Zum Inhalt springen

Doppel-Compliance

Die meisten Maschinen mit digitalen Elementen fallen unter zwei Regulierungen zugleich: den CRA und die Maschinenverordnung (EU) 2023/1230, die ab dem 20. Jan 2027 gilt und Cybersicherheit zu einer grundlegenden Sicherheits- und Gesundheitsschutzanforderung macht. Die Doppel-Compliance ist die „einmal machen“-Sicht: Ihr Anhang-I-Register ist die eine Evidenzbasis, und ein versionierter Crosswalk leitet ab, was diese Evidenz anderswo demonstriert.

Maschinenverordnung, Anhang III:

  • 1.1.9 — Schutz gegen Korrumpierung: Angeschlossene Geräte dürfen keine Gefährdungssituation erzeugen; sicherheitskritische Hardware, Software und Daten sind gegen Korrumpierung zu schützen, mit Sammlung von Eingriffsnachweisen; die Maschine muss ihre sicherheitsrelevante installierte Software identifizieren.
  • 1.2.1(a) — Steuerungssysteme müssen, soweit den Umständen und Risiken angemessen, beabsichtigten und unbeabsichtigten äußeren Einwirkungen standhalten, einschließlich vernünftig vorhersehbarer böswilliger Versuche Dritter, die zu einer Gefährdungssituation führen.
  • 1.2.1(f) — das Rückverfolgungsprotokoll der eingriffsbezogenen Daten und der nach dem Inverkehrbringen aufgespielten Sicherheitssoftware-Versionen, fünf Jahre nach jedem Upload aktiviert, ausschließlich zum Konformitätsnachweis auf begründetes Verlangen einer zuständigen Behörde.

(Die in Resilic angezeigten Bezeichnungen sind kurze Paraphrasen des Amtsblatt-Texts und als solche gekennzeichnet.)

KI-Verordnungs-Zweig — über CRA Art. 12: Für Produkte mit einem erfassten im Anwendungsbereich liegenden Hochrisiko-KI-System (siehe KI-Systeme) kann CRA Art. 12(1) die Cybersicherheitsanforderungen aus Art. 15 der KI-Verordnung als erfüllt gelten lassen — nur Cybersicherheit, nie Genauigkeit oder Robustheit aus Art. 15 — und nur, wenn Anhang I Teil I und II erfüllt sind und das Schutzniveau in der EU-Konformitätserklärung nach dem CRA nachgewiesen wird. Der Bericht trägt diese fortlaufende Bedingung immer: Der KI-Verordnungs-Zweig kann nie allein aus dem Registerstatus als „erledigt“ erscheinen. Ohne erfasste In-Scope-KI-Systeme wird der Zweig als für kein erfasstes KI-System relevant ausgewiesen.

Für jede Zielanforderung benennt der Crosswalk die CRA-Anhang-I-Einträge, die sie belegen, samt Begründung der Zuordnung. Der Status wird beim Lesen berechnetErfüllt (alle zugeordneten Einträge erfüllt oder begründet nicht zutreffend), Teilweise oder Lücke — nichts wird gespeichert, eine Crosswalk-Korrektur hinterlässt also nie veraltete Urteile.

Die Ansicht exportiert als PDF-Demonstration in jedem Zustand — der aktuelle Stand wird gedruckt, einschließlich der Vorbehalte und eines Querverweises, wie viele Ihrer Produkte eine freigegebene Cyber-Risikobeurteilung haben (das rahmt die Formulierung „den Risiken angemessen“ aus 1.2.1(a)).

Das CRA↔MVO-Zusammenspiel funktioniert nur, „wenn der Hersteller es nachweist“ — dieses Feature ist dieser Nachweis, strukturiert und druckbar. Es ist Readiness-Evidenz, keine Konformitätsbewertung, kein CE-Anspruch und keine Aussage, eine der Regulierungen sei „abgedeckt“.