Die neue Maschinenverordnung (MVO) ersetzt die Maschinenrichtlinie (MRL 2006/42/EG). Verlieren Sie keine Zeit und beschäftigen Sie sich jetzt mit den Neuerungen und Änderungen, die Ihr Produkt und Ihren Konformitätsbewertungsprozess betreffen.

Kommen Sie damit auch möglichen Kundenforderungen zuvor, die bereits jetzt oder in naher Zukunft eine vertragliche Erfüllung der MVO verlangen.

Im halbtägigen Online-Seminar finden Sie kompakt und fundiert den schnellen Einstieg in die neue Maschinenverordnung.

Seminarprogramm

Wichtiges Basiswissen

• Welche Auswirkung der Übergang von Richtlinie zu Verordnung für Unternehmen hat.
• Warum wurde die Richtlinie 2006/42/EG geändert?
• Bis wann muss welche Vorschrift angewendet werden?
• Warum es keine Übergangsfrist gibt und wie Sie sich auf den Stichtag optimal vorbereiten.
• Achtung! Je nach Laufzeit von Projekten müssen Sie die neue Maschinenverordnung ggf. schon deutlich vor dem Stichtag beachten!

Neue und geänderte Anforderungen an Konstruktion, Steuerungsbau und Dokumentation

• Viele Dinge bleiben gleich! Welche relevanten Anforderungen neu bzw. geändert sind.
• Welche – insbesondere – mechanischen Änderungen relevant sind.
• Was bei Maschinen mit sich selbst änderndem Verhalten zu beachten ist.
• Was sich bzgl. der Anforderungen an Steuerungen ändert und welche Rolle Security nun spielt.
• Digitale Betriebsanleitung: Wo die Grenzen und Stolpersteine liegen.
• Welche zusätzlichen Inhalte in der Betriebsanleitung gefordert sind.

Geänderte Konformitätsbewertungsprozesse und Definitionen

• Geringfügige Änderungen im Anwendungsbereich – so stellen Sie fest, ob Ihr Produkt von einer Änderung betroffen ist.
• Wesentliche Veränderung: Mit der neuen Maschinenverordnung nun europäisch geregelt!
• Was sich in den Konformitätsbewertungsverfahren ändert.
• Wann ihr Produkt in die Kategorie „Hochrisikomaschine“ fällt, und was dies für Sie bedeutet.
• Betriebsanleitung: Warum die Angabe „Original“ nicht mehr erforderlich ist.
• Konformitätserklärung: Warum kein „Bevollmächtigter zur Zusammenstellung der technischen Unterlagen“ mehr genannt werden muss und was sich sonst ändert.

So planen Sie den Umstieg proaktiv und kosteneffizient

• Achtung: Informationen sollten immer zielgruppengerecht im Unternehmen verteilt werden. Vermeiden Sie unnötiges „Over-Informing“.
• Warum die neue Verordnung auch eine Chance sein kann ineffiziente Prozesse aufzudecken und das Thema Maschinensicherheit auf neue Beine zu stellen.
• Die 5 häufigsten Ursachen für unnötige Kosten im Safety-Prozess und wie Sie diese im Zuge des Umstieges auf die neue Maschinenverordnung aufdecken und vermeiden.
• Tipps und Empfehlungen, wie Sie Kollegen Ängste und Sorgen in Bezug auf Maschinensicherheit und den Umstieg auf die neue Verordnung nehmen.

Wir halten Sie informiert!

Bis zur Anwendung der neuen MVO können sich Interpretationspapiere, Leitfäden, Normen, usw. noch ändern. Alle Teilnehmer erhalten von uns – sofern gewünscht – regelmäßig Updates, um stets Up-to-Date zu sein.

Das Online-Seminar zeigt auf, welche Schritte notwendig sind, damit elektrotechnische Produkte als sicher gelten, und erläutert dabei den vollständigen Ablauf der Risikobeurteilung von der Identifikation von Gefährdungen bis zur Umsetzung geeigneter Maßnahmen. 

Es behandelt gesetzliche Anforderungen sowie normative Empfehlungen und erklärt, wie sich Verfahren und Strategien zur Risikobeurteilung praktisch anwenden lassen. 

Zudem wird dargestellt, welche Tools für die Durchführung genutzt werden können und welchen Beitrag Produktnormen innerhalb des Prozesses leisten. 

Ergänzend werden relevante Rechtsvorschriften wie die CE-Richtlinien sowie wichtige Normen vorgestellt. 

In diesem Seminar erfahren Sie praxisnah, welche Pflichten der Cyber Resilience Act (CRA) für Hersteller von Maschinen, Anlagen und elektrischen Geräten mit sich bringt und wie Sie diese effizient und rechtssicher erfüllen. Unsere Experten vermitteln Ihnen kompakt alle relevanten Inhalte – von den regulatorischen CE-Anforderungen bis zu den technischen IT-Sicherheitsmaßnahmen.

Sie lernen u. a., welche Produkte unter den CRA fallen, wie Sie eine Security-Risikoanalyse durchführen, „Security by Design“ in Ihre Entwicklungsprozesse integrieren, ein effektives Schwachstellenmanagement etablieren und welche Dokumentationspflichten Sie beachten müssen. So sind Sie optimal vorbereitet, um die neuen gesetzlichen Vorgaben zielgerichtet in der Praxis umzusetzen und die Cybersecurity Ihrer Produkte auf den geforderten Stand der Technik zu bringen.

Seminarprogramm

Die Teilnehmenden erhalten einen umfassenden Überblick über die gesetzlichen Anforderungen des CRA und deren praktische Umsetzung. Schwerpunkte des Seminars sind unter anderem:

CE-Kennzeichnung nach dem Cyber Resilience Act

• Welche Produkte fallen in den Anwendungsbereich des CRA, welche Klassifizierungen gibt es und welche Auswirkungen hat dies auf die Konformitätsbewertungsverfahren?
• Warum ist es wichtig, den konkreten Einsatzzweck bzw. das Produkt zu definieren (Kernfunktion)?
• Welche Ausnahmen gibt es? (Prototypen, unfertige Software, Ersatzteile, …).
• Klärung Begrifflichkeiten im Zusammenhang mit CRA: Inbetriebnahme, Inverkehrbringung.
• Wichtige Stichtage und Übergangsfristen des CRA.
• CE-Kennzeichnung: Wo und wie muss ein CE-Zeichen am (digitalen) Produkt angebracht werden?
• Wie die Anforderungen der Funkanlagenrichtlinie (RED) und der neuen Maschinenverordnung mit den Anforderungen des CRA zusammenhängen.
• Sind Sondermaschinen als maßgeschneiderte Produkte einzuordnen?
• Inwiefern greift der Cyber Resilience Act beim "Eigenbau" bzw. bei "wesentlich veränderten Maschinen"?
• Was ist der Status bezüglich harmonisierten Normen, welche anderen Standards & Normen können in der Zwischenzeit ein guter Ratgeber sein?
• Sehr umfassende Normenreihe IEC 62443 – Welche Teile sind für Maschinenbauer relevant?
• Zusammenhang zwischen Maschinenverordnung ("Schutz gegen Korrumpierung") und CRA?

Wie sieht eine Security-Risikoanalyse aus?

• Was ist eine Bedrohungsanalyse? Inwieweit unterscheidet sie sich zu anderen Risikoanalysen?
• Gibt es Vorschriften, wie eine Analyse für den CRA auszusehen hat?
• An welchen Normen & Richtlinien kann ich mich orientieren (BSI, IEC, …)?
• Wie sieht der Prozess einer Risikoanalyse nach IEC 62443-4-1 aus, was sind übliche Risiken für Maschinen, welche Schwachstellen treten in der Praxis häufig auf?
• Warum der CRA keine absolute Security fordert und welches Restrisiko akzeptabel ist?
• Warum auch organisatorische Maßnahmen (wie Zugangsbeschränkungen zu Produktionsanlagen) ausreichend sein können, um ein akzeptables Security-Niveau zu erreichen?
• Warum ist es wichtig den Security Kontext und erwartete Maßnahmen in der Umgebung zu definieren?
• Wie sind „unsichere“ Industrieprotokolle zu behandeln?
• Welche Überschneidungen gibt es zu Safety-Risikobeurteilungen nach EN ISO 12100?
• Übung: Gemeinsame Bedrohungsanalyse in Kleingruppen (bei WEB-Durchführung in Breakout-Rooms).

Qualitätssicherung und sichere Softwareentwicklung

• Klärung relevanter Begrifflichkeiten (Hash, Signierung, Verschlüsselung).
• Warum es wichtig ist Rollen & Verantwortlichkeiten zu definieren?
• Welche Anforderungen an eine sichere Entwicklungsumgebung gibt es?
• Was muss ich bei der Auswahl von Komponenten / Bibliotheken beachten?
• Welche Secure Design Best Practices soll ich bei meiner Architektur beachten? (Defense in Depth, Least Functionality, Least Privilege, Secure by Default).
• Grundlagen von Secure Coding Ansätzen (unabhängig von Programmiersprachen).
• Security Tests (Fuzz Testing, Port-Scans, Schwachstellenscans,…).
• Beispiele sicherer Coding-Prinzipien: Sichere Eingabevalidierung & Output-Encoding, Sichere Eingabevalidierung & Output-Encoding, Session-Management, Sichere Fehler- und Ausnahmebehandlung, Was Sie speziell bei der Programmierung von SPS Programmen berücksichtigen sollten (Secure PLC Coding).
• Sind Sondermaschinen als maßgeschneiderte Produkte einzuordnen?
• Inwiefern greift der Cyber Resilience Act beim "Eigenbau" bzw. bei "wesentlich veränderten Maschinen"?
• Was ist der Status bezüglich harmonisierten Normen, welche anderen Standards & Normen können in der Zwischenzeit ein guter Ratgeber sein?
• Wie ist eine IEC 62443 Normenreihe für Maschinenbauer auszulegen?
• Zusammenhang zwischen Maschinenverordnung ("Schutz gegen Korrumpierung") und CRA?

Schwachstellenmanagement und Software-Bill-of-Material als zentrale Anforderungen des CRA

• Klärung relevanter Begrifflichkeiten (Schwachstelle, Vorfall, CVE, CWE, CVSS, EPSS).
• Schwachstellen im Kontext vom CRA: Bereitstellung ohne bekannte ausnutzbare Schwachstellen, Meldepflichten zu aktiv ausgenützten Schwachstellen, i.e.: die wichtige Unterscheidung zwischen aktiv  ausgenutzten Schwachstellen und (potenziell) ausnutzbaren  Schwachstellen.
• Welche Strukturen in einem Unternehmen geschaffen werden sollten, warum ein "Single-Point-of-Contact" besonders wichtig ist und wie Sie diesen sehr einfach etablieren?
• Was ist eine SBOM und wie erstelle ich sie und wie mir die SBOM helfen kann potenzielle Schwachstellen zu finden?
• Wie kann ich Schwachstellen priorisieren und bewerten, welche Tools gibt und wie können sie mir helfen?
• Welche Updatepflichten gibt es. wie lange sind Sicherheitsaktualisierungen bereitzustellen?
• Behebung von Schwachstellen: Sicherheitsupdates unter Wahrung der Maschinenverfügbarkeit.

Beispiele zur Umsetzung der technischen Anforderungen nach Anhang I des CRA

• Wie stelle ich die Integrität sicher, wie schütze ich die sensiblen Inhalte?
• Was heißt Secure by default?
• Wie sieht ein sicheren Update-Mechanismus aus?
• Warum USB-Schnittstellen o.ä. z.B. in (abgesperrten) Schaltschränken sein sollten?
• Wie Sie Fernwartungs-Zugänge sicher gestalten und absichern?

Dokumentation und Formale Pflichten / Zusammenfassung

• Warum auch im Security-Kontext die voraussichtliche Nutzung und Fehlnutzung zu dokumentieren ist.
• Welche Inhalte in der technischen Dokumentation nach Anhang VII des CRA enthalten sein müssen.
• Warum eine klare Benennung der Betreiberpflichten in den Nutzeranleitungen besonders wichtig ist, um das geplante Schutzniveau zu erreichen.
• Konformitätserklärung: Inhalt und Formvorschriften sowie Zusammenwirken mit anderen CE-Vorschriften.
• Welche Dokumente müssen/dürfen in welcher Sprache sein?
• Welche Aufbewahrungsfristen gelten? Achtung: Ggf. längere Aufbewahrungsfristen aufgrund anderer Gesetze!
• Icon eines Fadenkreuzes mit einer Person darin

Speziell geeignet für

• CE-Verantwortliche in Unternehmen des Maschinen- und Anlagenbaus (z. B. CE-Koordinatoren, CE-Beauftragte, Compliance Manager), die die neuen Cybersecurity-Vorgaben in ihre Prozesse integrieren müssen.
• Konstrukteure, Entwicklungsingenieure und Softwareentwickler, die vernetzte Maschinen oder Geräte entwickeln und die Anforderungen des CRA praktisch umsetzen wollen.
• Produktmanager und Projektleiter technischer Produkte, die für die Einhaltung der IT-Sicherheitsanforderungen im Entwicklungsprozess verantwortlich sind.
• Technische Leiter und Sicherheitsverantwortliche im Maschinenbau, die sich einen Überblick über die neuen Pflichten und den sicheren Entwicklungsprozess verschaffen möchten.

Mehr Informationen & zur Anmeldung