Sicher ist sicher – die neue Maschinenrichtlinie erläutert

Security ist kein Thema, das demnächst kommt, es ist bereits seit mehreren Jahren da und muss auch angewendet werden. Gerhard Stockhammer, Business Development Manager bei Pilz Österreich.

Herr Stockhammer, das Motto von Pilz lautet Safe&Secure. Dahingehend informieren Sie auch Ihre Kunden im Rahmen von Veranstaltungen. Ist die Überarbeitung der bestehenden Maschinenrichtlinie bzw. -verordnung ebenfalls im Fokus Ihrer Vorträge bzw. was sind die wesentlichen Inhalte der Neufassung?

Das, was wir mit unseren Veranstaltungen bewirken möchten ist, auf die kommenden Änderungen und Ergänzungen zur aktuell bestehenden Maschinenrichtlinie 2006/42/EG hinzuweisen, denn die Neuerungen enthalten einige grundlegende Anpassungen. Zudem wird mehr Augenmerk auf Risikobewertungen von digital vernetzen Maschinen gelegt und KI spielt natürlich eine große Rolle.

Demnach trifft Pilz den Nerv der Branche.

Auf jeden Fall. Die Maschinenrichtlinie muss auf alle Maschinen sowie auswechselbare Ausrüstungen und Sicherheitsbauteile, die erstmalig im europäischen Wirtschaftsraum in Verkehr gebracht werden, angewendet werden. Und dieser Umstand betrifft einen breiten Kreis an Unternehmen.

… und Maschinen.

Genau. Die Verordnung deckt sowohl von Verbrauchern genutzte Maschinenprodukte als auch Industriemaschinen ab und reicht bis zu kompletten industriellen Produktionslinien und Robotern oder auch 3D-Druckern.

Mit welchem Ziel?

Durch die Anwendung von KI und den zunehmenden Gefahrenpotenzialen durch Cyberangriffe soll nicht nur die Sicherheit der Anwender bzw. Menschen gestärkt werden, sondern auch das Vertrauen gegenüber neu in den europäischen Markt gebrachte Maschinen, Anlagen, Produkte gestärkt werden. Das ist ein wesentlicher Schritt in die Zukunft. Mit den Vorschriften werden neue Sicherheitsanforderungen für autonome Maschinen, die Zusammenarbeit zwischen Mensch und Maschinen und erstmals die sichere Nutzung von Systemen der KI in Maschinen eingeführt und geregelt

Gibt es auch Neuerungen in Bezug auf digitale Fortschritte?

Mit den Vorschriften werden administrative Vereinfachungen eingeführt, wie auch die digitalen Formate für Anleitungen, das ist richtig. Zusammenhängend sind auch Kosteneinsparungen damit verbunden, davon gehen Experten jedenfalls aus.

Wann wird der neue Entwurf der EU-Maschinenverordnung fertig sein, kann man das sagen?

Im Juli 2022 wurde ein überarbeiteter Entwurf für die EU-Maschinenverordnung veröffentlicht. Diese europäische Verordnung soll die jetzt geltende EG-Maschinenrichtlinie 2006/42/EG nach mehr als 15 Jahren ablösen. Es wird davon ausgegangen, dass noch bis zum Sommer diese auch inkrafttreten wird und nach 42 Monaten – also voraussichtlich Ende 2026 – zur Anwendung kommen wird.

Zusammenfassend bedeutet die Neuerung auch, dass eine Förderung der Rechtssicherheit gewährleistet wird. Stimmen Sie dem zu?

Das ist richtig, durch die Umsetzung als Verordnung entfällt die bisher erforderliche nationale Umsetzung und somit die Gefahr von Divergenzen in der Formulierung.

Neben dem Schutz, dem Aspekt des Safety und dem Secure – welchen Hintergrund hat die Anpassung der Verordnung noch. Sie erwähnten ja bereits Entwicklungen von KI aus bzw. deren Einsatz im industriellen Umfeld?

Die Forschung ist in dem Bereich KI sehr breit gefächert. Inwieweit sich das in unserem täglichen Arbeitsleben widerspiegelt, ist noch unklar. Das ist einer der Kernpunkte. Im Bereich KI geht es vor allem auch um eine Transparenzforderung. Der Hersteller einer KI muss nachweisen, wer wie und in welcher Form die KI trainiert hat, wie sie entwickelt wurde usw. Somit wird eine Bewertung gefordert. Wie diese letztendlich ausschauen kann, ist offen.

Wie schaut es mit Neuerungen in Bezug auf Cybersicherheit aus?

Mit der neuen Cybersicherheitsrichtlinie (NIS2) gelten ab Herbst 2024 für eine Vielzahl an Unternehmen bestimmter Sektoren verpflichtende Securitymaßnahmen und eine Meldepflicht bei Securityvorfällen. Die Cybersicherheitsrichtlinie soll dabei die Resilienz und die Reaktionen auf mögliche Securityvorfälle an Maschinen bzw. in Unternehmen innerhalb der EU optimieren. Hier ist speziell auch der Bereich der „Lieferkette“ von Unternehmen zu beachten. Es geht hierbei darum, die Sicht nicht an seiner Maschine zu begrenzen, sondern über den Tellerrand hinaus, sowohl meine Lieferanten als auch meinen Einfluss auf meine Kunden zu berücksichtigen.

Sind davon auch kleine Unternehmen betroffen?

Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von maximal zehn Millionen Euro fallen nicht unter die NIS2. Sich diesem Thema jedoch deshalb nicht anzunehmen, wird voraussichtlich gesamtheitlich keine schlaue Entscheidung darstellen. Die laufend kolportierten Vorfälle im industriellen Umfeld zeigen das recht deutlich.

Gehen wir bitte noch etwas mehr ins Detail. Welche konkreten Maßnahmen sollen ergriffen werden laut NIS2?

Es gibt vor allem Meldepflichten. Bei Vorfällen in Bezug auf Cybersicherheit soll einerseits definierten Maßnahmen gefolgt werden, um den Auswirkungen geregelt entgegenwirken zu können, und andererseits sind die entsprechenden Behörden innerhalb von 24 Stunden zu informieren. Innerhalb von drei Tagen muss eine ausführliche Einschätzung abgegeben werden, welche Risken bestehen bzw. sich noch ereignen könnten. Halten Unternehmen diese Anforderungen nicht ein, wird es teuer. Das Ziel ist es, das Ausmaß der Schäden so gering wie möglich zu halten.

Und wer ist dafür verantwortlich, bei möglichen Risiken Meldung zu machen? Gibt es dafür eigens Verantwortliche in den Unternehmen?

Da ist klar geregelt: die Unternehmensleitung. Es wurden diesbezüglich unmittelbare Haftungsverpflichtungen definiert. Ergo sollten sich die Verantwortlichen künftig der Tragweite der NIS2 sehr genau bewusst sein.

Meinen Sie, dass die neuen Regeln auch „abschreckend“ wirken?

Nein, doch ich gehe davon aus, dass sich viele ob des Umfangs der Auswirkungen bei Nichteinhaltung nicht bewusst sind. Dahingehend klären wir auch gerne auf. Die Forderung an die leitenden Führungskräfte der Unternehmen lautet: Sie haben eine Schulungsverpflichtung, die auch die Mitarbeiter betrifft. Diese müssen ausgebildet werden, um eine mögliche Awareness zu schaffen, sprich: Sensibilisierung ist ausschlaggebend für eine gesicherte Zukunft. Oft beginnt es doch schon bei der Handynutzung am Arbeitsplatz. Einerseits heißt es „Bring your own device“, auf der anderen Seite darfst du diese nicht in das Arbeitsumfeld einbringen, um Risiken zu vermeiden. Das ist in der wirklichen Umsetzung für viele herausfordernd. Um diesen Aufgaben und Anforderungen künftig gerecht zu werden, entwickeln wir eine eigene Schulung namens CESA (Certified Expert for Security in Automation), die genau solche Aspekte berücksichtigt. Der vom TÜV Nord zertifizierte Expertenlehrgang wird umfangreiches Wissen vermitteln: von der Konzeption bis hin zur Umsetzung aller notwendigen Securitymaßnahmen im industriellen Umfeld.

Zusammenfassend kann man also sagen, …

... das Wichtigste an der neuen Maschinenrichtlinie bzw. -verordnung ist die Tatsache, dass sie technisch keinerlei Neuerungen bringt. Was aber neu hinzukommt, sind Themen der aufstrebenden Technologien, also die angesprochene KI und der Security-Aspekt. Da gibt es für den Hersteller dann viel zu tun. Und auch beim Thema KI muss der Sicherheitsaspekt berücksichtigt werden. Was die KI betrifft, muss man jedoch sagen, dass dieses Thema noch lange nicht ausgereift ist. Es geht darum, dass Unternehmen, die KI nutzen, festlegen, ob es eine hoch oder risikoreiche KI ist oder eine ungefährliche KI, die zum Einsatz kommt. So etwas muss definiert werden und ist eine heikle Angelegenheit, da in dem Moment, wo KI in einem Produkt angewendet wird oder Daten einer KI verwendet werden wollen in Europa, diese unserer KI-Verordnung entsprechen müssen – egal, woher sie kommen. Denn Europa ist ein bedeutender und wichtiger Wirtschaftsmarkt und hier gelten unsere Regeln.

Halten Sie uns auf dem Laufenden?

Selbstverständlich und wenn es nicht im Rahmen einer Schulung ist, dann gerne über unseren Pilz PNOZCast. Auch hier sprechen wir diese Themen an.

Vielen Dank für das Gespräch!