EU-Maschinenverordnung 2023/1230

Beratung anfordern

INHALT DIESER SEITE

Risikobewertung nach der Maschinenverordnung (EU) 2023/1230: Roadmap und Risikomanagement

Wie hängen Risikobeurteilung, Risikobewertung und Risikomanagement in der Maschinenverordnung 2023/1230 zusammen – und was bedeutet das ab 20.01.2027 in der Praxis?

Betreiberpflichten nach BetrSichV – Gefährdungsbeurteilung und Maschinensicherheit

Risikobewertung nach MVO 2023/1230: Systematische Risikobeherrschung über den gesamten Lebenszyklus

FAQ: Risikobewertung & Risikomanagement MVO

Wann wird ein Betreiber rechtlich zum Hersteller?

Hochrisiko-Maschinen sind Produkte mit einem erhöhten Gefahrenpotenzial.

Wenn er eine Maschine so wesentlich verändert, dass sich das Sicherheitsniveau maßgeblich ändert, gilt er als Hersteller. Dann sind eine neue Risikobeurteilung, Konformitätsbewertung und ggf. neue CE-Kennzeichnung erforderlich.

Was ist der Unterschied zwischen Risikobeurteilung und Risikomanagement im Kontext der MVO?

Hochrisiko-Maschinen sind Produkte mit einem erhöhten Gefahrenpotenzial.

Die Risikobeurteilung ist ein projektbezogener Analyseprozess für eine Maschine. Risikomanagement umfasst alle organisatorischen und technischen Maßnahmen, um Risiken über den gesamten Lebenszyklus zu steuern, Änderungen zu bewerten und die Nachweisführung sicherzustellen.

Welche Rolle spielt Cybersecurity im Risikomanagement nach MVO?

Hochrisiko-Maschinen sind Produkte mit einem erhöhten Gefahrenpotenzial.

Cybersecurity-Maßnahmen wie Zugriffskontrollen, gesicherte Kommunikationswege und Protokollierung sind integrale Bestandteile des Risikomanagements. Die MVO verlangt, dass Manipulation und unerlaubter Zugriff auf sicherheitsrelevante Funktionen verhindert werden.

Welche Vorteile hat ein früh etabliertes Risikomanagementsystem für die MVO-Umstellung?

Hochrisiko-Maschinen sind Produkte mit einem erhöhten Gefahrenpotenzial.

Frühe Anpassung reduziert Projektrisiken zum Stichtag 20.01.2027, vermeidet Doppelentwicklungen und stärkt die Position gegenüber Kunden, Marktüberwachung und Prüforganisationen.

Wie hängen Risikomanagement und Technische Dokumentation zusammen?

Hochrisiko-Maschinen sind Produkte mit einem erhöhten Gefahrenpotenzial.

Das Risikomanagement sorgt dafür, dass Risikobeurteilung, Konformitätserklärung und Betriebsanleitung vollständig, aktuell und über die geforderte Dauer verfügbar sind – inklusive aller Änderungen und Freigaben.

Das Wichtigste in Kürze

Die Maschinenverordnung (EU) 2023/1230 gilt ab 20. Januar 2027 und verlangt systematische Beherrschung von Risiken – einschließlich digitaler und systemischer Risiken wie Cyberangriffe, vernetzte Steuerungen und KI-Funktionen.
Risikobeurteilung ist der zentrale Pflichtprozess; Risikobewertung der kritische Entscheidungspunkt innerhalb dieses Prozesses; Risikomanagement der übergeordnete Rahmen über den gesamten Lebenszyklus.
Die MVO verweist auf die Methodik der EN ISO 12100 und erweitert sie um digitale Gefährdungen, KI-Funktionen und Remote-Zugriffe.
Cybersecurity und KI-Risiken müssen nicht nur in der Erstbewertung, sondern auch im laufenden Betrieb beobachtet werden.
Hersteller müssen Risikobeurteilung, Risikomanagement und Technische Dokumentation jetzt an die MVO anpassen – Projekte sollten bereits nach MVO-Schutzzielen konzipiert werden.

Die Maschinenverordnung (EU) 2023/1230 ersetzt ab dem 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG. Sie gilt als Verordnung unmittelbar in allen EU-Mitgliedstaaten und verschärft die Anforderungen an Hersteller, Importeure, Händler und Betreiber. Zentral ist die systematische Beherrschung von Risiken – ausdrücklich auch digitaler und systemischer Risiken wie Cyberangriffe, vernetzte Steuerungen und KI-Funktionen. Dieser Beitrag ordnet Risikomanagement, Risikobeurteilung und Risikobewertung hierarchisch und kausal ein und zeigt, welche praktischen Fragen sich daraus für MVO-konforme Prozesse ergeben.

Zeitplan zur EU-Maschinenverordnung

Veröffentlichung im Amtsblatt: 29.06.2023
Inkrafttreten: 19.07.2023
Beginn der verbindlichen Anwendung: 20.01.2027

Bis 20.01.2027 läuft die faktische Vorbereitungsphase. Danach müssen neu in Verkehr gebrachte Maschinen die Anforderungen der MVO erfüllen; zusätzliche Übergangsfristen sind nicht vorgesehen.

Konsequenz für Hersteller:

Risikobeurteilung, Risikomanagement und Technische Dokumentation müssen jetzt an die MVO angepasst werden.
Projekte, die heute starten, sollten bereits nach MVO-Schutzzielen konzipiert werden, um 2027 keine Doppelarbeit zu haben.

Drei Kernbegriffe im Überblick – Hierarchie

Die MVO verweist auf die Methodik der EN ISO 12100 (Risikobeurteilung und Risikominderung) und ordnet die Begriffe klar ein.

Begriff	Rolle in der MVO-Compliance
Risikobeurteilung	Gesetzlich vorgeschriebener Analyseprozess, um die anzuwendenden grundlegenden Sicherheits- und Gesundheitsschutzanforderungen zu bestimmen.
Risikobewertung	Entscheidungsschritt innerhalb der Risikobeurteilung: Ist das Risiko bereits ausreichend gemindert?
Risikomanagement	Übergeordneter Rahmen: Strategie, Organisation und laufende Kontrolle aller Risiken über den Lebenszyklus.

Risikobeurteilung ist der zentrale Pflichtprozess nach MVO.
Risikobewertung ist der kritische Entscheidungspunkt innerhalb dieses Prozesses.
Risikomanagement stellt sicher, dass die Ergebnisse umgesetzt, überwacht und dokumentiert werden.

Ursache–Wirkungs-Kette der Maschinenverordnung

Ursache – Die MVO als rechtlicher Auslöser

Die MVO legt in Artikel 10 und Anhang III die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen fest, die Hersteller erfüllen müssen.

Neu betont werden:

digitale und systemische Risiken (vernetzte Maschinen, Software mit Sicherheitsfunktion, Remote-Zugriffe)
KI-Funktionen in Steuerungen und Sicherheitsbauteilen
die Möglichkeit, Anleitungen und Konformitätserklärungen digital bereitzustellen – unter klaren Auflagen

Diese Anforderungen sind die Ursache für die folgenden Pflichtprozesse.

Wirkung 1 – Die Risikobeurteilung als Analyseprozess

Die MVO verlangt ausdrücklich, dass Hersteller eine Risikobeurteilung durchführen, um festzulegen, welche Schutzziele gelten und wie die Maschine zu entwerfen ist.

Die Risikobeurteilung folgt dem bekannten iterativen Ablauf der EN ISO 12100:

Grenzen der Maschine festlegen
Einsatzbereich, Betriebsarten, Benutzergruppen, Umgebungsbedingungen, Lebensphasen.
Gefährdungen identifizieren (Risikoanalyse)
Mechanische, elektrische, thermische, ergonomische, Lärm-, Vibrations-, Strahlungs- und stoffliche Gefährdungen – ergänzt um digitale Gefährdungen wie Manipulation von Steuerungen, unautorisierte Fernzugriffe und Datenintegritätsverluste.
Risiko einschätzen
Kombination aus Schwere möglicher Schäden und Eintrittswahrscheinlichkeit pro Gefährdungssituation.
Risikobewertung
Entscheidung, ob das Risiko auf ein akzeptables Maß reduziert ist oder nicht.

Die Risikobeurteilung ist damit das Analyse-Herzstück der MVO-Compliance.

Wirkung 2 – Die Risikobewertung als Entscheidungspunkt

Die Risikobewertung ist der „Kippmoment“:

Wenn das Risiko als ausreichend gemindert eingestuft wird → keine weiteren Maßnahmen nötig.
Wenn nicht, müssen zusätzliche Maßnahmen umgesetzt werden.

Basis ist das 3-Stufen-Prinzip der Risikominderung aus EN ISO 12100:

Inhärent sichere Konstruktion
Technische/zusätzliche Schutzmaßnahmen
Benutzerinformationen (Warnhinweise, Betriebsanleitung)

Die Risikobewertung ist damit die Brücke zwischen Analyse und konkreter Auslegung von Konstruktion, Steuerungstechnik und Informationen für den Benutzer.

Wirkung 3 – Risikomanagement über den Lebenszyklus

Das Risikomanagement spannt den Rahmen um alle Phasen:

Entwurf und Entwicklung
Produktion und Fertigung
Installation, Inbetriebnahme und Betrieb
Wartung, Umbau und Modernisierung
Stilllegung und Entsorgung

Es umfasst:

Organisatorische Regelungen (Rollen, Prozesse, Gremien, Vorgabedokumente)
Änderungsmanagement (Bewertung, ob Änderungen eine neue Risikobeurteilung auslösen)
Nachweisführung (Speicherung, Versionierung, Zugriff für Audits und Marktüberwachung)
Kontinuierliche Verbesserung aus Erfahrungsrückmeldung, Schadensfällen, neuem Stand der Technik und Marktüberwachungsfällen

Das Risikomanagement sorgt dafür, dass Sicherheit nicht ein einmaliger Akt, sondern ein kontinuierlicher Prozess ist.

Betreiberpflichten nach BetrSichV – Gefährdungsbeurteilung und Maschinensicherheit

Ursache-Wirkungs-Kette: Von den MVO-Anforderungen zur CE-konformen Maschine

Praktische Konsequenzen für Hersteller

Klarheit über den Geltungsbereich

Hersteller müssen prüfen, welche Produkte unter die MVO fallen:

klassische Maschinen (z. B. Werkzeugmaschinen, Förderanlagen, Druckmaschinen)
unvollständige Maschinen (z. B. Steuerungen, Sicherheitskomponenten, auswechselbare Ausrüstungen)
neu: teils auch Softwareprodukte mit Sicherheitsfunktion, falls diese einer Maschine gleichzusetzen sind

Zubehör, Werkzeuge und bloße Ersatzteile können als unvollständige Maschinen gelten, wenn sie nachträglich in eine Maschine integriert werden und deren Sicherheitsverhalten beeinflussen.

Integration der Risikobeurteilung in Entwicklungsprozesse

Die Risikobeurteilung darf nicht als isolierte Dokumentenübung am Ende der Entwicklung stattfinden.

Best Practice:

Risikobeurteilung bereits in der Konzeptphase starten.
Iterative Bewertung und Fortschreibung in allen Phasen (Prototyp, Muster, Serie).
Formale Freigabe vor Produktionsstart (z. B. als Bestandteil von Gate-Entscheidungen).
Nachbewertung bei Änderungen und nach Inbetriebnahme.

Umgang mit „wesentlichen Veränderungen“ durch Betreiber

Ein Betreiber wird rechtlich zum Hersteller, wenn er eine Maschine so verändert, dass sich das Sicherheitsniveau maßgeblich ändert. Beispiele:

Austausch der Steuerung durch eine mit anderen Funktionen
Anbau neuer Ausrüstungen, die neue Gefährdungen schaffen (z. B. Schweißroboter an einer Montageanlage)
Software-Update an sicherheitsrelevanten Steuerungen, das die Funktionalität erweitert

In diesen Fällen sind neue Risikobeurteilung, Konformitätsbewertung und ggf. neue CE-Kennzeichnung erforderlich. Hersteller können Betreiber dabei unterstützen, indem sie klar definieren, was zulässige Wartung und was „wesentliche Veränderung“ ist.

Verzahnung von Risikobeurteilung und Technischer Dokumentation

Die Technische Dokumentation (Anhang V der MVO) muss das Ergebnis der Risikobeurteilung vollständig darstellen:

Festlegung der Grenzen
Liste identifizierter Gefährdungen
Risikoeinschätzung und -bewertung je Situation
umgesetzte Schutzmaßnahmen (inhärent, technisch, informatorisch)
Restrisiken, die in der Betriebsanleitung zu dokumentieren sind

Die Betriebsanleitung selbst muss auf die identifizierten Restrisiken eingehen – mit Warnhinweisen, Handlungsanleitungen und ggf. Qualifikationsanforderungen für Bediener.

Betreiberpflichten nach BetrSichV – Gefährdungsbeurteilung und Maschinensicherheit

Technische Dokumentation: Risikobeurteilung als Grundlage für CE-Konformität

Besonderheiten bei digitalen Risiken

Die MVO erweitert den klassischen Gefährdungskatalog ausdrücklich um digitale und systemische Risiken. Das hat praktische Auswirkungen auf die Risikobeurteilung und das Risikomanagement.

Digitale Risiken sind nicht nur ein Thema der Erstbewertung, sondern müssen im laufenden Betrieb beobachtet werden.

Cybersecurity

Segmentierung von Netzwerken, Härtung von Schnittstellen, Schutz vor unautorisierten Remote-Zugriffen
Patch- und Schwachstellenmanagement mit Bewertung, ob und wann Sicherheitsupdates eingespielt werden und welche Auswirkungen das auf die Risikobeurteilung hat
Protokollierung sicherheitsrelevanter Ereignisse (Logfiles) und Zugriffsvorgänge

KI-Funktionen

Regeln für die Lernphase (z. B. Trainingsdaten, Parameter, Freigabeprozesse)
Begrenzung von Autonomie in sicherheitskritischen Funktionen
regelmäßige Überprüfung, ob das reale Verhalten dem freigegebenen Risikoprofil entspricht

Dokumentation, Nachweisführung und Marktüberwachung

Die MVO fordert, dass Technische Dokumentation und EU-Konformitätserklärung mindestens 10 Jahre bereitgehalten werden; bei langlebigen Produkten praktisch oft länger.

Bausteine eines belastbaren Nachweissystems:

zentrale, versionsgesicherte Ablage der Risikobeurteilungen
Änderungsprotokolle zu Software-Ständen, Parametern, Konfigurationen
Freigabedokumente zu Umbauten und Modernisierungen
Verknüpfung zur Betriebsanleitung (z. B. über Dokumenten-IDs oder QR-Codes) und Serviceunterlagen

Digitalisierung erleichtert diese Nachweiskette, setzt aber zugleich Schutz gegen Manipulation voraus.

Roadmap für Unternehmen – in vier Schritten

Bestandsaufnahme
- Welche Produkte sind von der MVO betroffen?
- Wie werden Risikobeurteilungen aktuell erstellt und gepflegt?
- Wie steht es um digitale Dokumentation und Änderungsmanagement?
Konzept und Lenkung
- Definition der Governance (Rollen, Gremien, Verantwortlichkeiten).
- Abbildung von MVO-Anforderungen in internen Richtlinien und Arbeitsanweisungen.
Implementierung
- Anpassung der Entwicklungsprozesse (z. B. Integration von Risikobeurteilung in Stage-Gate-Modelle).
- Einführung oder Erweiterung von Änderungsmanagement, Log-Systemen und Dokumentationsportalen.
Überwachung und Verbesserung
- regelmäßige Reviews von Risikobeurteilungen und Sicherheitskonzepten
- Lessons Learned aus Vorkommnissen und Marktüberwachungsfällen
- laufende Schulungen zu MVO, Cyber- und KI-Risiken

Quellen & Rechtsgrundlagen

Verordnung (EU) 2023/1230

Der offizielle Rechtstext der neuen EU-Maschinenverordnung

EUR-Lex

Richtlinie 2006/42/EG

Maschinenrichtlinie

EUR-Lex

Europäische Kommission – Maschinen

Internal Market, Industry, Entrepreneurship and SMEs

europa.eu

DIN EN ISO 12100:2011 – Sicherheit von Maschinen – Risikobeurteilung und Risikominderung

DIN EN ISO 12100:2011-03

DINMEDIA.de

✔ Nächste Schritte für B2B-Teams

Risikobeurteilung, Risikomanagement und Technische Dokumentation jetzt an MVO-Anforderungen anpassen.
Cyber-Risiken & KI-Funktionen in der Risikobeurteilung verankern und Prozesse für laufende Überwachung etablieren.
Entwicklungsprozesse an iterative Risikobeurteilung anpassen (Konzept → Prototyp → Serie → Nachbewertung).
Änderungsmanagement & Nachweisführung digitalisieren – mit Schutz gegen Manipulation.