Die EU-Maschinenverordnung (EU) 2023/1230 stellt Hersteller und Betreiber vor neue Anforderungen – nicht nur technisch, sondern zunehmend auch in der Cybersecurity. Für Schweizer Unternehmen ist die Verordnung relevant: Die Schweiz strebt eine gleichzeitige und gleichwertige Umsetzung an, um den Marktzugang zur EU zu sichern (Swissmem).
Von NIST-Assessment zu NIS2-Konformität: Warum Cybersecurity für Maschinensicherheit zentral ist
In Teil 1 dieser Reihe haben wir die Grundzüge der EU-Maschinenverordnung skizziert und die erwarteten Rechtsfolgen für Schweizer Hersteller erwähnt. In Part 2 richten wir den Blick auf die Schnittstellen zwischen klassischen Maschinenanforderungen und modernen Cyber-Anforderungen: Wie führt ein NIST-basiertes Assessment zu praktikabler NIS2-Konformität – und welche Rolle spielt das für die Einhaltung der neuen Maschinenverordnung?
Kurz zusammengefasst: Ein NIST-Assessment liefert eine strukturierte Bestandsaufnahme technischer und organisatorischer Schutzmassnahmen. Diese Grundlage hilft, NIS2-Anforderungen – etwa an Governance, Risikomanagement und Lieferkettenkontrolle – umzusetzen. Für Maschinen mit vernetzten Komponenten ergeben sich daraus konkrete Anforderungen zur Absicherung von Firmware, sicheren Update-Prozessen und Zugriffskontrollen, die auch unter die Konformitätsanforderungen der neuen Verordnung fallen.
1. NIST-Assessment: Grundlage für technische Integrität und Prozesssicherheit
Ein NIST-Framework-Assessment (z. B. NIST CSF) ist kein Selbstzweck, sondern ein pragmatisches Instrument, um Reifegrade zu messen: Erkennung, Schutz, Erkennung von Vorfällen, Reaktion und Wiederherstellung. Diese Domänen korrespondieren direkt mit Maschinenanforderungen wie sichere Konstruktion, sichere Entwicklung von Software/Firmware und Nachvollziehbarkeit von Änderungen. Hersteller sollten das Assessment nutzen, um:
– die Angriffsflächen vernetzter Steuerungen (PLC, IIoT-Module) zu inventorieren;
– Lieferanten- und Komponentenabhängigkeiten zu kartieren;
– Prozesse für sichere Updates und Patch-Management zu definieren;
– Verantwortlichkeiten entlang der Produktlebenszyklen festzulegen.
2. NIS2: Erweiterte Governance- und Meldepflichten für Betreiber digitaler Dienste
Die EU-Richtlinie NIS2 (bereits Gegenstand intensiver Umsetzungsdiskussion) verschärft die Anforderungen an Cybersicherheit, Vorfallmeldung und Governance. Für Maschinenhersteller und Betreiber von kritischen Anlagen bedeutet dies: Technische Massnahmen müssen von klaren Governance-Prozessen begleitet werden. Ein NIST-basiertes Assessment zeigt, wo technische Lücken bestehen; NIS2 verlangt zusätzlich dokumentierte Entscheidungswege, Verantwortlichkeiten in der Geschäftsleitung und Prozesse zur Meldung signifikanter Vorfälle an Behörden.
Für die Schweiz hat die Nähe zur EU besondere Relevanz: Eine gleichzeitige Umsetzung der EU-Maschinenverordnung ist angestrebt, um rechtliche Gleichwertigkeit zu bewahren und den Marktzugang nicht zu gefährden (Swissmem: Übergang).
3. Konkrete Überschneidungen: Was das für Maschinen bedeutet
Die Verknüpfung von NIST-Assessment und NIS2-Konformität manifestiert sich in konkreten Anforderungen, die auch in der EU-Maschinenverordnung ihren Niederschlag finden:
– Secure-by-Design: Nachweis, dass Produkte gegen Missbrauch und Manipulation (einschliesslich cyberphysischer Angriffe) konstruiert sind;
– Software-/Firmware-Integrität: Konzepte für Signierung, sichere Boot-Prozesse und kontrollierte Update-Pipelines;
– Lieferketten-Transparenz: Nachvollziehbare Herkunft von Komponenten und Sicherheitsbewertungen von Zulieferern;
– Vorfallmanagement: Prozesse zur Erkennung, Meldung und Wiederherstellung, die sowohl Produktverantwortliche als auch Betreiber adressieren.
Diese Aspekte korrespondieren mit Empfehlungen und Diskussionspunkten in schweizerischen Informationsseiten zur neuen Verordnung, etwa beim Staatssekretariat für Wirtschaft (SECO: Maschinen) und Fachverbänden (Swissmem).
4. Praktische Schritte für CISOs und Hersteller
Für CISOs und Sicherheitsverantwortliche empfiehlt sich eine pragmatische Roadmap, die NIST-Prinzipien mit NIS2- und Maschinenverordnungsanforderungen verbindet:
1) Scope & Inventory: Erstellen Sie eine vollständige Inventarisierung vernetzter Maschinen und ihrer Kommunikationswege. Ohne diesen Schritt bleiben Assessments unvollständig.
2) Risk-based Prioritization: Nutzen Sie NIST-Assessment-Ergebnisse, um kritische Komponenten zu priorisieren (z. B. Steuerungen, HMI, Fernzugriffsschnittstellen).
3) Secure Development Lifecycle: Verankern Sie Sicherheitsanforderungen in der Produktentwicklung und dokumentieren Sie diese als Teil der Konformitätsakte.
4) Supplier Risk Management: Implementieren Sie Lieferantenbewertungen und Vertragsklauseln zur Sicherheitsverantwortung.
5) Incident Response & Reporting: Richten Sie Prozesse ein, die sowohl NIS2-Meldepflichten als auch produktbezogene Meldeanforderungen abdecken.
6) Dokumentation für Konformität: Bereiten Sie technische Unterlagen vor, die Anforderungen der Maschinenverordnung adressieren (Risk Assessment, Technische Dossiers, Gebrauchsanleitungen mit Sicherheitsinformationen).
Weiterführende Fachinformationen zur praktischen Umsetzung finden sich in Fachbeiträgen und Veranstaltungen, die sich mit der neuen Verordnung und Maschinensicherheit befassen (IBF Solutions, SAVE: Maschinensicherheit 2025).
5. Grenzthema Marktzugang: Rechtliche und praktische Implikationen für die Schweiz
Die Schweiz plant zwar eine gleichwertige Umsetzung, doch bleibt die internationale Koordination entscheidend. Solange das Mutual Recognition Agreement (MRA) mit der EU nicht aktualisiert ist, können zusätzliche bürokratische Hürden für Schweizer Hersteller entstehen, die in die EU exportieren. Das erhöht den Druck, technische Dokumentation, Nachweise zu Sicherheitstests und Prozesse für Updates sowie Sicherheits- und Risikobeurteilungen sauber zu führen (Bundesadministration).
Für den Verwaltungsrat und Geschäftsführer bedeutet das: Compliance ist nicht nur eine technische Frage, sondern strategische Vorsorge. Lücken im Risikomanagement können direkten Einfluss auf Exportfähigkeit und Haftungsrisiken haben.
Fazit
Ein NIST-Assessment ist ein pragmatischer Einstieg, um technische und organisatorische Sicherheitslücken zu identifizieren. NIS2 ergänzt dies um Governance-, Melde- und Lieferkettenpflichten, die für vernetzte Maschinen relevant sind. Die EU-Maschinenverordnung verlangt darüber hinaus technische Nachweise und Dokumentationen, die ohne enge Verzahnung von Cybersecurity und Produktentwicklung schwer zu erbringen sind. Für Schweizer Unternehmen gilt: Wer die Brücke zwischen NIST, NIS2 und Maschinenverordnung aktiv baut, sichert nicht nur Compliance, sondern auch Marktchancen in der EU.
Nächste Schritte (Part 3)
In Part 3 dieser Reihe gehen wir detailliert auf die Umsetzung in der Schweiz ein: Konkrete Anforderungen für Exportdokumentation, Anpassungen in der Produktentwicklung und Handlungsempfehlungen für Verwaltungsrat und CEO. As discussed in Part 1 haben wir die Grundlagen gelegt – in Part 3 zeigen wir die operativen Schritte zur Sicherstellung des Marktzugangs.
Key Take-away – Integration ist Pflicht
Verankern Sie Cybersecurity im Produktlebenszyklus: Führen Sie NIST-basierte Assessments durch, implementieren Sie NIS2-kompatible Governance-Prozesse und dokumentieren Sie technische Nachweise für die EU-Maschinenverordnung. Nutzen Sie verfügbare Informationsangebote und Fachveranstaltungen, um Praktiken zu harmonisieren (Maschinenrichtlinie Newsletter, NSBIV Merkblatt).
