Marktzugang nur mit sicherer Software

Mit drei neuen Regelwerken sorgt die EU dafür, dass Software‑Integrität und Cybersicherheit einen noch größeren Stellenwert für die Produktsicherheit bekommen. Diese Aspekte kommen nun zur funktionalen und physischen Sicherheit von Produkten hinzu. Für Unternehmen bedeutet dies, dass die CE-Kennzeichnung eines physischen Produkts künftig untrennbar an die Sicherheit seiner Software gebunden ist. Beim IHK-Fachforum „EU-Regelwerke für den Maschinen- und Anlagenbau“ konnten sich die Teilnehmer über die drei EU-Regelwerke informieren, in denen die Vorschriften festgelegt sind: Maschinenverordnung (M‑VO), KI‑Verordnung (KI‑VO) und Cybersicherheits-VO (Cyber Resilience Act CRA).

„Diese Verordnungen führen zu einem grundlegenden Wandel im europäischen Binnenmarkt. Sie bilden einen einheitlichen Sicherheitsrahmen für physische Produkte, Software und KI“, so Dr. Elfriede Eberl, Technologie-Referentin der IHK Nürnberg für Mittelfranken. Während die KI-VO die Logik der Algorithmen adressiert, zielt der CRA auf die technische Integrität ab. Die Anforderungen werden nun zu verbindlichen Voraussetzungen für den Marktzugang in der EU, zudem sollen sie für gleiche Wettbewerbsbedingungen gegenüber Herstellern aus Drittstaaten führen. Unternehmen, die frühzeitig in Compliance, Cyber-Sicherheit und klare Governance investieren, reduzieren Haftungsrisiken und stärken ihre Wettbewerbsposition im europäischen Markt, so die Referenten des IHK-Fachforums.

Maschinenverordnung 2023/1230 (M-VO): Die M‑VO, die ab 10. Januar 2027 vollständig gilt, verknüpft die physische Maschinensicherheit erstmals systematisch mit Software- und KI-Sicherheit. Wird KI als sicherheitsrelevante Komponente eingesetzt und ist eine notifizierte Stelle erforderlich, gilt die Maschine automatisch als Hochrisiko‑System im Sinne der KI‑VO. Die Sicherheit der Hardware ist damit unmittelbar an die Robustheit der eingesetzten Algorithmen gebunden.

Cybersicherheits-Verordnung 2024/1542 (Cyber Resilience Act CRA): Der CRA definiert Cybersicherheit als verpflichtend über den gesamten Lebenszyklus digitaler Produkte. Ab dem 11. September 2026 bestehen u. a. folgende Pflichten:

• Die SBOM (Software Bill of Materials) verpflichtet die Unternehmen, alle Software-Komponenten und deren Beziehungen innerhalb der Software-Lieferkette zu dokumentieren und für Behörden verfügbar zu halten.
• Wenn einem Unternehmen bekannt wird, dass Schwachstellen von Angreifern ausgenutzt wurden, muss es dies innerhalb von 24 Stunden an die European Union Agency for Cybersecurity (ENISA) melden (www.enisa.europa.eu).
• Unternehmen müssen die Sicherheits-Updates über die festgelegte Support-Dauer bereitstellen. Die Support-Dauer orientiert sich dabei an dem Produkttyp, der erwarteten Nutzungsdauer bzw. Produktlebensdauer sowie an dem Einsatzzweck des Produkts.

Um all dies sicherzustellen, müssen die Unternehmen Prozesse einrichten, um Sicherheitslücken zu erkennen, zu melden und zu beheben. Vollständig in Kraft tritt der CRA zum 11. Dezember 2027.

KI‑Verordnung 2024/1689 (KI-VO): Die Verordnung schafft einen risikobasierten Rahmen für den Einsatz von KI. Schon seit Februar 2025 verbietet sie bestimmte Praktiken wie beispielsweise Social Scoring, prädiktive Strafrisiko-Bewertung sowie Emotionserkennung am Arbeitsplatz. Die Anwendung der Verordnung erfolgt stufenweise bis 1. August 2027.

Die Einstufung in Risikokategorien bestimmt den regulatorischen Aufwand:

• inakzeptables Risiko: Einsatz vollständig untersagt
• hohes Risiko: umfassende Konformitätsanforderungen
• begrenztes Risiko: Transparenzpflichten
• minimales Risiko: keine zusätzlichen Pflichten

Für Hochrisiko‑Systeme gelten entsprechend hohe Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht und Qualitätsmanagement.

Die Anforderungen von CRA und KI‑VO greifen ineinander: Wer die CRA-Konformität erreicht, erfüllt wesentliche Vorgaben der Cyber-Sicherheit der KI‑VO bereits vorab.

Der Gesetzgebungsprozess für die KI-VO auf der EU-Ebene sei allerdings noch nicht abgeschlossen, so Eberl. Deshalb werde es voraussichtlich Verschiebungen der Fristen für Teile der KI-VO geben. Erst wenn dieser Prozess beendet sei, könnten die neuen Fristen endgültig in Kraft treten. Nach aktuellem Stand sieht der Zeitplan für die KI-VO folgendermaßen aus – abhängig vom politischen Entscheidungsprozess:

• seit Februar 2025: Verbot besonders riskanter KI-Systeme
• seit August 2025: Transparenzpflichten für allgemeine KI-Modelle
• ab Dezember 2027: Anwendung der Regeln für Hochrisiko-KI aus Anhang III (z. B. Bewerbungsverfahren, Kreditbewertungen)
• ab August 2028: Anwendung der Regeln für Hochrisiko-KI aus Anhang I (z. B. Medizinprodukte oder große IT-Systeme)
• Dezember 2030: Übergangsfrist für bestimmte bestehende Großsysteme („Legacy-Systeme“)

In Deutschland übernimmt die Bundesnetzagentur eine zentrale Rolle bei der Marktüberwachung. Sie unterstützt Unternehmen aber auch dabei, sich auf die neuen Regelungen vorzubereiten. Zu den Serviceangeboten gehört beispielsweise der „KI-Service-Desk“ sowie der „KI-Compliance-Kompass“, mit dem sich das Risikoprofil eines Unternehmens vorab einschätzen lässt, sodass es die entsprechenden Maßnahmen besser planen kann.