CRA & Maschinenverordnung [German version]

Gemeinsamkeiten, Unterschiede — und wie man die Security-Anforderungen beider Verordnungen unter einen Hut bekommt

Was könnte jemand mit böser Absicht mit meiner Maschine anstellen? Maschinenhersteller müssen nun auch die Möglichkeit eines Cybersecurity-Angriffs bedenken.

Maschinenhersteller müssen schon lange ein CE-Kennzeichen an ihren Maschinen anbringen. Dafür mussten die Maschinen bislang Safety-Anforderungen erfüllen, also die Gesundheit der Menschen und Umwelt um die Maschinen herum schützen. Die Grundlage war die Maschinenrichtlinie (2006/42/EC) der Europäischen Union.

Ab 2027 steckt in diesem CE-Kennzeichen mehr, nämlich auch Security-Anforderungen: Die Maschine muss auch gegen Cybersecurity-Angriffe geschützt werden. Dafür sorgen gleich zwei neue EU-Verordnungen, die ab 2027 gelten: Die Maschinenverordnung (2023/1230), die die Maschinenrichtlinie ablöst, und der Cyber Resilience Act (CRA) (2024/2847). Maschinenhersteller müssen beide EU-Verordnungen erfüllen — das macht Erwägungsgrund 53 in der Präambel des CRA unmissverständlich klar.

Was sind die Gemeinsamkeiten und Unterschiede beider Verordnungen und vor allem: Wie bekommt man die Cybersecurity-Anforderungen beider Verordnungen unter einen Hut?

Rechtliche Aspekte

Vergleich von CRA und Maschinenverordnung — rechtliche Aspekte

Gemeinsamer Rechtsrahmen

Sowohl CRA als auch Maschinenverordnung sind EU-Verordnungen, das heißt, sie gelten direkt für alle EU-Mitgliedsstaaten. Anders als für EU-Richtlinien ist keine Übersetzung in nationales Recht mehr nötig. Das unterscheidet die Maschinenverordnung auch von ihrer Vorgängerin, der Maschinenrichtlinie.

Es gibt aber noch eine weitere wichtige Gemeinsamkeit beider Verordnungen: Beide gehören zu den “EU-Harmonisierungsrechtsvorschriften”. Das sind Vorschriften für bestimmte Produkte, die EU-weit gelten und sicherstellen sollen, dass in allen Mitgliedsstaaten dieselben Sicherheitsstandards für Produkte gelten. Für all diese Vorschriften gibt es einen gemeinsamen Rechtsrahmen, das „New Legislative Framework“ (NLF). CRA und Maschinenverordnung haben also eine gemeinsame Basis.

Das erklärt, warum sowohl für den CRA als auch für die Maschinenverordnung ein CE-Kennzeichen erforderlich ist und dies in beiden Fällen nach denselben Regeln funktioniert:

• Anforderungen: Der Kern beider Verordnungen sind bestimmte Anforderungen an Produkte im Geltungsbereich. Im CRA stehen sie in Anhang I, in der Maschinenverordnung in Anhang III. Mehr Informationen dazu siehe “inhaltliche Aspekte”.
• CE-Kennzeichen: Beiden Verordnungen ist gemein, dass die betroffenen Produkte ab einem Stichtag im Jahr 2027 ohne CE-Kennzeichen in der EU nicht mehr verkauft werden dürfen (genauer: nicht mehr “in Verkehr gebracht”).
• EU-Konformitätserklärung: Um das CE-Kennzeichen anbringen zu können, muss eine EU-Konformitätserklärung für das Produkt erstellt werden. Darin müssen die angewendeten Verordnungen benannt werden. In der Praxis müssen in der EU-Konformitätserklärung für eine Maschine Ende 2027 also sowohl die Maschinenverordnung (2023/1230) als auch der CRA (2024/2847) referenziert werden, plus möglicherweise angewendete harmonisierte Normen.
• Harmonisierte Normen: Harmonisierte Normen erfüllen die “Vermutungswirkung” für eine bestimmte EU-Harmonisierungsvorschrift. Das bedeutet: Erfüllt man eine harmonisierte Norm für die Maschinenverordnung, kann die Konformität mit den Anforderungen der Maschinenverordnung angenommen werden. Harmonisierte Normen helfen also bei der Interpretation der oft vage formulierten Anforderungen in den EU-Verordnungen für den eigenen Anwendungsfall und geben damit Rechtssicherheit.
  Harmonisierte Normen gibt es oft für spezifische Produkte, weshalb sie sehr zahlreich sind. Für die alte Maschinenrichtlinie (2006/42/EC) gibt es schon mehr als 800 harmonisierte Normen. Für den CRA gibt es, da er ja gerade erst in Kraft getreten ist, noch keine einzige.
  Für die Maschinenrichtlinie sollen bis 20. Januar 2026 die existierenden harmonisierten Normen aktualisiert und ggf. ergänzt werden. In Planung ist u.a. auch eine Norm, die die Security-Anforderungen konkretisiert (EN 50742 — Safety of machinery — Protection against corruption).
  Für den CRA sollen ebenfalls 2026 erste harmonisierte Normen veröffentlicht werden. Der Fokus wird dabei allerdings zunächst auf den wichtigen und kritischen Produkten in Anhang III und IV des CRA liegen, zu denen Maschinen in aller Regel nicht zählen.
• Konformitätsbewertung: Auch die Konformitätsbewertungsverfahren für CRA und Maschinenverordnung sind grundsätzlich dieselben.
  Man kann sie grob unterscheiden in Verfahren, die die Beteiligung einer externen Konformitätsbewertungsstelle erfordern (Module H, B, C, G) und die “interne Fertigungskontrolle” (Modul A), bei der der Hersteller die Konformitätsbewertung selbst durchführt (“Selbsterklärung”).
  Welches Konformitätsbewertungsverfahren möglich ist, definiert die jeweilig Verordnung.
  Für die Maschinenverordnung hängt das mögliche Verfahren von der Art der Maschine ab.
  Für den CRA reicht für Maschinen in der Regel die Selbsterklärung — denn sie fallen nicht unter die “wichtigen” oder “kritischen” Produkte (Anhang III oder IV).

Konkrete Fragen zum Inverkehrbringen, dem CE-Kennzeichen, der EU-Konformitätserklärung und den Konformitätsbewertungsverfahren beantwortet der “Blue Guide” der EU, der für CRA und Maschinenverordnung gleichermaßen gilt.

Stichtage

Dass beide Verordnungen “ab 2027” gelten, ist Zufall. Und die Stichtage liegen zwar beide in 2027, aber weit auseinander: 20. Januar 2027 für die Maschinenverordnung, 12. Dezember 2027 für den CRA.

Beides sind “harte Stichtage” ohne Übergangsregelung: Wird eine Maschine am 19. Januar 2027 verkauft und geliefert, gilt noch die alte Maschinenrichtlinie, ab 20. Januar die neue Maschinenverordnung. Wird eine Maschine am 10. Dezember 2027 verkauft und geliefert, muss sie die CRA-Anforderungen noch nicht erfüllen, am 11. Dezember 2027 schon. Ein Teil der CRA-Anforderungen gilt übrigens schon früher: Ausgenutzte Schwachstellen in den Produkten gemäß Art. 14 des CRA müssen bereits ab 11. September 2026 gemeldet werden.

Inhaltliche Aspekte

Vergleich von CRA und Maschinenverordnung — inhaltliche Aspekte

Geltungsbereich

Kern jeder EU-Harmonisierungsrechtsvorschrift sind die Definition einer Produktgruppe und die Definition von Anforderungen für diese Produktgruppe.

Die Maschinenverordnung gilt für Maschinen. Genauer: für Maschinen, unvollständige Maschinen und dazugehörige Produkte (auswechselbare Ausrüstungen, Sicherheitsbauteile, Lastaufnahmemittel, Ketten, Seile und Gurte und abnehmbare Gelenkwellen). Es gibt explizit benannte Ausnahmen, wenn eine Maschinenart schon anderweitig reguliert ist, und es werden verschiedene Typen von Maschinen unterschieden, für die dann je nach Kritikalität eine Konformitätsbewertung unter Beteiligung einer externen Stelle erforderlich ist.

Der Cyber Resilience Act gilt für Produkte mit digitalen Elementen mit Datenverbindung. Genauer: Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Auch hier gibt es explizit benannte Ausnahmen für bereits anderweitig regulierte Produkte.

Maschinen fallen unter den Cyber Resilience Act, wenn sie digitale Elemente und Datenverbindungen enthalten — zum Beispiel Steuerungen. Dabei fällt die Maschine als Ganzes unter den Cyber Resilience Act, aber auch jede Komponente, die wiederum ein Produkt mit digitalen Elementen ist — also die Steuerung, aber auch die CPU der Steuerung, und so weiter. Wichtig ist, wie das Produkt “in Verkehr gebracht” wird.
Verkauft der Maschinenhersteller die Maschine als Ganzes, dann muss er auch den CRA für die Maschine als Ganzes erfüllen. Wenn er einzelne Komponenten (die Steuerung beispielsweise) zukauft, muss er sicherstellen, dass diese einzelnen Komponenten ebenfalls den CRA erfüllen. Mindestens muss er also überprüfen, ob an der zugekauften Steuerung ein CE-Kennzeichen mit Verweis auf den CRA angebracht ist.

Auch im CRA gibt es bestimmte Produkte, die aufgrund ihrer Kritikalität eine Konformitätsbewertung durch eine externe Stelle durchlaufen müssen. Dies sind die in Anhang III und Anhang IV als “kritisch” oder “wichtig” definierten Produkte. Diese Produkte sind meist sehr grundlegend (Betriebssysteme, Netzwerkinfrastruktur, Hypervisoren) oder explizit Security-Produkte (Passwortmanager, Firewalls), sodass ganze Maschinen in der Regel nicht zu den “wichtigen” oder “kritischen” Produkten zählen. Das gilt auch dann, wenn die Maschine “wichtige” oder “kritische” Produkte enthält, wie Art. 7(1) des CRA deutlich macht. Daher wird für die meisten Maschinen für den CRA eine Selbsterklärung (Modul A) als Konformitätsbewertungsverfahren ausreichen.

Inhaltlicher Fokus

Der Hauptunterschied zwischen CRA und Maschinenverordnung ist der inhaltliche Fokus.

In der Maschinenverordnung geht es um Safety bzw. funktionale Sicherheit, und damit um die Sicherheit und Gesundheit von Personen, insbesondere von Verbrauchern und professionellen Nutzern, und gegebenenfalls von Haustieren und Sachen sowie, soweit anwendbar, der Umwelt. Ihr Kern sind umfangreiche Safety-Anforderungen (Anhang III).

Im Cyber Resilience Act geht es um die Cybersicherheit von Produkten mit digitalen Elementen während ihres gesamten Lebenszyklus. Sein Kern sind umfangreiche Security-Anforderungen (Anhang I).

Umgekehrt stehen im Cyber Resilience Act stehen keinerlei Safety-Anforderungen und in der Maschinenrichtlinie (2006/42/EC) keinerlei Security-Anforderungen — so war es bisher.

Nun sind in der neuen Maschinenverordnung (2023/1230) aber doch einige Cybersecurity-Anforderungen hinzugekommen. Denn eine Gefahrenquelle für den Schutz der Gesundheit und Sicherheit von Personen kann eben neben technischem Versagen und Fehlanwendungen (wie bisher, Safety-Perspektive) auch böswillige Eingriffe Dritter (neu, Security-Perspektive) sein.

Kurz gesagt: Maschinenhersteller müssen sich für das CE-Kennzeichen nun auch damit befassen, was jemand mit böser Absicht mit der Maschine anstellen könnte, um Mensch und Umwelt Schaden zuzufügen.

Welche Cybersecurity-Anforderungen konkret zu erfüllen sind, steht in zwei Abschnitten:

Anhang III, Abs. 1.1.9 — Schutz gegen Korrumpierung:

• Anschluss an andere Systeme bzw. Fernzugriff darf nicht gefährlicher Situation führen
• Sicherheitsrelevante Software, Daten und Hardware-Bauteile, die Signale oder Daten übertragen, müssen benannt und gegen Korrumpierung geschützt werden
• Eingriffe müssen dokumentiert werden

Anhang III, Abs. 1.2.1 — Sicherheit und Zuverlässigkeit von Steuerungen:

• Steuerungen müssen vernünftigerweise vorhersehbaren böswilligen Versuchen Dritter, eine Gefährdungssituation herbeizuführen, standhalten.
• Protokolle über Eingriffe in die Sicherheitssoftware müssen 5 Jahre vorgehalten werden

Eine harmonisierte Norm (EN 50742) für die Konkretisierung dieser Anforderungen ist in Arbeit.

Risikobeurteilung

Der unterschiedliche inhaltliche Fokus erklärt auch, warum zwar für beide Verordnungen eine Risikobeurteilung durchgeführt werden muss — das aber zwei völlig unterschiedliche Prozesse sind, die unterschiedliche Methoden und Expertise erfordern.

Für die Maschinenverordnung muss eine Safety-Risikobeurteilung erfolgen (Anhang III, Abs. 1). Der Schwerpunkt liegt auf Gefährdungen, die von der Maschine und ihrer (Fehl-)benutzung ausgehen können und die zu möglichen Verletzungen oder Gesundheitsschäden führen. Eine ergänzende Security-Risikobeurteilung ist nicht explizit gefordert. Sie kann (in abgespeckter Form) trotzdem sinnvoll sein, um die “vernünftigerweise vorhersehbaren böswilligen Versuchen Dritter, eine Gefährdungssituation herbeizuführen” (s.o.) zu identifizieren und durchdenken.

Für den CRA muss eine Security-Risikobeurteilung erfolgen (Art. 13 (2) und (3) sowie Anhang I). Der Schwerpunkt liegt auf Gefährdungen, die durch möglicherweise böswilliges Eingreifen in die digitalen Elemente eines Produkts entstehen.

Wie bekomme ich die Cybersecurity-Anforderungen von CRA und Maschinenverordnung unter einen Hut?

Wenn man den Umfang der Cybersecurity-Anforderungen beider Verordnungen vergleichen möchte, ist der Cyber Resilience Act ein Supertanker und die Maschinenverordnung ein Beiboot. Es ist daher sinnvoll, die Umsetzung der Cybersecurity-Anforderungen grundsätzlich auf CRA-Konformität auszurichten und einige “Sonderlocken” zu berücksichtigen, um die Konformität mit dem Security-Teil der Maschinenverordnung ebenfalls sicherzustellen. Diese Sonderlocken werden im Folgenden dargestellt:

Dokumentation

Bei der Dokumentation der Maschine und ihres Verwendungszwecks (für den CRA ohnehin notwendig) können sicherheitsrelevante Software, Daten und Hardware-Bauteile im Sinne der Maschinenverordnung explizit als solche gekennzeichnet werden. Das erleichtert auch die spätere Risikobeurteilung.

Wenn eine Software Bill of Materials (SBOM) für die CRA-Konformität erstellt wird, können sicherheitsrelevante Softwarekomponenten zusätzlich dort gekennzeichnet werden — das ist auch eine wichtige Information für das für den CRA notwendige Schwachstellenmanagement.

Risikobeurteilung

Für den CRA muss für die Maschine eine Cybersecurity-Risikobeurteilung durchgeführt werden. Im Rahmen dieser Risikobeurteilung können explizit die Risikoszenarien betrachtet werden, deren Berücksichtigung die Maschinenverordnung fordert: Angriffe via Fernzugriff oder anderen “angeschlossenen Systemen”, Angriffe auf Steuerungen, um Gefährdungssituationen herbeizuführen und generell Angriffe, die die Korrumpierung von sicherheitsrelevanten Komponenten beinhalten.

Insgesamt empfiehlt sich — für CRA und Maschinenverordnung — in der Risikobeurteilung besonderes Augenmerk auf Szenarien zu legen, die zur Gefährdungen der Sicherheit der Maschinenbenutzer führen.

Prozesse

Im Rahmen des CRA müssen ohnehin Prozesse für die sichere Produktentwicklung (und das Schwachstellenmanagement) definiert werden. In diese Prozesse können die in der Maschinenverordnung geforderte Dokumentation für Eingriffe in Steuerungssoftware und etwaige Fernzugriffe einfließen.

Konformitätsbewertung

Theoretisch kann die Konformitätsbewertung für CRA und Maschinenverordnung durch dieselbe Konformitätsbewertungsstelle erfolgen, sofern die Bewertungsstelle für beide Verordnungen “notifiziert ist”, also Prüfungen durchführen darf.

Allerdings ist es wahrscheinlich, dass eine Maschine für CRA und Maschinenverordnung verschiedene Konformitätsbewertungsverfahren gemäß durchlaufen muss: Während für den CRA in den meisten Fällen die Selbsterklärung (Modul A) ausreichen wird, hängt das bei der Maschinenverordnung von der Art der Maschine ab.

Auch erfordert die Konformitätsbewertung für CRA und Maschinenverordnung grundlegend unterschiedliche Kompetenzen. Für die Maschinenverordnung liegt der Fokus auf Safety und funktionaler Sicherheit mit einigen ausgewählten Security-Anforderungen. Für den CRA geht es ausschließlich um Security-Anforderungen.

Praktisch ist es daher in den meisten Fällen realistischer, dass ein Produkt für CRA und Maschinenverordnung getrennte Konformitätsbewertungsverfahren durchläuft.

Weiterlesen

Weitere Informationen zum Cyber Resilience Act:

• 5-Minuten-Einführung in den CRA
• Ausführlichere Einführung in CRA und das CE-Kennzeichen
• Erklärung, wie harmonisierte Normen (hENs) entstehen
• Ausführlichere Beschreibung der wesentlichen Anforderungen des CRA
• Überblick über die globale Landschaft der Produkt-Security-Regulierungen und die Rolle des CRA darin
• Umsetzungsbeispiel für die im CRA geforderten “Informationen und Anleitungen für den Nutzer”
• Video eines Vortrags von Benjamin Bögel (EU-Kommission) zu Hintergründen des CRA (SECURITY UNTER KONTROLLE, 2024)