Unternehmen
Leistungen
Produktdokumentation SCHEMA ST4 Schulungen für SCHEMA ST4 Informationsmanagement Konformitätsbewertung Ersatzteilkataloge Lokalisierung & Übersetzung Karriere News Projekt anfragen
Fachartikel · Regulatorik · Engineering

Maschinenverordnung und Cyber Resilience Act: Warum Engineering jetzt neue Kompetenzen braucht.

Mit der EU-Maschinenverordnung (ab 20. Januar 2027) und dem Cyber Resilience Act (Kernpflichten ab 11. Dezember 2027) treten zwei Rechtsakte in Kraft, deren Anforderungen über das hinausgehen, was viele Engineering-Organisationen heute abdecken.

Stand: Juni 2026 Lesezeit: ca. 7 Minuten KAMRADT Solutions

Die regulatorische Landschaft für sicherheitskritische Produkte verschiebt sich grundlegend. Mit der EU-Maschinenverordnung (EU) 2023/1230 und dem Cyber Resilience Act (EU) 2024/2847 treten zwei Rechtsakte in Kraft, deren Anforderungen über das hinausgehen, was viele Engineering-Organisationen heute methodisch und personell abdecken können.

Was sich ändert

Die Maschinenverordnung löst die Maschinenrichtlinie 2006/42/EG ab und integriert erstmals Cybersicherheitsanforderungen verbindlich in die Konformitätsbewertung für Maschinen. Wesentliche Veränderungen am Produkt — einschließlich softwareseitiger Updates — können künftig eine erneute Bewertung auslösen. Auch KI-gestützte Sicherheitsfunktionen werden ausdrücklich erfasst.

Der Cyber Resilience Act adressiert sämtliche Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Hersteller müssen Sicherheit über den gesamten Produktlebenszyklus gewährleisten, Schwachstellen aktiv handhaben und nachweisen, dass sie nach dem Stand der Technik entwickeln.

EU 2023/1230

EU-Maschinenverordnung

Löst die Maschinenrichtlinie 2006/42/EG ab. Cybersicherheit wird verbindlicher Teil der Konformitätsbewertung; wesentliche Veränderungen und KI-Sicherheitsfunktionen werden erfasst.

EU 2024/2847

Cyber Resilience Act

Gilt für alle Produkte mit digitalen Elementen. Sicherheit über den gesamten Lebenszyklus, aktives Schwachstellenmanagement und Entwicklung nach dem Stand der Technik.

11. September 2026
Die Pflichten zur Schwachstellenbehandlung nach dem Cyber Resilience Act greifen.
20. Januar 2027
Die EU-Maschinenverordnung (EU) 2023/1230 gilt verbindlich.
11. Dezember 2027
Die Kernpflichten des Cyber Resilience Act greifen.

Beide Verordnungen teilen eine grundlegende Annahme: Safety und Security lassen sich nicht länger getrennt denken. Genau hier entsteht der Kompetenzdruck.

Wo Engineering-Organisationen heute an Grenzen stoßen

In vielen Unternehmen sitzen funktionale Sicherheit und IT-/OT-Security in unterschiedlichen Linien — mit unterschiedlichen Methoden, Standards und Sprachen. Die neuen Verordnungen verlangen eine integrierte Risikobetrachtung über die gesamte Lebensdauer. Das berührt drei Ebenen:

Methodisch

Neue Analysemethoden

Klassische Gefährdungsanalysen reichen nicht mehr aus. Threat Modeling, Security Cases und gekoppelte Safety-Security-Risikoanalysen werden feste Bestandteile der technischen Dokumentation.

Normativ

Standards integrieren

IEC 62443 (industrielle Cybersicherheit), ISO/SAE 21434 (Automotive) und die kommenden harmonisierten Normen müssen in Engineering- und Dokumentationsprozesse einfließen. Für den CRA ist derzeit noch keine harmonisierte Norm zitiert — der Stand der Technik muss eigenständig argumentiert werden.

Organisatorisch

Konformität als Daueraufgabe

Konformität ist keine punktuelle Leistung am Tag des Inverkehrbringens mehr, sondern eine fortlaufende Verpflichtung — mit Prozessen für Vulnerability Handling, Post-Market Surveillance und kontrollierte Produktänderungen.

Welche Kompetenzen jetzt aufgebaut werden

Aus unserer Beobachtung sind drei Felder besonders unterversorgt:

Was das für Hersteller bedeutet

Wer Maschinen, Anlagen oder Produkte mit digitalen Elementen in den europäischen Markt bringt, hat weniger Zeit, als die Übergangsfristen suggerieren. Engineering-Kompetenz im neuen Sinne entsteht nicht in Monaten — sie verlangt Personalentwicklung, Methodenarbeit, Werkzeuge und in den meisten Fällen externes Sparring.

Unsere Rolle

KAMRADT Solutions begleitet Hersteller in der Bahnindustrie und angrenzenden sicherheitskritischen Branchen an genau dieser Schnittstelle: bei der Konzeption tragfähiger Konformitätsstrategien, beim Aufbau interner Kompetenz und bei der dokumentarischen Umsetzung.

Wir verstehen sowohl die regulatorische Logik als auch die technische Tiefe — und übersetzen zwischen beidem. Mehr dazu unter Konformitätsbewertung und im Beitrag Cybersecurity-Dokumentation im Bahnsektor.

Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Angaben zu Fristen und Normen nach aktuellem Stand (Juni 2026); nationale Umsetzungen können abweichen.

Beratung

Fragen zu MaschVO, CRA und Konformität?

Wir begleiten Hersteller bei tragfähigen Konformitätsstrategien, beim Aufbau interner Kompetenz und bei der dokumentarischen Umsetzung — an der Schnittstelle von Safety, Security und technischer Dokumentation.

Oder rufen Sie uns gerne persönlich an: +49 (0) 23 81 - 33917-0

Unverbindlich. Direkt. Persönlich.

Beratung anfragen