Die nächsten zwei Jahre entscheiden für viele Maschinenbauer darüber, ob sie ihre Anlagen weiterhin in der EU verkaufen dürfen.
Mit dem Cyber Resilience Act (CRA), der neuen Maschinenverordnung (MVO 2023/1230) und der NIS2-Richtlinie treffen derzeit drei Regelwerke aufeinander. Alle verfolgen dasselbe Ziel – Sicherheit – kommen aber aus unterschiedlichen Richtungen: sichere Produkte, sichere Maschinen und resiliente Unternehmen.
Wer diese Anforderungen getrennt behandelt, landet unweigerlich in drei teuren Parallelprojekten. Unser Ansatz ist anders: Ein integrierter Prozess, drei erfüllte Regime – mit der Flexibilität, bei Bedarf nur CRA und MVO umzusetzen, falls NIS2 (noch) nicht relevant ist.
1. Drei Regelwerke, drei Blickwinkel
Um die Überschneidungen zu verstehen, müssen wir kurz auf die Kernforderungen schauen:
Cyber Resilience Act (CRA): Produktsicherheit als CE-Voraussetzung
Der CRA macht Cybersecurity zur Bedingung für das CE-Zeichen. Er betrifft jede Maschine mit digitalen Elementen.
• Technische Härtung: Schutz vor Zugriff, Secure-by-Default, Datenintegrität (Anhang I Teil I).
• Prozesse: Risikobewertung, SBOM (Software Bill of Materials) und Schwachstellenmanagement (Anhang I Teil II).
• Meldepflicht: Aktiv ausgenutzte Schwachstellen müssen binnen 24 Stunden gemeldet werden (gilt bereits ab 11.09.2026).
Maschinenverordnung (MVO): Safety needs Security
Die MVO löst die alte Maschinenrichtlinie ab und macht Security explizit zur Safety-Anforderung (Anhang III, 1.1.9).
• Kernforderung: Die Maschine muss so gebaut sein, dass ein Cyberangriff nicht zu einer physisch gefährlichen Situation führt.
• Umsetzung: Die prEN 50742 liefert hier die Methodik, um Safety-Performance-Level mit Security-Anforderungen (SRSL) zu verknüpfen.
NIS2: Resilienz auf Unternehmensebene
NIS2 schaut nicht auf das Produkt, sondern auf das Unternehmen ("Wichtige Einrichtung").
• Fokus: Risikomanagement für die gesamte IT/OT, Lieferkettensicherheit, Business Continuity und Haftung der Geschäftsleitung.
2. Der klassische Fehler | Das Denken in Silos
In vielen Unternehmen beobachten wir aktuell, dass drei getrennte Projektstränge entstehen:
1. Ein CE-/Safety-Team kümmert sich um die MVO.
2. Die Produktentwicklung arbeitet am CRA.
3. Die IT-Abteilung baut ein ISMS für NIS2 auf.
Die Folge: Dreifache Risikobewertung, drei Dokumentationswelten, widersprüchliche Begriffe und massiver Abstimmungsaufwand. Dabei fordern alle drei Regelwerke im Kern dieselben Bausteine: Risikobewertung, technische Maßnahmen, Prozesse und Meldewege.
3. Unser Ansatz | Ein Prozess, drei Nachweise
Wir drehen die Perspektive um. Statt drei Projekte zu starten, nutzen wir einen integrierten Workflow.
3.1 Der Startpunkt: Integrierte Risikobewertung
Der zentrale Hebel ist eine Bewertung nach IEC 62443-3-2, erweitert um die Safety-Aspekte der prEN 50742.
In einem Aufwasch definieren wir Assets, identifizieren Bedrohungen (z. B. via STRIDE) und bewerten Risiken. Das Ergebnis ist ein Dokument, das:
• für den CRA die Cyber-Risikobewertung liefert,
• für die MVO in die CE-Akte wandert,
• für NIS2 das "Sicherheitskonzept" abdeckt.
3.2 IEC 62443 als roter Faden
Wir nutzen die IEC 62443 als Framework, da sie von allen Regularien anerkannt wird:
• Teil 4-1: Secure Development Lifecycle (für CRA-Prozesse).
• Teil 4-2 / 3-3: Technische Anforderungen an Komponenten/Systeme.
• prEN 50742: Die Brücke zur Safety (Berechnung des Angriffspotenzials AP).
3.3 Eine Dokumentationsstruktur statt Papierberge
Wir erstellen eine integrierte Security-Dokumentation, die über Mapping-Tabellen auf die jeweiligen Gesetze verweist. So ist die SBOM gleichzeitig Basis für das CRA-Schwachstellenmanagement und Nachweis für die NIS2-Lieferkettensicherheit.
3.4 PSIRT: Ein Meldeweg für alles
Sowohl CRA als auch NIS2 fordern Meldungen an Behörden (ENISA bzw. BSI). Wir etablieren einen Prozess für Monitoring, Bewertung (CVSS) und Meldung, der beide Kanäle bedient.
4. Vorgehensmodell | Der Fahrplan
Die Zeit drängt. Unser Vorgehen orientiert sich strikt an den gesetzlichen Deadlines:
• Phase 0: Jetzt starten
Betroffenheitsanalyse, Gap-Analyse und Briefing der Geschäftsleitung.
• Phase 1: Grundlagen
Risikomanagement nach IEC 62443-3-2 aufsetzen, SBOM-Prozesse etablieren.
• Phase 2: Prozesse & Meldepflicht
PSIRT aufbauen. Stichtag 11.09.2026: Die CRA-Meldepflicht beginnt!
• Phase 3: MVO-Compliance
Aktualisierung der CE-Dokumentation. Stichtag 20.01.2027: MVO gilt vollständig.
• Phase 4: Rollout
Konformitätsbewertung aller Produkte. Stichtag 11.12.2027: CRA gilt vollständig (kein Marktzugang ohne Compliance).
5. Die Variante ohne NIS2 (Nur CRA + MVO)
Nicht jeder Maschinenbauer fällt unter NIS2 (z. B. aufgrund der Größe). CRA und MVO sind jedoch für jeden Hersteller bindend.
Für diese Fälle bieten wir eine fokussierte Variante an:
1. Produktsicherheit (CRA) als Kern: Fokus auf Produkt-Risikoanalyse und SBOM.
2. MVO-Security: Erweiterung der ISO 12100 um Security-Aspekte (Safety first).
3. NIS2-ready: Wir etablieren nur die absolut nötigen Unternehmensprozesse, halten die Struktur aber so, dass sie bei Wachstum später nahtlos zu einem NIS2-ISMS ausgebaut werden kann.
6. Fazit
CRA, MVO und NIS2 wirken auf den ersten Blick wie eine Überregulierung. Wer sie jedoch integriert angeht, schafft nicht nur Compliance, sondern eine robuste Struktur, die bei Kunden und Versicherern Vertrauen schafft.
Der wichtigste Rat: Warten Sie nicht. Wer jetzt startet, hat 18-24 Monate Zeit für eine saubere Umsetzung ohne Panik.
Wollen Sie prüfen, wo Sie bei der Integration von CRA und MVO stehen? Lassen Sie uns über Ihre aktuelle Risikobewertung sprechen.
Unser Ingenieurbüro Neopex steht Ihnen gerne rund um die Themen CE-Kennzeichnung, Funktionale Sicherheit, Konformitätsverfahren und ganzheitliche Sicherheitsschutzkonzepte zur Seite. Kontaktieren Sie uns gerne unter: info@neopex.de oder telefonisch unter +49 821 650 605 55.
Jetzt Kontakt aufnehmen
