„Die neuen Regelwerke markieren einen Paradigmenwechsel: Cybersecurity wird zur gesetzlichen Pflicht. Unternehmen, die frühzeitig handeln, sichern sich nicht nur rechtlich ab, sondern stärken auch ihre Resilienz gegenüber Cyberbedrohungen.“
Gastkommentar von Ing. David Machanek, Geschäftsführer Pilz Österreich.
Ab 2027 wird keine Maschine mehr ein CE-Zeichen erhalten, ohne dass zuvor Security-Risiken analysiert wurden. „Keine Safety ohne Security“ – dieser Grundsatz ist Teil eines umfassenden regulatorischen Wandels in der EU. Mit der neuen Maschinenverordnung (MVO) EU 2023/1230, dem Cyber Resilience Act (CRA) und der NIS-2-Richtlinie kommen auf viele Unternehmen erstmals verbindliche Anforderungen im Bereich Cybersecurity zu.
NIS 2: Mehr als kritische Infrastruktur
Die NIS-2-Richtlinie erweitert den Geltungsbereich deutlich: Neben klassischer kritischer Infrastruktur sind nun auch viele produzierende Unternehmen betroffen – etwa im Maschinenbau, in der Elektronik- und Fahrzeugindustrie. Unternehmen mit mehr als 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz müssen künftig ein strukturiertes Risikomanagement etablieren. Dabei reicht es nicht, nur die IT zu schützen – auch das Produktionsnetzwerk (OT) muss abgesichert werden. Die Normenreihe IEC 62443 bietet hier einen anerkannten Rahmen für Industrial Security.
IT ≠ OT: Während IT-Ausfälle oft verkraftbar sind, kann ein Produktionsstillstand gravierende Folgen haben. Deshalb unterscheiden sich die Sicherheitsziele in IT und OT grundlegend. Auch die Zuständigkeiten sind oft unklar: IT-Administratoren sind meist nicht mit industriellen Steuerungen und Protokollen vertraut. Hinzu kommt: Auch Lieferketten und Partnerunternehmen müssen in die Sicherheitsstrategie einbezogen werden. Für das Management werden Cybersecurity-Schulungen verpflichtend – bei Verstößen drohen Bußgelder bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes.
Maschinenverordnung: Security wird Teil der CE-Kennzeichnung
Die neue Maschinenverordnung (EU 2023/1230) ist ab 20. Januar 2027 alleinig gültig und ersetzt somit die bisherige Maschinenrichtline. Neu ist: Neben dem Schutz des Menschen vor der Maschine (Safety) wird nun auch der Schutz der Maschine vor Angriffen (Security) verpflichtend. In Anhang III, Abschnitte 1.1.9 und 1.2.1, sind Anforderungen an den Schutz vor unautorisierten Zugriffen und Manipulationen definiert – auch für Systeme, die nur lokal oder offline betrieben werden.
Cyber Resilience Act: Sicherheit für digitale Produkte
Der CRA ist eine EU-Verordnung, die horizontale Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen definiert – von Konsumgütern bis zu Industriekomponenten. Ziel ist es, Sicherheitslücken zu schließen und regelmäßige Updates sicherzustellen. Hersteller sollten sich frühzeitig mit den Anforderungen vertraut machen, um die CE-Konformität ihrer Produkte zu gewährleisten. Besonders betroffen: Maschinenprodukte mit digitalen Komponenten, die auch unter die MVO fallen.
Fazit: Jetzt handeln – mit PILZ auf der sicheren Seite
Die neuen Regelwerke markieren einen Paradigmenwechsel: Cybersecurity wird zur gesetzlichen Pflicht. Unternehmen, die frühzeitig handeln, sichern sich nicht nur rechtlich ab, sondern stärken auch ihre Resilienz gegenüber Cyberbedrohungen. PILZ unterstützt Sie mit Produkten, Dienstleistungen, vor allem im Bereich „Risikomanagement“ und Schulungen dabei, Ihre Maschinen und Anlagen nicht nur „safe“, sondern auch „secure“ zu gestalten.
Daher der Appell:
- konsultieren Sie Spezialisten,
- treffen Sie technische und organisatorische Maßnahmen und
- beschäftigen Sie sich rechtzeitig mit dem Thema der Industrial Security – nämlich jetzt, damit sie ab 2027 rechtskonform produzieren!
