Cybersecurity in der Betriebsanleitung: Neue Pflicht ab 2027
Was die Maschinenverordnung 2027 für Cybersecurity-Hinweise in Betriebsanleitungen fordert. Mit konkreten Formulierungsbeispielen.
Mit der EU-Maschinenverordnung 2023/1230 wird Cybersecurity erstmals zur Pflichtkomponente in der Betriebsanleitung. Wer 2026 noch keinen Plan hat, wie das Cybersecurity-Kapitel aussehen soll, hat bis zum Stichtag 14.01.2027 ein knappes Jahr Zeit.
Wer ist betroffen?
Praktisch jeder Maschinenhersteller. Sobald die Maschine Software-Komponenten, Sensorik mit Datenausgang, Netzwerkanbindung (Ethernet, Profinet, OPC UA, MQTT) oder Funkschnittstellen (WLAN, Bluetooth, 5G) hat, greift die neue Cybersecurity-Pflicht. Die Schwelle liegt also sehr niedrig.
Was muss in das Cybersecurity-Kapitel?
Die Verordnung formuliert keinen exakten Pflichtenkatalog — sie verweist auf den Stand der Technik. In der Praxis hat sich folgende Struktur etabliert:
1. Sicherheitsziele
Welche Werte werden geschützt? Beispiele:
- Verfügbarkeit der Maschine
- Integrität der Steuerungssoftware
- Vertraulichkeit von Produktionsdaten
- Schutz vor unauthorisiertem Zugriff
2. Bedrohungsmodell
Welche Angriffe sind realistisch? Eine Sondermaschine in einer Werkshalle hat ein anderes Bedrohungsmodell als eine vernetzte Anlage in einem Smart-Factory-Umfeld.
3. Schutzmaßnahmen ab Werk
Was hat der Hersteller vorbereitet?
- Standard-Passwörter müssen beim Erstbetrieb geändert werden
- Verschlüsselte Kommunikation (TLS 1.3) auf allen Netzwerk-Schnittstellen
- Trennung von OT-Netz und IT-Netz dokumentiert
- Update-Mechanismus mit signierten Firmware-Paketen
4. Maßnahmen für den Betreiber
Was muss der Betreiber tun?
- Maschine in segmentiertes Netz stellen (z. B. eigene VLAN-Zone)
- Updates regelmäßig einspielen (z. B. quartalsweise)
- Logs überwachen und auf Anomalien prüfen
- Zugriffsberechtigungen rollenbasiert konfigurieren
5. Vorgehen bei Vorfällen
- Wie wird der Hersteller informiert?
- Welche Forensik-Daten sollten gesichert werden?
- Welche Notfall-Trennungen sind technisch möglich?
Beispiel-Formulierung
HINWEIS — Cybersecurity-Konfiguration
Vor der Inbetriebnahme im produktiven Netz müssen alle ab Werk gesetzten Standard-Passwörter geändert werden (siehe Kapitel 7.2.3). Die Maschine darf nicht direkt mit dem Internet verbunden werden — empfohlen ist eine Anbindung über ein abgeschottetes OT-VLAN mit Firewall-Schutz. Sicherheitsupdates werden vom Hersteller über das Service-Portal bereitgestellt und müssen innerhalb von 30 Tagen nach Veröffentlichung eingespielt werden.
Was passiert bei Schadensfällen?
Wenn ein Schaden durch eine Cyber-Schwachstelle entsteht und die Anleitung kein Cybersecurity-Kapitel hatte, kann das im Sinne der Produkthaftung als Pflichtverletzung gewertet werden. Hersteller, die das ignorieren, riskieren erhebliche Schadenersatzforderungen.
Wie Manual-AI das löst
Manual-AI führt eine Cybersecurity-Vorlage mit den fünf Pflichtblöcken und ergänzt sie mit maschinenspezifischen Inhalten — etwa basierend auf den verbauten Komponenten (welche Steuerung, welche Schnittstellen, welche Software-Stände). Das Kapitel ist als Standard-Block in jeder generierten Anleitung enthalten und kann pro Maschine angepasst werden.
Cybersecurity-Kapitel automatisch generieren — jetzt testen.
Manual-AI testen
Vom Risiko-Datensatz zur normkonformen Anleitung — in Stunden statt Wochen. Beta-Phase aktuell kostenlos.
Verwandte Artikel
Zur ÜbersichtWas ändert sich mit der EU-Maschinenverordnung 2023/1230?
Vollständiger Guide: Was die EU-Maschinenverordnung 2023/1230 für Betriebsanleitungen bedeutet. Neue Pflichten, Stichtage, Handlungsempfehlungen.
LesenDigitale Betriebsanleitung Pflicht 2027: Checkliste
Checkliste für Maschinenbauer: Was Sie bis 14.01.2027 für digitale Betriebsanleitungen umsetzen müssen. Mit konkreten Handlungsschritten.
LesenBetriebsanleitung erstellen: Was kostet das wirklich?
Stundensätze, Projektpreise und Vergleich: Was eine Betriebsanleitung bei Agenturen kostet und wann Software günstiger ist.
Lesen