Maschinenverordnung (EU) 2023/1230
Maschinenverordnung 2027: Was „Schutz gegen Korrumpierung“ praktisch bedeutet
20.01.2027 · Geltungsbeginn MVO (EU) 2023/1230
Kurzantwort
Ab dem 20. Januar 2027 ersetzt die Verordnung (EU) 2023/1230 die Maschinenrichtlinie — und macht Cybersicherheit erstmals zum Bestandteil der CE-Konformität. Kern sind zwei Anforderungen aus Anhang III: „Schutz gegen Korrumpierung“ (1.1.9) und Steuerungen, die auch vorhersehbaren böswilligen Eingriffen standhalten (1.2.1). Praktisch heißt das: Cyber-Bedrohungen gehören in die Risikobeurteilung, Fernzugriffe müssen abgesichert, sicherheitsrelevante Software identifizierbar und Eingriffe protokollierbar sein.
Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · Maschinenverordnung (EU) 2023/1230
Direkt weiter zum passenden Thema
Passende Folgeberechnungen für diese Parameter-Kombination.
Was fordert Anhang III Nr. 1.1.9 konkret von meiner Maschine?
Die Anforderung „Schutz gegen Korrumpierung“ hat vier greifbare Bausteine: Der Anschluss anderer Geräte oder ein Fernzugriff darf keine gefährliche Situation erzeugen können. Sicherheitsrelevante Hardware, Software und Daten sind gegen unbeabsichtigte wie vorsätzliche Korrumpierung zu schützen. Die für den sicheren Betrieb installierte Software muss identifizierbar bleiben — man muss also jederzeit nachweisen können, welcher Software-Stand auf der Maschine läuft. Und die Maschine muss Nachweise über Eingriffe sammeln: Änderungen an sicherheitsrelevanter Software oder Konfiguration gehören protokolliert.
Ergänzend verlangt Nr. 1.2.1 für Steuerungen, dass sie den zu erwartenden Fremdeinflüssen standhalten — ausdrücklich einschließlich vernünftigerweise vorhersehbarer böswilliger Versuche Dritter, eine gefährliche Situation herbeizuführen. Die Sicherheitsfunktion darf also nicht schon am ersten manipulierten Netzwerkpaket scheitern.
Was muss ich gegenüber der alten Maschinenrichtlinie NEU machen?
Die Mechanik-Anforderungen bleiben weitgehend vertraut — neu ist die Cyber-Dimension in fünf Punkten: Erstens wandert die Bedrohungsanalyse in die Risikobeurteilung (welche Schnittstellen, welche Angriffspfade, welche Auswirkung auf Sicherheitsfunktionen). Zweitens brauchen Fernwartungszugänge ein belastbares Konzept — Authentifizierung, Verschlüsselung, Trennung vom Sicherheitskreis. Drittens muss der Software-Stand der Maschine dokumentiert und identifizierbar sein, inklusive Update-Prozess. Viertens braucht es die Eingriffs-Protokollierung. Fünftens fließt all das in die technische Dokumentation und die EU-Konformitätserklärung nach neuer Verordnung ein.
Beim Normen-Gerüst lohnt der Blick auf die entstehende prEN 50742, die genau diese MVO-Anforderungen adressiert und dabei zwei Wege zulässt — einen eigenständigen Nachweis oder die Anlehnung an die Normreihe IEC 62443. Bis zur Harmonisierung bleibt die dokumentierte Risikobeurteilung der tragende Nachweis.
Gilt das auch für unvollständige Maschinen und Sicherheitsbauteile?
Ja. Die Verordnung erfasst unvollständige Maschinen mit nahezu identischen Herstellerpflichten — und sie zählt Software, die Sicherheitsfunktionen erfüllt, jetzt ausdrücklich zu den Sicherheitsbauteilen. Ein Software-Update, das eine Sicherheitsfunktion verändert, ist damit kein Randthema mehr, sondern berührt die Konformität. Für Schaltschrank- und Steuerungsbauer, die als Zulieferer unvollständige Maschinen liefern, heißt das: Die Einbauerklärung und die Montageanleitung müssen die Cyber-Anforderungen mitdenken, damit der Endintegrator seine Konformität darauf aufbauen kann.
Wie fange ich an, ohne das Projekt zu überfrachten?
Der pragmatische Einstieg ist eine Ist-Aufnahme entlang der Tabelle unten: Schnittstellen inventarisieren, Fernwartung bewerten, Software-Stände dokumentierbar machen, Logging prüfen, Risikobeurteilung erweitern. Wer heute Maschinen entwickelt, die nach dem 20. Januar 2027 ausgeliefert werden, sollte die neue Verordnung bereits jetzt zugrunde legen — der Stichtag kennt keine Übergangsfrist, maßgeblich ist das Inverkehrbringen.
MVO-Cyber-Anforderungen → Praxis-Maßnahmen
| Anforderung (Anhang III) | Was praktisch zu tun ist |
|---|---|
| Anschluss/Fernzugriff darf keine Gefahr erzeugen (1.1.9) | Fernwartungskonzept: Authentifizierung, Verschlüsselung, Session-Freigabe, Trennung vom Sicherheitskreis |
| Schutz gegen unbeabsichtigte und vorsätzliche Korrumpierung (1.1.9) | Zugriffskontrolle auf Steuerung und Engineering-Ports; Schutz sicherheitsrelevanter Parameter |
| Sicherheitsrelevante Software identifizierbar (1.1.9) | Versionsstände dokumentieren und an der Maschine auslesbar machen; kontrollierter Update-Prozess |
| Nachweise über Eingriffe sammeln (1.1.9) | Protokollierung von Software- und Konfigurations-Änderungen (wer, wann, was) |
| Steuerung hält böswilligen Einflüssen stand (1.2.1) | Bedrohungsanalyse je Schnittstelle; Robustheit der Sicherheitsfunktionen gegen Manipulation |
| Nachweisführung für die CE-Konformität | Cyber-Risikobeurteilung in der technischen Dokumentation; Normpfad prEN 50742 bzw. IEC 62443 beobachten |
Anforderungen nach Anhang III der Verordnung (EU) 2023/1230; Maßnahmen als redaktionelle Praxis-Übersetzung — die konkrete Auslegung liefert die Risikobeurteilung des Herstellers.
Häufige Fragen
Fachliche Details zu dieser Parameter-Kombination
Braucht jede Maschine ab 2027 eine Firewall?
Reicht meine bestehende Risikobeurteilung nach EN ISO 12100?
Was ist mit Maschinen, die ich vor 2027 verkauft habe?
Ersetzt die MVO-Konformität den Cyber Resilience Act?
Quellen und Rechtstexte
- Verordnung (EU) 2023/1230 (MVO) — EUR-Lex, Volltext
- TÜV SÜD — EU-Maschinenverordnung im Überblick
- ibf — prEN 50742: Schutz gegen Korrumpierung
- IHK Nürnberg — Merkblatt EU-Maschinenverordnung (PDF)
EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.
Verwandte Berechnungen
Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.
Alle Rechner
Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.