Für den Maschinen- und Anlagenbau wurden in den Jahren 2023/2024 mehrere Gesetzesvorhaben mit weitreichenden Konsequenzen auf den Weg gebracht und umgesetzt auf die sich Hersteller von Ma-schinen teilweise schon jetzt bzw. in den nächsten Jahren einstellen müssen.
Im Mittelpunkt stehen Regelungen mit Blick auf die ständige Weiterentwicklung der Digitalisierung in Bezug auf die Datensicherheit und -nutzung, die Autonomie und die Vernetzung von Maschinen aber auch Aspekte der Sorgfalt in der Lieferkette und Gesundheitsanforderungen für die Bediener von Maschinen.
1. Maschinenverordnung (2023/1230/EU)
1.1 Geltung
Die Maschinenverordnung wurde am 29.06.2023 im Amtsblatt der EU veröffentlicht und wird nach einer Übergangszeit von 42 Monaten am 20.01.2027 in Kraft treten. Ausschlaggebend für die Anwendung der neuen Maschinenverordnung ist das Datum des erstmaligen Inverkehrbringens der Maschine in der EU. Geschieht dies vor dem 20.01.2027, unterliegt die Maschine formal noch der bisherigen Maschinenrichtlinie (2006/427EG).
Die Maschinenverordnung gilt vollumfänglich und unmittelbar in jedem Mitgliedstaat der EU als geltendes Recht. Sie bedarf keiner weiteren Umsetzung in nationales Recht.
1.2 Anwendungsbereich
Während sich die Maschinenrichtlinie noch vorrangig nur an die Hersteller gerichtet hatte, gilt die Maschinenverordnung für alle Wirtschaftsakteure, die an der Herstellung und Bereitstellung einer Maschine in der EU beteiligt sind. Das umfasst neben den Herstellern auch Händler, Importeure, Vermieter und Betreiber von Anlagen sowie alle, die an bestehenden Maschinen wesentliche Änderungen vor-nehmen.
Sie gilt für vollständige und unvollständige Maschine sowie dazugehörige Produkte (Art. 2 Abs. 1). Letztere sind auswechselbare Einrichtungen, Sicherheitsbauteile, Lastaufnahmemittel, Ketten, Seile, Gurte sowie abnehmbare Gelenkwellen.
Der Begriff „Sicherheitsbauteile“ umfasst nach der Maschinenverordnung künftig auch Software und digitale Bauteile.
1.3 Neue Regelungsgegenstände
Die Maschinenverordnung erfasst neue Risiken im Zusammenhang mit digitalen Technologien, etwa selbstlernende Systeme und die Zusammenarbeit von „Mensch und Maschine“.
Bei den Regelungen der Maschinenverordnung geht es zunächst darum, die Sicherheit von Maschinen zu gewährleisten. Dazu werden die Anforderungen an die Entwicklung, Konstruktion, Herstellung und Konformitätsbewertung geregelt.
Hersteller von Maschinen müssen nach der Maschinenverordnung weiter Vorkehrungen gegen Risiken treffen, die sich aus Cyberangriffen und ähnlichen kriminellen Handlungen ergeben und ebenso die Maschinensicherheit betreffen können. Es dürfen etwa durch den Anschluss oder die Kommunikation mit anderen Einrichtungen keine gefährlichen Situationen entstehen. Sicherheitsrelevante Software und Daten müssen gegen Verfälschung geschützt werden. Ferner muss die Maschine Beweise für Eingriffe in die Software oder deren Veränderung sammeln.
Die Maschinenverordnung präzisiert dazu die Anforderungen für die Sicherheit und Zuverlässigkeit von Maschinen-Steuerungen im Zusammenhang mit Software (Anhang III). So dürfen etwa Sicherheitsfunktionen nicht über die vom Hersteller in der Risikobeurteilung festgelegten Grenzen hinaus verändert werden. Ferner müssen Daten über sicherheitsrelevante Entscheidungsprozesse aufgezeichnet werden. Steuerungssystem für autonome Maschinen müssen sicherstellen, dass die Maschine keine Handlungen ausführt, die über die festgelegten Aufgaben und Bewegungsbereiche hinaus-gehen. Und bei drahtlosen Steuerungen darf ein Ausfall der Kommunikation oder Verbindung nicht zu einer Gefährdungssituation führen.
Hardware-Bauteile für die Übertragung von Signalen und Daten, die für den Anschluss oder den Zu-griff auf die Maschinensoftware und die Maschinensicherheit relevant sind, müssen so konstruiert sein, dass sie gegen unbeabsichtigte oder vorsätzliche Cyberangriffe geschützt sind. Die Maschine muss Eingriffe in diese Hardware-Bauteile beweisen und dokumentieren können.
Hersteller von Maschinen müssen ihre Entwicklungsprozesse auf die neuen Anforderungen der Maschinenverordnung zur Cybersicherheit anpassen und zusätzliches Fachwissen im Bereich Cybersicherheit in ihre Prozesse implementieren. Sie müssen insbesondere:
– Risikoanalysen auch für Aspekte der Cybersicherheit durchführen;
– die implementierten Cybersicherheitsmaßnahmen umfänglich dokumentieren und fortdauernd kontrollieren;
– regelmäßig Sicherheitsupdates entwickeln und ihren Kunden zur Verfügung stellen;
– das Bedienpersonal ihrer Kunden auch für die Aspekte der Cybersicherheit schulen.
Beim Gesundheitsschutz für Mitarbeiter wurden mit der Maschinenverordnung insbesondere die Anforderungen zur Ergonomie um Aspekte der Mensch-Maschine-Interaktion erweitert. Bei bestimmungsgemäßer Verwendung müssen negative Auswirkung auf Belästigung, Ermüdung sowie körperliche und psychische Fehlbeanspruchung auf das mögliche Mindestmaß reduziert werden. Die Maschine muss den Bedienern in verständlicher Weise mitteilen was sie tun wird und warum.
Für Hochrisikomaschinen – Maschinen und dazugehörige Produkte, von denen unter Berücksichtigung ihrer Konstruktion und des Verwendungszwecks ein Risiko für die menschliche Gesundheit aus-geht (vgl. Anlage I der EU-Maschinenverordnung) – ändert die Maschinenverordnung das Konformitätsbewertungsverfahren und stellt an die Hersteller zusätzliche Anforderungen. Maschinen mit erhöhtem Sicherheitsrisiko müssen detaillierter bewertet und während ihrer Lebensdauer stärker überwacht und kontrolliert werden.
Bei Maschinen mit sich selbst entwickelndem Verhalten müssen nach der EU-Maschinenverordnung in die Risikobewertung all jene Risiken einbezogen werden, die nach deren Inverkehrbringung auf Grund dieser Verhaltensweisen und aus Wechselwirkungen mit anderen Maschinen eintreten können. Mit den neuen Anforderungen an Maschinen mit Mensch-Maschine-Interaktion können dabei neue Gefährdungen für die Risikobeurteilung relevant werden, die bislang noch nicht in der Gefährdungsbeurteilung der Sicherheitsgrundnorm EN ISO 12100:2010 zur Risikobeurteilung berücksichtigt sind.
Künftig muss auch der Hersteller einer unvollständigen Maschine eine Risikobeurteilung zur Ermittlung der Sicherheits- und Gesundheitsanforderungen durchführen. Er muss künftig auch seinen Na-men, die Bezeichnung der unvollständigen Maschine, das Herstellungsjahr und einige weiter Angaben an der Maschine sichtbar anbringen.
Die Maschinenverordnung regelt für Hersteller zudem ausdrückliche Nachmarktpflichten. Hersteller müssen bei Sicherheitsproblemen unverzüglich erforderliche Korrekturmaßnahmen ergreifen. In be-stimmten Fällen müssen die nationalen Marktaufsichtsbehörden unverzüglich unterrichten oder Maschinen zurückrufen werden.
Die papierbasierten Dokumentationsanforderungen werden mit der Maschinenverordnung infolge der Digitalisierung durch den Einsatz von elektronischen Dokumenten verringert. EU-Konformitäts- und Einbauerklärungen wie auch Betriebsanleitungen und die technischen Unterlagen können künftig in bestimmter Art und Weise digital zur Verfügung gestellt werden. Die Angabe des Zugangs zur digitalen Betriebsanleitung hat dazu zwingend auf der Maschine leicht zugänglich und erkennbar zu erfolgen.
1.5 Ausblick
Die Wirtschaftsakteure müssen sich schon jetzt auf die neuen Regelungen der Maschinenverordnung vorbereiten. Insbesondere Hersteller müssen sicherstellen, dass die Maschinen, deren Entwicklung und ihre Konformitätsbewertungen die neuen Anforderungen ab dem 20.01.2027 erfüllen. Bis zu diesem Zeitpunkt gilt die bisherige Maschinenrichtlinie (2006/42/EG) parallel weiter.
Bis dahin können die Hersteller schon jetzt die neuen Anforderungen der neuen Maschinenverordnung berücksichtigen und eine kombinierte EG-/EU-Konformitätserklärung nach der Maschinenrichtlinie 2006/42/EG und der neuen Maschinenverordnung 2023/1230/EU ausstellen.
Die neue Maschinenverordnung setzt verbindliche Cybersicherheitsstandards für Maschine und zugehörige Produkte um. Sie zielt darauf ab, die Sicherheit einer zunehmend vernetzten Produktionsumgebung mit einheitlichen Standards zu gewährleisten.
2. EU Data Act – 2023/2854/EU
Am 11.01.2024 ist die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung – EU Data Act (2023/2854/EU) – in Kraft getreten. Der EU Data Act lässt weit-reichende Folgen für den Maschinenbau erwarten.
Der EU Data Act will die Chancen der effektiven Datennutzung maximieren und potentielle Risiken im Zusammenhang mit der Datenkontrolle minimieren. Besonders im Fokus stehen dabei Produkte, wie Haushaltsgeräte, Fahrzeuge und Maschinen. Die EU will mit dem EU Data Act den Zugang zu Daten erleichtern und Klarheit bei Zugriffs- und Nutzungsrechten schaffen.
Der EU Data Act soll sicherstellen, dass derjenige, der durch die Nutzung von vernetzten Maschinen Daten erzeugt, zu diesen Zugang erhalten bzw. deren Weitergabe an Dritte veranlassen können soll.
2.1 Anwendungsbereich
Erfasst werden vom EU Data Act alle Daten, personenbezogene wie auch nicht-personenbezogene Daten, die bei der Nutzung vernetzter Produkte, Maschinen und verbundener Dienste entstehen.
Es werden künftig die folgenden drei Akteure erfasst:
Der Nutzer – er ist eine Person, die ein vernetztes Produkt verwendet oder den verbundenen Dienst für das vernetzte Produkt in Anspruch nimmt und dabei Daten generiert.
Der Dateninhaber – er ist derjenige, der berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die abgerufen oder generiert werden. Es wird dabei auch auf Produktdaten abzustellen sein. Dateninhaber soll nach vorherrschender Auffassung derjenige sein, der technisch in rechtmäßiger Weise die faktische Möglichkeit hat, auf den entsprechenden Datenbestand zuzugreifen (sog. faktische Datenherrschaft).
Der Datenempfänger – er ist jede gewerblich tätige Person, die – ohne Hersteller und Nutzer des vernetzten Produkts oder verbundenen Dienstes zu sein – dem Dateninhaber Daten bereitstellen muss.
2.2 Datenbereitstellung /-nutzung
Der Dateninhaber muss die vernetzten Produkte so konzipieren und herstellen, dass die Daten dem Nutzer einfach, sicher, unentgeltlich und in maschinen-lesbarem Format zugänglich sind. Dies gilt eingeschränkt nur, wenn die Zugänglichmachung relevant und technisch durchführbar ist.
Ist dem Nutzer der direkte Zugang zu den Daten nicht möglich, so hat er einen Datenzugangsanspruch auf die verfügbaren daten, einschließlich der zur Auslegung und Nutzung erforderlichen Meta-daten. Der Dateninhaber kann den Datenzugang jedoch wegen Sicherheitsanforderungen des Produkts begrenzen oder im Ausnahmefall gänzlich verweigern, wenn er nachweisen kann, dass ihm anderenfalls ein schwerer wirtschaftlicher Schaden entsteht.
Der Nutzer darf die bereitgestellten Daten nicht zur Entwicklung eines vernetzten Produkts nutzen, das mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht. Auch darf der Nutzer den Hersteller oder Dateninhaber mithilfe der bereitgestellten Daten nicht ausspähen.
Der Dateninhaber wiederrum darf nicht-personenbezogene Daten eines vernetzten Produkts nur bei entsprechender Vereinbarung mit dem Nutzer des vernetzten Produkts verwenden. Er darf zudem nicht-personenbezogene Produktdaten nicht an Dritte weitergeben, wenn dies nicht zur Erfüllung ihres Vertrags mit dem Nutzer erfolgt.
2.3 Vorvertragliche Informationspflicht
Vor Vertragsschluss müssen Hersteller, Händler oder Vermieter eines vernetzten Produkts dem Nutzer detaillierte Informationen in Bezug auf Art und Umfang der Daten, deren Speicherung und Modalitäten des Zugriffs bereitstellen.
2.4 Bereitstellungsansprüche Dritter
Der Dateninhaber wie auch Nutzer vernetzter Produkte dürfen mit Dritten Vereinbarungen schließen, nach denen diese Dritten zu einem bestimmten Zweck Zugang zu den verfügbaren Daten und einen dahingehenden Bereitstellungsanspruch erhalten.
Geschäftsmodelle, die auf einer gewissen Exklusivität im Datenzugriff beruhen, werden durch den EU Data Act möglicherweise in Frage gestellt. Davon betroffene Dateninhaber müssen ihr Geschäftsmodell und die zu Grunde liegenden Vertragswerke anpassen. Hierzu empfiehlt sich die Aufnahme eines Datennutzungsvertrages, die auch die Befugnis zur Nutzung der Daten sicherstellen sollen.
2.5 Sanktionen
Der Verstoß gegen die Anforderungen des EU Data Act soll sanktioniert werden. Welche Sanktionen für welche Verstöße zu erwarten sind, werden die Mitgliedstaaten bis zum 12.09.2025 noch bestim-men.
3. Lieferkettensorgfaltspflichten
3.1 Lieferkettensorgfaltspflichtgesetz
Am 1. Januar 2023 ist für Deutschland das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz – Abk. LkSG) in Kraft getreten. Damit wird die Verantwortung deutscher Unternehmen – seit 2024 mit mindestens 1.000 Mitarbeitern – für die Einhaltung von Menschenrechten und den Schutz der Umwelt in globalen Lieferketten verbindlich geregelt.
Dafür müssen alle Unternehmen mit Sitz oder Zweigniederlassung in Deutschland ein Risikomanagementsystem einrichten, um diese Risiken zu identifizieren, zu bewerten, und zu priorisieren. Unternehmen mit Sitz oder Zweiniederlassung in Deutschland müssen dazu die Teile ihrer Produktions- und Lieferkette bewerten, die mögliche menschenrechtliche und umweltbezogene Risiken bergen. Dazu zählen auch die Geschäftsbereiche der Zulieferer und wiederum deren Zulieferer.
Aufbauend auf den Ergebnissen ist von den Unternehmen eine Grundsatzerklärung zu veröffentlichen. Darin müssen die für das Unternehmen festgestellten, umweltbezogenen und menschenrechtlichen Risiken benannt werden. Daraus sind Maßnahmen zur Prävention und Abhilfe abzuleiten und geeignete Beschwerdeverfahren zu beschreiben. In der Grundsatzerklärung sind ferner die Erwartungen an die eigenen Beschäftigten und Lieferanten in der Lieferkette zu formulieren. Verantwortlich für die Abfassung und Zeichnung der Grundsatzerklärung ist die Unternehmensleitung.
Zu den Feststellungen der Risikobewertung sind Maßnahmen zu ergreifen, um Verstöße gegen Menschenrechte oder Schädigungen der Umwelt zu vermeiden bzw. zu minimieren. Dies erfolgt üblicherweise etwa durch die Vereinbarung vertraglicher Menschenrechtsklauseln und bestimmter Umweltstandards mit den direkten Vertragspartnern, die Einführung geeigneter Beschaffungsstrukturen, die Durchführung von Schulungen der zuständigen Mitarbeiter und regelmäßige Kontrollmaßnahmen bei den Vertragspartnern etwa durch Audits.
Auch die Umstände bei mittelbaren Zulieferern müssen ebenfalls berücksichtigt, bewertet und angegangen werden, wenn Anhaltspunkte für mögliche Menschenrechts- oder Umweltverletzungen bestehen. Dies ergibt sich mitunter aus der Beschaffenheit ihrer Waren sowie der Herkunftsländer ihrer Rohstoffe und Vorlieferanten, durch Hinweise der Behörden, durch Berichte über eine schlechte Menschenrechtslage in der Produktionsregion oder aufgrund der Zugehörigkeit eines mittelbaren Zulieferers zu einer Branche mit besonderen menschenrechtlichen Risiken.
Zu den weiteren Pflichten gehört die Einrichtung eines Beschwerdemanagementsystems mit für jedermann zugänglichen Kommunikationskanälen für die betroffenen Menschen in der Lieferkette und einer regelmäßigen Berichterstattung. Dazu muss dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) jährlich ein Bericht spätestens 4 Monate nach Ende des Geschäftsjahres vorgelegt werden, der nachvollziehbar Auskunft über die Ergebnisse der Risikoanalyse, die Feststellungen und danach getroffene Maßnahmen gibt. Der Bericht ist auf der Unternehmenswebsite öffentlich zugänglich zu machen und muss dort für 7 Jahre verfügbar sein.
Erfüllt ein Vertragspartner den gesetzlichen und dazu vertraglich vereinbarten Anforderungen nicht, muss dies Konsequenzen für die Geschäftsbeziehung haben. Vertraglich lassen sich für Verstöße der Vertragspartner Vertragsstrafen regeln. Möglich ist auch eine Aussetzung der Lieferbeziehung, wobei die Beendigung der Geschäftsbeziehung nur als letztes Mittel angewendet werden soll und muss. Zweck des LkSG ist es gerade nicht, dass sich Unternehmen aus Lieferbeziehungen bei Schwierigkeiten zurückziehen, denn hierdurch werden festgestellte Risiken grundsätzlich nicht beseitigt und entstehen vielmehr weitere Risiken für die dort beschäftigten Mitarbeiter und das Umfeld. Vielmehr sollen die Unternehmen bestrebt sein ihre Vertragspartner zu befähigen die Anforderungen des LkSG zu erfüllen und geeignete Maßnahmen zur Wahrung der Menschenrechte und geltender Umweltstandards einzuführen.
Mit Ausnahme möglicher Zwangs- und Bußgelder begründet eine Verletzung der nach dem LkSG geschaffenen Sorgfaltspflichten keine zivilrechtliche Haftung, auch nicht für Verstöße dagegen durch Vertragspartner und deren Zulieferer.
3.2 Lieferkettenrichtlinie (2024/1760/EU)
Die Europäische Union hat am 13.06.2024 eine EU-weite „Lieferkettenrichtlinie“ verabschiedet. Diese wurde am 05.07.2024 im Amtsblatt der EU veröffentlich ist und 20 Tage danach am 25.07.2024 in Kraft getreten.
Nach Inkrafttreten vom 25.07.2024 haben die Mitgliedsstaaten der EU nunmehr zwei Jahre Zeit, die Vorgaben der Richtlinie in nationales Recht umzusetzen. Dazu sieht die Richtlinie sieht ein gestaffeltes Inkrafttreten in 3 Phasen vor. Für EU-Unternehmen mit mehr als 5.000 Beschäftigten und über 1,5 Milliarden Euro Netto-Jahresumsatz sowie ausländische Unter-nehmen mit einem entsprechenden Umsatz gilt die Richtlinie bereits drei Jahre nach ihrem In-krafttreten (2027). Vier Jahre nach Inkrafttreten (2028) gilt sie für EU-Unternehmen mit mehr als 3.000 Beschäftigten und über 900 Millionen Euro Netto-Jahresumsatz oder ausländische Un-ternehmen mit einem entsprechenden Umsatz. Nach fünf Jahren (2029) gilt die Richtlinie dann auch für EU-Unternehmen, die mehr als 1.000 Beschäftigte und einen jährlichen Nettoumsatz von mehr als 450 Millionen Euro haben; für ausländische Unternehmen, wenn diese mehr als 450 Millionen Euro Nettoumsatz in der Europäischen Union generiert haben.
Die Richtlinie – auch Corporate Sustainability Due Diligence Directive oder abgekürzt schlicht CSDDD genannt – sieht vor, dass betroffene Unternehmen künftig bestimmte menschenrechtliche und umweltbezogene Risiken in ihren Wertschöpfungsketten, d.h. auch aus den Geschäfts-bereichen ihrer Tochterunternehmen und Geschäftspartner ermitteln, dazu Präventions- und Ab-hilfemaßnahmen ergreifen und darüber berichten. Insbesondere davon betroffen sind die Bereiche der Produktentwicklung, Rohstoffabbau, -verarbeitung und -transport sowie die Lieferung und Lagerung von Produkten und deren Bestandteilen.
Die Lieferkettenrichtlinie baut im Wesentlichen auf den Regelungen zum deutschen Lieferkettensorgfaltspflichtengesetz (LkSG) auf und enthält im Bereich der Umwelt einige Besonderheiten. Dazu werden zum einen die umweltbezogenen Sorgfaltspflichten unter Bezugnahme auf bestimmte Pflichten aus internationalen Umweltabkommen erweitert so etwa bezüglich
• der Herstellung, Einfuhr und Ausfuhr von mit Quecksilber versetzten Produkten
• der Produktion, Verwendung und Behandlung bestimmter Chemikalien und ihrer Abfälle nach dem Stockholmer Übereinkommen über persistente organische Stoffe
• der Ein- und Ausfuhr gefährlicher und anderer Abfälle nach dem Basler Übereinkommen.
Ergänzend aufgenommen wurden chemikalienbezogene Pflichten sowie solche zum Schutz der biologischen Vielfalt, von gefährdeten Arten, besonders geschützten Gebieten und der Meere. Auch hierzu erfolgen Verweise auf internationale Umweltabkommen wie etwa
• des Biodiversitätsschutzes aus dem Übereinkommen über biologische Vielfalt
• der Ein- und Ausfuhr von Chemikalien nach dem Rotterdamer Übereinkommen
• der Produktion, des Verbrauchs und der Ein- und Ausfuhr geregelter Stoffe aus dem der Wiener Konvention zum Schutz der Ozonschicht beigefügten Montrealer Protokoll
• der Verschmutzung der Meeresumwelt durch Einbringen aus dem Seerechtsübereinkommen der Vereinten Nationen.
Darüber hinaus sollen Unternehmen nach der Richtlinie dazu verpflichtet werden, einen Plan zur Minderung ihres Einflusses auf den Klimawandel aufzustellen und umzusetzen. Damit sollen sie sicherstellen, alles ihnen Mögliche zu tun, damit ihre Geschäftstätigkeit und ihre Unternehmensstrategie mit dem Übergang zu einer nachhaltigen Wirtschaft und der Begrenzung der Erderwärmung auf 1,5°C gemäß dem Pariser Übereinkommen sowie dem europäischen Klimaneutralitätsziel vereinbar sind.
Auch in Bezug auf die Ausgestaltung der Sorgfaltspflichten und die zivilrechtliche Haftung enthält die Richtlinie Veränderungen gegenüber dem LkSG. Zudem wird den staatlich zuständigen Behörden die Befugnis zugesprochen, Ermittlungen anzustellen, Inspektionen durchzuführen, Anord-nungen zu treffen und bei Verstößen gegen die Sorgfaltspflichten Bußgelder zu verhängen, mit einem Höchstrahmen von 5 % des Netto-Jahresumsatzes.
4. Cyber Resilience Act – Cyberresilienz-Verordnung (2024/2847/EU)
4.1 Inkrafttreten und Geltungszeitpunkt
Die Cyberresilienz-Verordnung (Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen) ist am 10. Dezember 2024 in Kraft getreten. Die wichtigsten Regelungen gelten ab dem 11. Dezember 2027.
4.2 Ziele und Allgemeine Anforderungen
Um Unternehmen und Verbraucher angesichts der weltweit erhebliche angestiegene Cyberkriminalität bessern schützen zu können, werden mit dem Cyber Resilience Act für die EU einheitliche Cybersicherheits-Standards eingeführt.
Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausnahmen wie bestimmte quelloffene Software- oder Dienstleistungsprodukte, die bereits unter bestehende Vorschriften fallen, was für Medizinprodukte, Luftfahrt und Autos der Fall ist. Sie gilt neben der neuen Maschinenverordnung für Maschinen.
Die neuen Vorschriften werden die Verantwortung gegenüber den Herstellern von Maschinen neu aus-balancieren, die sicherstellen müssen, dass ihre Produkte mit digitalen Elementen den Cybersicherheitsstandards für den EU-Markt entsprechen. Der Cyber Resilience Act stellt besondere Anforderungen an die Cybersicherheit solcher Produkte und verpflichtet Hersteller dazu, mögliche Sicherheitslücken über die Gesamtlebensdauer des Produktes zu schließen und bei Auftreten von Schwachstellen kostenfreie Sicherheitsupdates zur Verfügung zu stellen.
4.3 Hardware und Software
Die Verordnung erfasst sowohl in Hardware integrierte Software als auch Stand-Alone-Software. Cloud-Lösungen unterfallen der Verordnung nur dann, wenn sie als sog. Datenfernverarbeitungslösungen einzuordnen sind. Das umfasst entfernt stattfindende Datenverarbeitungen, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die die Maschine mit digitalen Elementen eine seiner Funktionen nicht erfüllen kann.
4.4 Besondere Cybersicherheitsanforderungen
Hersteller müssen sicherstellen, dass ihre Produkte mit digitalen Elementen nach den geregelten Cybersicherheitsanforderungen konzipiert, entwickelt und hergestellt sind.
Dies setzt insbesondere Folgendes voraus
– keine Schwachstellen und Sicherheits-Updates zu deren Behebung;
– standardmäßige sichere Konfiguration verfügen, die ohne weiteres wieder in den Ausgangs-zustand zurückgesetzt werden kann;
– geeignete Kontrollmechanismen vor unbefugtem Zugriff auf Daten bzw. vor nicht autorisierter Manipulation der Maschinenbefehle und Programme;
– Sammlung nicht erforderlicher Daten – Datenminimierung;
– Begrenzung der Angriffsflächen für Cyberangriffe;
– Verringerung der Auswirkung möglicher Cyberangriffe
4.5 Risikobewertung und Due Diligence
Hersteller haben dazu eine Risikobewertung durchzuführen. Diese muss sich auf den gesamten Produktlebenszyklus der Maschine beziehen, d.h. von der Planung, Entwicklung, Herstellung, Montage, Betrieb bis zur Wartung und Demontage. Soweit von Dritten bezogene Komponenten oder Software in die Maschine integriert werden, muss der Hersteller eine sog. Due Diligence durchführen, um sicher-zustellen, dass diese die Cybersicherheit der eigenen Maschine, deren Komponenten und Software nicht beeinträchtigen.
4.6 Nachmarktpflichten
Hersteller müssen über den sog. Unterstützungszeitraum hinweg etwaige Cybersicherheitsrisiken und -lücken systematisch identifizieren und die Risikobewertung dahingehend fortlaufend aktualisieren. Der Unterstützungszeitraum soll in der Regel mindestens 5 Jahre ab Inverkehrbringung der Maschine dauern. Werden Sicherheitslücken erkannt, ist auf diese unverzüglich entsprechend den Anforderungen der Verordnung zu reagieren, insbesondere mit der Bereitstellung von Sicherheits-Updates. Die Verordnung verlangt dazu von den Herstellern die Implementierung geeigneter interner Prozesse, um Sicherheitslücken zu erkennen, diese zu bearbeiten und letztlich zu beheben (sog. Schwachstellenmanagementsystem).
4.7 Informationspflichten
Hersteller sollen es ihren Kunden ermöglichen cybersicherheitsrelevante Eigenschaften bei der Auswahl und Nutzung der Maschine stärker zu berücksichtigen. Dazu müssen Hersteller ihren Produkten insbesondere Informationen zu den wesentlichen Cybersicherheits-Funktionen und -Eigenschaften der Maschine sowie zu technischen Cybersicherheits-Supports des Herstellers beifügen.
4.8 Konformitätsbewertung
Hersteller von Maschinen müssen die Erfüllung der wesentlichen Anforderungen der Verordnung mit einem der jeweils für die Maschine anwendbaren Konformitätsbewertungsverfahren nachweisen, u. a. interne Fertigungskontrolle oder EU-Baumusterprüfung.
– – –
Stuttgart, den 15. Januar 2025
Rechtsanwalt Dominik Görtz
Fachanwalt für internationales Wirtschaftsrecht
Görtz Legal Rechtsanwaltsgesellschaft mbH
Schwieberdinger Straße 56
D-70435 Stuttgart
Tel. 0711 – 365 917 0
Email goertz@goertz-legal.de