Risikomanagement im Maschinenlebenszyklus nach MVO (EU) 2023/1230

Die Maschinenverordnung (EU) 2023/1230 verschiebt den Fokus von einer einmaligen Prüfung vor Inverkehrbringen hin zu einem kontinuierlichen Lebenszyklusansatz: Risiken müssen nicht nur bei der Konstruktion, sondern über die gesamte Nutzungsdauer betrachtet werden – inklusive Software-Updates, Umbauten und KI-Verhalten. Risikomanagement wird damit zu einer dauerhaft zu steuernden Managementaufgabe.

• Maschinen werden vernetzt, ferngewartet und softwareseitig aktualisiert.
• Funktionen können sich dynamisch verändern (z. B. durch KI-Modelle oder geänderte Steuerungssoftware).
• Betreiber nehmen Anpassungen vor, die sicherheitsrelevant sein können.

Die MVO verlangt, dass Risiken über den Lebenszyklus überwacht und bei Änderungen neu bewertet werden.

Governance und Rollen

• klare Verantwortlichkeiten für Sicherheit (Safety) und Informationssicherheit (Security)
• definierte Schnittstellen zwischen Entwicklung, IT, Service, Dokumentation und Compliance
• verbindliche Prozesse für Freigaben, Änderungen und Eskalationen

Prozesse entlang des Lebenszyklus

• Neuentwicklung: Risikobeurteilung als integraler Bestandteil des Entwicklungsprozesses, nicht als Abschlussdokument.
• Inverkehrbringen: Übergabe von Risikobeurteilung, Konformitätserklärung und Betriebsanleitung an Kunde und interne Stellen.
• Betrieb & Wartung: Rückmeldungen aus Feld, Unfälle, Beinaheereignisse, Störungen fließen zurück in das Risikomanagement.
• Umbauten & Updates: formalisierte Bewertung, ob Maßnahmen eine wesentliche Veränderung darstellen.

Typische Auslöser:

• konstruktive Umbauten an Maschine, Schutzumhausung, Steuerung
• Integration neuer Module (Roboter, Werkzeuge, Sensorik, Softwarepakete)
• sicherheitsrelevante Software-Updates oder Konfigurationsänderungen
• neue Einsatzbedingungen (andere Materialien, andere Umgebung, andere Benutzergruppen)
• Rückmeldungen aus Unfällen, Beinaheereignissen oder Prüfungen der Marktüberwachung

Je nach Auswirkung ist zu entscheiden, ob eine Ergänzung der Risikobeurteilung genügt oder eine vollständige Neubewertung erforderlich ist.

Digitale Risiken sind nicht nur ein Thema der Erstbewertung, sondern müssen im laufenden Betrieb beobachtet werden.

Cybersecurity

• Segmentierung von Netzwerken, Härtung von Schnittstellen, Schutz vor unautorisierten Remote-Zugriffen
• Patch- und Schwachstellenmanagement mit Bewertung, ob und wann Sicherheitsupdates eingespielt werden und welche Auswirkungen das auf die Risikobeurteilung hat
• Protokollierung sicherheitsrelevanter Ereignisse (Logfiles) und Zugriffsvorgänge

KI-Funktionen

• Regeln für die Lernphase (z. B. Trainingsdaten, Parameter, Freigabeprozesse)
• Begrenzung von Autonomie in sicherheitskritischen Funktionen
• regelmäßige Überprüfung, ob das reale Verhalten dem freigegebenen Risikoprofil entspricht

Die MVO fordert, dass Technische Dokumentation und EU-Konformitätserklärung mindestens 10 Jahre bereitgehalten werden; bei langlebigen Produkten praktisch oft länger.

Bausteine eines belastbaren Nachweissystems:

• zentrale, versionsgesicherte Ablage der Risikobeurteilungen
• Änderungsprotokolle zu Software-Ständen, Parametern, Konfigurationen
• Freigabedokumente zu Umbauten und Modernisierungen
• Verknüpfung zur Betriebsanleitung (z. B. über Dokumenten-IDs oder QR-Codes) und Serviceunterlagen

Digitalisierung erleichtert diese Nachweiskette, setzt aber zugleich Schutz gegen Manipulation voraus.

1. Bestandsaufnahme
   • Welche Produkte sind von der MVO betroffen?
   • Wie werden Risikobeurteilungen aktuell erstellt und gepflegt?
   • Wie steht es um digitale Dokumentation und Änderungsmanagement?
2. Konzept und Lenkung
   • Definition der Governance (Rollen, Gremien, Verantwortlichkeiten).
   • Abbildung von MVO-Anforderungen in internen Richtlinien und Arbeitsanweisungen.
3. Implementierung
   • Anpassung der Entwicklungsprozesse (z. B. Integration von Risikobeurteilung in Stage-Gate-Modelle).
   • Einführung oder Erweiterung von Änderungsmanagement, Log-Systemen und Dokumentationsportalen.
4. Überwachung und Verbesserung
   • regelmäßige Reviews von Risikobeurteilungen und Sicherheitskonzepten
   • Lessons Learned aus Vorkommnissen und Marktüberwachungsfällen
   • laufende Schulungen zu MVO, Cyber- und KI-Risiken