definiert auch den Betreiber und dessen Pflichten. Die Pflichten sind insbesondere der Betrieb und die Wartung von Systemen, was die Einhaltung von Cybersecurity-Richtlinien einschließt wie zum Beispiel Zugriffsbeschränkungen (durch physischen Zugriffsschutz, wie auch durch Authentifizierungen wie Username/Passwort oder ähnliches). Ebenfalls fällt die Schulung des Personals in die Verantwortlichkeit des Betreibers. Hier existieren durchaus gewisse Ähnlichkeiten zu den Betreiberverantwortungen im Arbeitsschutz. Als vierte Rolle definiert IEC 62443 noch jene des Maintenance Service Providers. Dabei handelt es sich um Dienstleister, welche die Wartung für ein IACS verantworten. Dies ist für Maschinenbauer insofern relevant, als Hersteller, welche Serviceverträge anbieten, prüfen sollten, ob und welche Pflichten sie dadurch in Bezug auf Cybersecurity übernehmen.

Neben der Definition von Rollen unterscheidet beziehungsweise definiert IEC 62443 auch Komponenten/Produkte oder Systeme und folglich zwischen Anforderungen auf Komponentenebene und auf Systemebene. Diese Einteilung ist für den Maschinenbau nur von begrenzter Genauigkeit. Eher ist die Einteilung, ob eine Maschine eher eine Komponente/Produkt ist oder eher ein System, als Spektrum zu verstehen, wobei die äußeren Enden des Spektrums in etwa den Definitionen aus IEC 62443 entsprechen, wie nachfolgend aufgeführt: Komponenten/Produkte sind lt. IEC 62443 einzelne Bausteine, wie z.B. SPSen, Router, HMIs, Sensoren usw.

Systeme sind eine Kombination von mehreren Komponenten/Produkten, welche beispielsweise Automatisierungslösungen darstellen, zum Beispiel Produktionsanlagen oder ähnliches.

Maschinenbauer in der IEC 62443: Hersteller oder Integrator?

Vor dem oben skizzierten Hintergrund stellt sich nun die zentrale Frage: Wo passt der klassische Maschinenbauer in dieses Rollenmodell der IEC 62443? Ist er ein Komponenten-Hersteller, ein Systemintegrator – oder beides? Und sind seine Maschinen als Produkte oder als Systeme im Sinne der Norm zu behandeln?

Wer sich vertieft mit IEC 62443 beschäftigt, kommt rasch zum Ergebnis, dass die Normenreihe nicht primär für Maschinenbauer entwickelt wurde. Diese nehmen darin eine gewisse gemischte Rolle ein, da sie komplexe technische Systeme bauen und ausliefern, aber oft wie Produktlieferanten auftreten.

Ein Standardmaschinenbauer, der eine Maschine (oder ein Maschinensystem) als serienfähiges Produkt an viele unterschiedliche Kunden verkauft, ohne jede einzelne Installation kundenspezifisch vor Ort zu projektieren, verhält sich größtenteils wie ein Produkt-Hersteller. Er entwickelt die Maschine auf eigenes Risiko, baut standardisierte Komponenten ein (SPS, Antriebe, HMI und so weiter) und liefert dem Kunden eine fertige Maschine, die dieser selbst in Betrieb nimmt. In IEC 62443-Termini entspricht dies weitgehend der Rolle des Produkt-Herstellers, nur, dass das gelieferte ‚Produkt‘ hier kein einzelnes Gerät ist, sondern eine aus vielen Teilen bestehende Maschine. Der Maschinenbauer übernimmt in diesem Fall Verantwortung für die sichere Konstruktion der Maschine als Ganzes, ähnlich wie ein Komponenten-Hersteller für sein Gerät verantwortlich ist. Direkten Kontakt mit dem späteren Betreiber hat er während der Entwicklung meist nicht, abgesehen von allgemeinen Marktanforderungen.

Ein Sondermaschinenbauer dagegen, der in enger Abstimmung mit einem einzelnen Kunden eine maßgeschneiderte Anlage oder Produktionslinie entwirft, tritt faktisch auch als Integrationsdienstleister auf. Er konzipiert und baut eine einmalige Lösung mit spezifischem Design für den Auftraggeber und integriert gegebenenfalls bestehende Kundensysteme oder -anforderungen. Hier entspricht die Tätigkeit weitgehend der Rolle des Systemintegrators. Der Maschinenbauer arbeitet mit dem Betreiber zusammen, um die Sicherheitsanforderungen für diese spezifische Anlage festzulegen und umzusetzen. Es fließen also Betreiber- und Integrator-Perspektiven zusammen. In solchen Fällen kann man den Maschinenbauer durchaus als Integrator im Sinne der IEC 62443 betrachten. Wie oben beschrieben, ist diese Zuordnung jedoch nicht absolut zu betrachten, sondern am Spektrum Hersteller -> Integrator eher im Bereich des Integrators zu sehen, was nicht bedeutet, dass nicht trotzdem gewisse Aspekte der Herstellerrolle entsprechend IEC 62443 relevant bleiben.

Was sich in 2026 für Maschinenbauer ändert

Auf Maschinenbauer in Europa kommt eine wichtige Neuerung zu: ab dem 20. Januar 2027 gilt die neue Maschinenverordnung. Anders als die bisherige Richtlinie ist eine EU-Verordnung direkt innerhalb der gesamten Union unmittelbar gültig und muss nicht noch in nationales Recht transponiert werden.

Dirk Meyer

Komponenten- oder Lösungsansatz?

Eine einzelne Maschine lässt sich sicherheitstechnisch weder eindeutig als bloße Komponente noch als vollwertige IACS-Lösung verallgemeinern – es hängt von der Größe und Komplexität der Maschine ab. Einige Beispiele zur Einordnung: Eine kompakte Standardmaschine mit nur einer Steuerung und ein paar Sensor/Aktor-Baugruppen könnte man theoretisch als eine komplexe Komponente betrachten. Allerdings greifen die IEC-62443-4-2-Anforderungen für Komponenten hier nur begrenzt, da sie typischerweise für einzelne Geräte gelten (zum Beispiel Anforderungen an eine einzelne Steuerung oder ein Kommunikationsgerät). Die Maschine besteht aber aus mehreren Komponenten und erfüllt als Gesamtheit eine Funktion.

Viele Maschinen – insbesondere komplexere Fertigungsmaschinen oder Anlagenmodule – kann man besser als eigenständiges System auffassen. Sie verfügen oft über ein internes Netzwerk, mehrere Steuerungseinheiten, Bedienstationen, et cetera und sind im Prinzip kleine Automatisierungssysteme. Die technischen Systemanforderungen aus IEC 62443-3-3 wären hier einschlägiger, da sie Sicherheitsaspekte einer gesamten Lösung abdecken (beispielsweise Benutzer-Management, Protokollierung, Netzwerksegmentierung, Whitelisting, et cetera). In der Praxis zeigt sich allerdings: Nicht alle Anforderungen der IEC 62443-3-3 lassen sich 1:1 auf eine einzelne Maschine mitunter direkt anwenden. Hierzu sieht die IEC 62443-3-3 (wie auch eine IEC 62443-4-2) aber das Konzept der ‚Compensating Countermeasures‘ vor.

Dieses sieht vor, dass externe Maßnahmen zur Erfüllung der Anforderung für das System/Produkt in begründbaren Fällen herangezogen werden dürfen. Unter diesem Aspekt können Anforderungen der IEC 62443-3-3, wie zum Beispiel die bei höheren Security-Levels verlangte Anforderung nach einem zentralen User-Management oder gemeinsamen Log-Servern für das ganze System – sofern diese Funktionen eine isolierte Maschine eventuell nicht in vollem Umfang selbst bereitstellen kann oder muss – durch eine Schnittstelle auch durch einen externen Dienst erfüllt werden (zum Beispiel einem übergelagerten System).

Immer den Einzelfall betrachten

Die IEC 62443 adressiert Maschinenbauer nicht explizit und es gibt Grauzonen. Je nach Szenario kann ein Maschinenhersteller also sowohl als Hersteller als auch als Integrator auftreten – und seine Maschine kann sowohl als Produkt als auch als System angesehen werden. Im Zweifelsfall tendiert die Zuordnung aber eher zur System-Perspektive. Eine Maschine besteht aus mehreren IACS-Komponenten und verhält sich wie ein kleines industrielles Automatisierungssystem, sodass die Betrachtung gemäß IEC 62443-3-3 (Systemanforderungen) naheliegt. Für den Maschinenbauer bedeutet das, er sollte möglichst systemweite Sicherheitsfunktionen vorsehen (etwa Benutzer- und Rechteverwaltung, Netzwerksegmentierung innerhalb der Maschine, Härtung aller eingebetteten Komponenten et cetera), wie es für ein IACS-System gefordert wird. Gleichzeitig muss er auch darauf achten, dass die einzelnen verbauten Komponenten (Steuerungen, HMIs, Router und so weiter) ausreichende Security-Eigenschaften mitbringen – idealerweise nach IEC 62443-4-2 oder ähnlichen Standards entwickelt sind.

Aus Prozesssicht hängt es wiederum von der Geschäftsform ab, welche IEC-62443-Normen anwendbar sind. Ein Hersteller, der Produkte entwickelt und in Serie fertigt, sollte vor allem einen sicheren Entwicklungsprozess nach IEC 62443-4-1 etablieren. Ein Integrator/Anlagenbauer, der kundenspezifisch projektiert, sollte eher die Anforderungen an sichere Integrationsdienstleistungen gemäß IEC 62443-2-4 berücksichtigen.

In der Realität werden viele Maschinenbauunternehmen beide Hüte aufhaben: Insbesondere Sondermaschinenbauer benötigen sowohl einen sicheren Entwicklungsprozess (IEC 62443-4-1) als auch kompetente Integrationspraktiken (IEC 62443-2-4), um Security by ­Design sicherzustellen. Standard-Maschinenhersteller werden primär den Secure Development Lifecycle (SDL) gemäß IEC 62443-4-1 umsetzen, können aber ebenfalls von Integrationsrichtlinien profitieren – etwa, wenn sie ihre Maschinen bei Kunden in Betrieb nehmen oder Serviceleistungen anbieten.

Talsohle durchschritten: Werkzeugmaschinenindustrie blickt nach vorn

Die deutsche Werkzeugmaschinenindustrie steht unter Druck: China zieht im Export erstmals an Deutschland vorbei, Investitionen stocken, Planungssicherheit ist Mangelware, Arbeitsplätze geraten ins Wanken. Dennoch setzt die Branche 2026 auf Stabilisierung – mit Technologie, Mut und klaren Forderungen an die Politik.

Annika Ostermeier

Fazit

Für die Erfüllung der grundlegenden Anforderungen des Cyber Resilience Acts bleibt abzuwarten, welche Normen hier von Seiten der EU-Kommission entsprechend als harmonisierte EU-Normen im Amtsblatt der Europäischen Union laut Cyber Resilience Act beziehungsweise laut Maschinenverordnung aufgenommen werden. Insbesondere Letztere sollten dann konkrete Handlungsempfehlungen für die regulierten Produkte, also zum Beispiel Maschinen, enthalten. Aufgrund der breiten Akzeptanz von IEC 62443 ist davon auszugehen, dass die EU-Normen die Security-Welt nicht neu erfinden werden, sondern sich an den Grundkonzepten dieser Standards orientieren werden.

Für Hersteller von Maschinen bedeutet dies, dass sie schwer umherkommen, sich in Abwesenheit harmonisierter EU-Normen, mit den Anforderungen aus den jeweiligen Teilen von IEC 62443 zu beschäftigen, um bereits heute die Weiche für eine Produktentwicklung am Stand der (Security-)Technik sicherzustellen. Für die Zukunft der Normenlandschaft bleibt zu hoffen, dass die harmonisierten Normen mit den gesetzlichen Vorgaben abgestimmt werden, um mühsame und gegebenenfalls auch kostspielige Zwischenzustände, wie wir sie im Maschinenbau in Hinblick auf IEC 62443 erleben, hinter uns zu lassen und auch im Security-Bereich der aus der Safety-Welt bekannte aber mitunter unterschätzte Komfort von passenden harmonisierten Normen auch möglichst rasch Einzug in die Praxis findet.

Autoren: Florian Gerstmayer, Absolvent der FH Technikum Wien (Studiengänge: Elektronik, Embedded Systems Engineering und Innovations- & Technologiemanagement), und Johannes Windeler-Frick, MSc ETH