Mit der EU-Maschinenverordnung (ab 20. Januar 2027) und dem Cyber Resilience Act (Kernpflichten ab 11. Dezember 2027) treten zwei Rechtsakte in Kraft, deren Anforderungen über das hinausgehen, was viele Engineering-Organisationen heute abdecken.
Die regulatorische Landschaft für sicherheitskritische Produkte verschiebt sich grundlegend. Mit der EU-Maschinenverordnung (EU) 2023/1230 und dem Cyber Resilience Act (EU) 2024/2847 treten zwei Rechtsakte in Kraft, deren Anforderungen über das hinausgehen, was viele Engineering-Organisationen heute methodisch und personell abdecken können.
Die Maschinenverordnung löst die Maschinenrichtlinie 2006/42/EG ab und integriert erstmals Cybersicherheitsanforderungen verbindlich in die Konformitätsbewertung für Maschinen. Wesentliche Veränderungen am Produkt — einschließlich softwareseitiger Updates — können künftig eine erneute Bewertung auslösen. Auch KI-gestützte Sicherheitsfunktionen werden ausdrücklich erfasst.
Der Cyber Resilience Act adressiert sämtliche Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Hersteller müssen Sicherheit über den gesamten Produktlebenszyklus gewährleisten, Schwachstellen aktiv handhaben und nachweisen, dass sie nach dem Stand der Technik entwickeln.
Löst die Maschinenrichtlinie 2006/42/EG ab. Cybersicherheit wird verbindlicher Teil der Konformitätsbewertung; wesentliche Veränderungen und KI-Sicherheitsfunktionen werden erfasst.
Gilt für alle Produkte mit digitalen Elementen. Sicherheit über den gesamten Lebenszyklus, aktives Schwachstellenmanagement und Entwicklung nach dem Stand der Technik.
Beide Verordnungen teilen eine grundlegende Annahme: Safety und Security lassen sich nicht länger getrennt denken. Genau hier entsteht der Kompetenzdruck.
In vielen Unternehmen sitzen funktionale Sicherheit und IT-/OT-Security in unterschiedlichen Linien — mit unterschiedlichen Methoden, Standards und Sprachen. Die neuen Verordnungen verlangen eine integrierte Risikobetrachtung über die gesamte Lebensdauer. Das berührt drei Ebenen:
Klassische Gefährdungsanalysen reichen nicht mehr aus. Threat Modeling, Security Cases und gekoppelte Safety-Security-Risikoanalysen werden feste Bestandteile der technischen Dokumentation.
IEC 62443 (industrielle Cybersicherheit), ISO/SAE 21434 (Automotive) und die kommenden harmonisierten Normen müssen in Engineering- und Dokumentationsprozesse einfließen. Für den CRA ist derzeit noch keine harmonisierte Norm zitiert — der Stand der Technik muss eigenständig argumentiert werden.
Konformität ist keine punktuelle Leistung am Tag des Inverkehrbringens mehr, sondern eine fortlaufende Verpflichtung — mit Prozessen für Vulnerability Handling, Post-Market Surveillance und kontrollierte Produktänderungen.
Aus unserer Beobachtung sind drei Felder besonders unterversorgt:
Wer Maschinen, Anlagen oder Produkte mit digitalen Elementen in den europäischen Markt bringt, hat weniger Zeit, als die Übergangsfristen suggerieren. Engineering-Kompetenz im neuen Sinne entsteht nicht in Monaten — sie verlangt Personalentwicklung, Methodenarbeit, Werkzeuge und in den meisten Fällen externes Sparring.
KAMRADT Solutions begleitet Hersteller in der Bahnindustrie und angrenzenden sicherheitskritischen Branchen an genau dieser Schnittstelle: bei der Konzeption tragfähiger Konformitätsstrategien, beim Aufbau interner Kompetenz und bei der dokumentarischen Umsetzung.
Wir verstehen sowohl die regulatorische Logik als auch die technische Tiefe — und übersetzen zwischen beidem. Mehr dazu unter Konformitätsbewertung und im Beitrag Cybersecurity-Dokumentation im Bahnsektor.
Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Angaben zu Fristen und Normen nach aktuellem Stand (Juni 2026); nationale Umsetzungen können abweichen.
Wir begleiten Hersteller bei tragfähigen Konformitätsstrategien, beim Aufbau interner Kompetenz und bei der dokumentarischen Umsetzung — an der Schnittstelle von Safety, Security und technischer Dokumentation.
Oder rufen Sie uns gerne persönlich an: +49 (0) 23 81 - 33917-0