Det gamla maskindirektivet nämnde aldrig cybersäkerhet. I nästan två decennier har maskinbyggare behandlat funktionell säkerhet och IT-säkerhet som helt separata discipliner, hanterade av olika team, styrda av olika standarder och sällan diskuterade i samma möte. Den eran tar slut den 20 januari 2027.
När EU:s maskinförordning (EU) 2023/1230 ersätter direktiv 2006/42/EG blir cybersäkerhet en juridisk säkerhetsskyldighet för maskiner som släpps ut på den europeiska marknaden. Inte en rekommendation. Inte en bästa praxis. Ett obligatorisk väsentligt hälso- och säkerhetskrav, verkställbart genom marknadstillsyn och CE-märkning. Månader senare lägger Cyber Resilience Act ytterligare cybersäkerhetsförpliktelser ovanpå.
Denna artikel förklarar vad som förändrades, vilka krav som gäller, hur standardlandskapet tar form och vad maskinbyggare behöver göra innan deadlines träffar.
Vad som förändrades från direktivet till förordningen
Övergången från ett direktiv till en förordning är mer än en teknikalitet. Direktiv kräver nationell transponering, vilket betydde 27 något olika implementeringar över EU:s medlemsstater. Förordningar gäller direkt och enhetligt. Från den 20 januari 2027 möter varje maskinbyggare som säljer till EU samma regler, tolkade på samma sätt, utan nationellt manöverutrymme.
Utöver den juridiska formen introducerar förordningen flera substantiella förändringar som speglar hur maskiner har utvecklats sedan 2006.
Mjukvara är nu uttryckligen en säkerhetskomponent. Det gamla direktivet fokuserade på fysisk hårdvara. Förordningen erkänner att mjukvara som utför en säkerhetsfunktion, även när den släpps på marknaden oberoende, utgör en säkerhetskomponent underkastad alla krav på överensstämmelsebedömning. Denna enda förändring drar in otaliga mjukvarudrivna säkerhetssystem i regleringsomfattning.
Cybersäkerhet kommer in i de väsentliga hälso- och säkerhetskraven. Två nya EHSR (1.1.9 och 1.2.1) kräver skydd mot korruption av säkerhetsrelevanta system. Dessa har ingen motsvarighet i det gamla direktivet.
Betydande modifiering utlöser tillverkarförpliktelser. Om någon väsentligt modifierar en maskin blir de tillverkare för regleringsändamål och ärver hela uppsättningen förpliktelser inklusive de nya cybersäkerhetskraven. Detta är viktigt för systemintegratörer som eftermontera eller uppgraderar befintliga installationer.
Listan över högrisksmaskiner har utökats. Bilaga I täcker nu fler maskinkategorier som kräver obligatorisk tredjepartsöverensstämmelsebedömning. Maskiner med AI-baserade säkerhetsfunktioner visas uttryckligen och kräver Notified Body-inblandning oavsett om harmoniserade standarder har tillämpats.
Digital dokumentation är tillåten. Bruksanvisningar och EU-förklaringar om överensstämmelse kan levereras digitalt, med pappersexemplar tillgängliga på begäran. En liten men praktisk modernisering.
Övergången är en hård gräns. Till och med den 19 januari 2027 gäller endast det gamla direktivet. Från den 20 januari 2027 gäller endast förordningen. Det finns ingen överlappningsperiod där tillverkare kan välja. Om du släpper en maskin på marknaden på det datumet måste den följa de nya reglerna.
De två cybersäkerhetskraven förklarade
Maskinförordningens cybersäkerhetsförpliktelser är koncentrerade i två väsentliga hälso- och säkerhetskrav inom bilaga III.
EHSR 1.1.9 om skydd mot korruption
Detta krav säger att maskiners säkerhetsrelevanta mjukvara, data och hårdvarukomponenter som överför signaler eller data måste identifieras som sådana och skyddas mot korruption. Termen "korruption" är medvetet bred och omfattar oavsiktlig korruption (en förvrängd signal, en bit-flip, en misslyckad uppdatering) och avsiktlig korruption, inklusive illvilliga attacker.
Den praktiska implikationen är enkel men långtgående. Varje maskinbyggare måste först identifiera vilka mjukvaru-, data- och hårdvaruelement som är säkerhetsrelevanta. Sedan måste de visa att lämpliga skyddsåtgärder finns på plats. "Lämpliga" är där ingenjörsbedömningen kommer in, och där de framväxande standarderna ger vägledning.
EHSR 1.2.1 om säkerhet och tillförlitlighet för styrsystem
Detta krav utökar den befintliga skyldigheten för tillförlitliga styrsystem genom att lägga till att de måste stå emot "rimligt förutsebara illvilliga försök av tredje parter" som kan leda till en farlig situation.
Frasen "rimligt förutsebar" utför viktigt arbete här. Det kräver inte skydd mot varje tänkbar nationalstatsattack. Men det kräver att tillverkare tänker på vilka typer av illvillig interferens som är realistisk med tanke på maskinens anslutning, driftmiljö och exponering. En maskin ansluten till det offentliga internet möter olika rimligt förutsebara hot än en som arbetar på en isolerad backplane-buss inuti ett låst skåp.
Vad detta betyder i praktiken
Tillsammans skapar dessa två EHSR en ny skyldighet som sitter mellan traditionell funktionell säkerhet och fullständig IT-säkerhet. Förordningen ber inte maskinbyggare att bli cybersäkerhetsföretag. Den ber dem att säkerställa att säkerhetsfunktionerna de redan har designat och validerat inte kan undergrävas genom digitala medel.
Detta är fundamentalt ett säkerhet-först-perspektiv på cybersäkerhet. Frågan är inte "kan någon stjäla data från denna maskin?" utan "kan någon manipulera denna maskin till att skada någon?" Konfidentialitet för affärsdata, även om det är viktigt, är inte vad dessa EHSR adresserar. De fokuserar direkt på integritet och tillgänglighet för säkerhetsfunktioner.
Standardlandskapet för maskiners cybersäkerhet
Standarder för maskinsäkerhet följer en trestegs hierarki som har tjänat industrin väl i decennier. Att förstå var cybersäkerhet passar in i denna hierarki är avgörande för att navigera vad som kommer härnäst.
Typ A-standarder etablerar grundläggande säkerhetskoncept och designprinciper tillämpliga för alla maskiner. EN ISO 12100 är den enda typ A-standarden. Den definierar riskbedömningsmetodologin som underbygger allt annat. För närvarande revideras den för att införliva cybersäkerhetsöverväganden, och det uppdaterade utkastet erkänner uttryckligen att hot mot IT-säkerhet kan resultera i farliga situationer.
Typ B-standarder adresserar specifika säkerhetsaspekter eller skyddstyper över många maskinkategorier. EN ISO 13849-1 (prestandanivåer för säkerhetsrelaterade styrsystem) och IEC 62061 (säkerhetsintegritetsnivåer för programmerbara system) är de mest använda. Ingetdera adresserar för närvarande cybersäkerhet på något meningsfullt djup, även om 2023-utgåvan av EN ISO 13849-1 åtminstone erkänner ämnet. Det kritiska nya tillägget här är prEN 50742, som utvecklas specifikt för att adressera skydd mot korruption.
Typ C-standarder ger detaljerade krav för specifika maskintyper. Hundratals av dessa finns, och de refererar typiskt typ A- och B-standarderna medan de lägger till maskinspecifika bestämmelser. Inga adresserar för närvarande cybersäkerhet, och få förväntas utveckla skräddarsydda cybersäkerhetsklausuler. Istället kommer de att referera prEN 50742 för cybersäkerhet, precis som de refererar EN ISO 13849-1 eller IEC 62061 för funktionell säkerhet.
De cirka 800 harmoniserade standarderna som för närvarande listas under det gamla maskindirektivet överförs till förordningen. Var och en kommer att få en ny bilaga ZB som kartlägger dess krav till förordningens EHSR, tillsammans med den befintliga bilaga ZA som kartlägger till direktivet. Europeiska kommissionen utfärdade ett standardiseringsmandat till CEN/CENELEC den 20 januari 2025, med ett utkast till arbetsprogram förfallodatum i juli 2025.
Kritiskt, dessa befintliga standarder adresserar inte de nya cybersäkerhets-EHSR. Det är precis därför prEN 50742 utvecklas som en kompletterande standard. Den avsedda modellen är att tillverkare tillämpar sin befintliga (överförda) harmoniserade typ C-standard plus prEN 50742 för att täcka alla förordningskrav, inklusive cybersäkerhet.
prEN 50742 på djupet
prEN 50742, med titeln "Säkerhet för maskiner - Skydd mot korruption," är den enskilt viktigaste nya standarden för maskiners cybersäkerhet. Utvecklad av CLC/TC 44X (säkerhet för maskiner, elektrotekniska aspekter), gick den till offentlig förfrågan i slutet av 2025 med en CENELEC-deadline i februari 2026. När den är färdigställd och harmoniserad under förordningen kommer tillämpning av den att ge tillverkare en presumtion av överensstämmelse med EHSR 1.1.9 och 1.2.1.
Omfattning och tillvägagångssätt
Standarden täcker hårdvarukomponenter (inklusive gränssnitt till fjärrenheter och styrsystem), mjukvara och data, var de än kan påverka maskinernas säkerhet. Den gäller över hela livscykeln, från utveckling genom tillverkning, idrifttagning, drift, underhåll och avveckling.
En av dess mest pragmatiska funktioner är dubbelmetodstrukturen. Tillverkare kan välja mellan två vägar.
Metod A (klausuler 5 och 7) är en självständig uppsättning process- och produktkrav utvecklade för tillverkare som inte har antagit IEC 62443-ramverket. Den definierar säkerhetsrelaterade säkerhetsnivåer (SRSL) från SRSL0 till SRSL3, med eskalerande krav för autentisering, auktorisering, integritetverifiering, inputvalidering och upptäckt av fysisk manipulation. Detta tillvägagångssätt låter mindre tillverkare eller de som är nya till cybersäkerhet uppfylla kraven utan att först implementera den fullständiga IEC 62443-infrastrukturen.
Metod B (klausuler 6 och 8) är designad för tillverkare som redan arbetar med IEC 62443. Den kartlägger maskinkrav direkt till IEC 62443-3-3 (systemsäkerhet), IEC 62443-4-1 (säker utvecklingslivscykel) och IEC 62443-4-2 (komponentsäkerhet). Standarden specificerar exakt vilka säkerhetskrav från IEC 62443 som måste uppfyllas, på vilka säkerhetsnivåer, för vilka grundläggande krav. Till exempel måste maskinsystem under metod B följa IEC 62443-3-3 på SL-C2 för identifiering och autentiseringskontroll, användningskontroll, systemintegritet och resurstillgänglighet.
Båda metoderna delar gemensamma klausuler som täcker riskbedömning (per EN ISO 12100), allmänna principer för skydd mot korruption och krav på information för användning.
SRSL-konceptet
För metod A introducerar standarden säkerhetsrelaterade säkerhetsnivåer (SRSL) som mekanismen för att bestämma hur mycket skydd en given säkerhetsfunktion behöver. SRSL bestäms genom en hotbedömning som överväger tre faktorer.
Exponeringsnivån (EL0 genom EL4) reflekterar attackytan för gränssnittet under övervägande. EL0 gäller helt isolerade interna komponenter. EL1 täcker fysiska åtkomstpunkter som USB-portar eller RJ45-kontakter på maskingränsen. EL2 täcker lokala OT-nätverksanslutningar. EL3 sträcker sig till fabriksnivå nätverk som överbryggar OT och IT. EL4 gäller anslutningar till otillförlitliga nätverk, inklusive internet.
Angriparens förmåga överväger vilken nivå av färdighet och kunskap en angripare skulle behöva. Skalan sträcker sig från minimal kunskap med grundläggande färdigheter (script kiddies) genom måttlig kunskap med specialistfärdigheter (tränade tekniker) till omfattande kunskap med avancerade förmågor (illvilliga insiders eller högt tränade hackare).
Möjlighetsfönstret tar hänsyn till hur mycket tid och åtkomst en angripare realistiskt skulle ha, från mycket begränsad (sällan tillgänglig, under konstant övervakning) till obegränsad (öppen, frekvent åtkomst).
Dessa faktorer kombineras för att producera en attackpotentialpoäng, som tillsammans med säkerhetspåverkan av funktionen som skyddas (uttryckt som en prestandanivå per EN ISO 13849-1) bestämmer den nödvändiga SRSL.
Loggning och spårbarhet
Standarden kräver att maskiner registrerar bevis på interventioner som påverkar säkerhetsrelaterade styrsystem. En "intervention" är varje legitim eller illegitim åtgärd som ändrar säkerhetsrelevant mjukvara, data eller konfiguration. Loggposter måste inkludera typen av intervention, medel för att korrelera händelser (tidsstämplar eller räknare) och bevis på eventuell loggborttagning. Loggar måste behållas i minst fem år och skyddas mot manipulation.
Detta loggkrav är anmärkningsvärt eftersom det skapar ett forensiskt spår för säkerhetsrelevanta modifieringar. Om en maskin är inblandad i en olycka och foul play misstänks, ger spårningsloggen bevis på vad som ändrades och när.
Information för användning
Tillverkare måste dokumentera säkerhetskontexten för maskinen (vilken miljö den är designad att operera i), tillhandahålla identifiering av säkerhetsrelevanta mjukvaruversioner och konfigurationer, förklara hur man kommer åt denna information och specificera vilka modifieringar som är tillåtna eller förbjudna. Denna information blir en del av maskinens bruksanvisningar.
IEC 62443 för maskinbyggare
IEC 62443 är den internationella standardserien för cybersäkerhet för industriella automatisering och styrsystem (IACS). Den designades inte för maskinbyggare specifikt, men förblir det mest omfattande och mogna cybersäkerhetsramverket tillgängligt för industriella applikationer. prEN 50742 refererar den omfattande, och praktisk erfarenhet av IEC 62443 kommer att vara avgörande för att uppfylla förordningens krav.
Rollkartläggningsutmaningen
IEC 62443 definierar tre primära roller: produktleverantörer (som tillverkar komponenter), systemintegratörer (som monterar system från komponenter) och tillgångsägare (som driver system). Maskinbyggare passar opraktiskt in i detta schema.
En seriemaskin tillverkare designar och bygger kompletta system, sedan släpper dem på marknaden som produkter. De agerar som produktleverantörer i termer av utvecklingsprocesser (IEC 62443-4-1 gäller) och deras maskiner innehåller komponenter som borde uppfylla IEC 62443-4-2. Men de integrerar också dessa komponenter i ett system, vilket gör IEC 62443-3-3 relevant.
Anpassade maskin- och anläggningsbyggare sitter närmare systemintegratörrollen, väljer och monterar komponenter från olika leverantörer till en skräddarsydd installation. För dem är IEC 62443-3-2 (säkerhetsriskbedömning för systemdesign) och IEC 62443-3-3 (systemsäkerhetskrav) särskilt relevanta.
Vilka delar som betyder mest
IEC 62443-4-1 definierar den säkra produktutvecklingslivscykeln. Den täcker säkerhetshantering, specifikation av säkerhetskrav, säker design, säker implementering, säkerhetsverifiering och validering, defekthantering, patchhantering och överväganden för livets slut. För varje maskinbyggare som släpper produkter på EU-marknaden är att anta en utvecklingsprocess anpassad till IEC 62443-4-1 förmodligen det högsta-påverkan enskilda steget. Den tillfredsställer krav under både maskinförordningen och Cyber Resilience Act, och prEN 50742 metod B kräver det direkt.
IEC 62443-4-2 specificerar tekniska säkerhetskrav för IACS-komponenter, organiserade kring sju grundläggande krav: identifiering och autentisering, användningskontroll, systemintegritet, data konfidentialitet, begränsat dataflöde, snabb respons på händelser och resurstillgänglighet. Maskinbyggare borde fråga sina komponentleverantörer (PLC-leverantörer, drivtillverkare, HMI-leverantörer) om deras produkter är certifierade till IEC 62443-4-2, och på vilken säkerhetsnivå.
IEC 62443-3-3 täcker säkerhetskrav på systemnivå med samma grundläggande kravstruktur. Det är här den övergripande maskinarkitekturen bedöms, inte bara enskilda komponenter.
IEC 62443-3-2 ger metodologin för att genomföra en säkerhetsriskbedömning på systemnivå. Den definierar zoner och kanaler, identifierar hot och bestämmer målsäkerhetsnivåer. Detta kartlägger väl till hotbedömningsprocessen som krävs av prEN 50742.
Praktiska råd
Försök inte att implementera hela IEC 62443 på en gång. Börja med IEC 62443-4-1 för din utvecklingsprocess och IEC 62443-3-2 för hotbedömningsmetodologi. Använd dessa för att bestämma var dina maskiner faktiskt behöver skydd, tillämpa sedan relevanta komponent- (4-2) och system- (3-3) krav där riskbedömningen säger att de spelar roll. SRSL-konceptet i prEN 50742 metod A skapades precis eftersom fullständig IEC 62443-implementering kan vara överväldigande för maskinbyggare som bara börjar sin cybersäkerhetsresa.
Det dubbla compliance-problemet med Cyber Resilience Act
Här blir det komplicerat. Maskiner med digitala element måste följa både maskinförordningen och Cyber Resilience Act (EU) 2024/2847. Recital 53 av CRA gör detta explicit. Ingen förordning ersätter den andra. Ingen ger undantag från den andra.
Olika omfattning, överlappande territorium
Maskinförordningen fokuserar på säkerhet. Dess cybersäkerhetskrav (EHSR 1.1.9 och 1.2.1) handlar specifikt om att skydda säkerhetsfunktioner mot korruption som kan leda till farliga situationer.
CRA tar en bredare syn. Den gäller alla produkter med digitala element som släpps på EU-marknaden och täcker hela livscykeln av cybersäkerhet: säker design, sårbarhetshantering, säkerhetsuppdateringar, software bills of materials (SBOM) och incidentrapportering. CRA bryr sig inte om en cybersårbarhet skapar en säkerhetsrisk. Om det är en sårbarhet i en produkt med digitala element är det inom omfattningen.
För maskinbyggare betyder detta att förordningens cybersäkerhetskrav är en delmängd av vad CRA kräver. Att uppfylla CRA tillfredsställer inte automatiskt förordningen (eftersom förordningens säkerhetsfokuserade analys är annorlunda), och att uppfylla förordningens cybersäkerhetskrav tillfredsställer inte CRA (eftersom CRA kräver mycket mer än säkerhetsfunktionsskydd).
Gapperioden
Tidslinjerna passar inte ihop snyggt. CRA sårbarhetsrapporteringsförpliktelser börjar den 11 september 2026. Maskinförordningen gäller från den 20 januari 2027. Fullständiga CRA-förpliktelser gäller från den 11 december 2027. Detta skapar en period från januari till december 2027 där maskiner måste följa MR cybersäkerhetskrav men inte ännu den fullständiga CRA. I praktiken är förberedelse för båda samtidigt det enda förnuftiga tillvägagångssättet.
Vad CRA lägger till
Utöver maskinförordningens säkerhetsfokuserade cybersäkerhet introducerar CRA flera förpliktelser som maskinbyggare kommer att finna främmande.
Software Bills of Materials. Tillverkare måste skapa och underhålla en SBOM för varje produkt med digitala element. För en komplex maskin som innehåller dussintals PLC:er, drivsystem, HMI:er, sensorer med inbyggd mjukvara och anpassad applikationskod är detta en betydande dokumentationsansträngning.
Sårbarhetshantering. Tillverkare måste aktivt identifiera och åtgärda sårbarheter under produktens förväntade livstid. Detta inkluderar övervakning av externa sårbarhetsdatabaser, koordinerande avslöjande och tillhandahållande av snabba patchar.
Incidentrapportering. Aktivt utnyttjade sårbarheter måste rapporteras till ENISA inom 24 timmar efter upptäckt, med en fullständig rapport inom 72 timmar. Denna förpliktelse börjar i september 2026, långt innan den fullständiga CRA gäller.
Säkra uppdateringar. Tillverkare måste säkerställa att säkerhetsuppdateringar kan levereras till deras produkter under hela supportperioden, och att dessa uppdateringar är separerade från funktionalitetsuppdateringar så att användare kan tillämpa säkerhetsfixar utan att riskera operativa ändringar.
Multiplikationsproblemet
Branschorganisationer, särskilt CEMA (den europeiska jordbruksmaskinorganisationen), har uttryckt oro över compliance-bördan för komplexa maskiner. En modern skördetröska eller CNC-bearbetningscentrum kan innehålla över 100 enskilda produkter med digitala element, var och en av vilka tekniskt kräver sin egen SBOM, sårbarhetshanteringsprocess och uppdateringsmekanism under CRA. När man beaktar att en maskinbyggare typiskt köper dessa komponenter från tredjepartsleverantörer är koordinationsansträngningen enorm.
Den praktiska lösningen är ett integrerat compliance-tillvägagångssätt. Använd IEC 62443-4-1 som ryggraden i din utvecklingsprocess (den tillfredsställer krav under båda förordningarna), tillämpa prEN 50742 för MR-överensstämmelse, förbered för prEN 40000-serie överensstämmelse för CRA och bygg en enda sårbarhetshanteringsprocess som täcker alla förpliktelser. EU-förklaringen om överensstämmelse för en maskin kommer så småningom att behöva referera både maskinförordningen och CRA, tillsammans med alla andra tillämpliga lagstiftningar.
Sektorspecifika utvecklingar
Medan prEN 50742 ger horisontella cybersäkerhetskrav för alla maskiner utvecklar vissa sektorer sina egna cybersäkerhetsstandarder skräddarsydda för deras specifika driftmiljöer och hotlandskap.
ISO/DIS 24882 för jordbruks- och jordbearbetningsmaskiner
ISO/DIS 24882, "Jordbruksmaskiner, traktorer och jordbearbetningsmaskiner - Produktcybersäkerhet," cirkulerades som en Draft International Standard i slutet av 2025. Utvecklad av ISO/TC 23/SC 19 i samarbete med ISO/TC 127/SC 3 representerar den den första typ C-nivå cybersäkerhetsstandarden för en specifik maskinsektor.
Standarden tar ett riskbaserat tillvägagångssätt och vägleder tillverkare genom systemidentifiering, tillgångsidentifiering, hotmodellering, påverkansbedömning, sannolikhetsassessering och riskbehandling. Den specificerar sedan tekniska cybersäkerhetskrav som täcker säkra mjukvaruuppdateringar, integritet och autenticitetverifiering, härdning och säker konfiguration, loggning och anomaldetektering, åtkomstkontroll och säker kommunikation.
Vad som gör ISO/DIS 24882 särskilt relevant är dess sektorkontext. Jordbruksmaskiner opererar i miljöer där anslutningen snabbt ökar (precisionsjordbruk, flotthantering, autonom drift) medan fysisk säkerhet ofta är minimal (maskiner lämnade på öppna fält, tillgängliga serviceportar, avlägsna platser med begränsad övervakning). Standarden adresserar dessa realiteter direkt.
För tillverkare inom jordbruks- och jordbearbetningssektorerna kommer ISO/DIS 24882 sannolikt att bli en nyckelreferens tillsammans med prEN 50742. Den ger sektorspecifik tolkning av de allmänna cybersäkerhetsprinciperna, precis som sektorspecifika typ C-säkerhetsstandarder tolkar de allmänna principerna för EN ISO 12100.
Andra sektorer kommer sannolikt att följa. Förpackningsmaskiner, träbearbetningsmaskiner och metallbearbetningsmaskiner har alla aktiva standardiseringskommittéer, och cybersäkerhet finns på deras agendor. Maskinbyggare inom dessa sektorer bör övervaka sina relevanta TC-aktiviteter.
Tidslinje och praktisk handlingsplan
Viktiga datum
11 september 2026 markerar när CRA sårbarhetsrapporteringsförpliktelser börjar. Om du upptäcker en aktivt utnyttjad sårbarhet i någon av dina produkter med digitala element efter detta datum måste du rapportera det till ENISA inom 24 timmar.
20 januari 2027 är det hårda tillämpningsdatumet för maskinförordningen. Varje maskin som släpps på marknaden från detta datum måste följa alla krav, inklusive EHSR 1.1.9 och 1.2.1 om cybersäkerhet.
15 maj 2027 är när den gamla EN ISO 13849-1:2015 dras tillbaka och 2023-utgåvan tar över exklusivt. Även om det inte direkt är en cybersäkerhetsdeadline påverkar det design av säkerhetsstyrsystem och interagerar med cybersäkerhetskraven.
11 december 2027 är det fullständiga CRA-tillämpningsdatumet. Alla produkter med digitala element måste uppfylla den kompletta uppsättningen av CRA-krav, inklusive SBOM, sårbarhetshantering, säkra uppdateringar och fullständig livscykel cybersäkerhet.
Sex konkreta steg att ta nu
1. Kartlägg din maskinportfölj för digitala element. Gå genom varje produkt du släpper på marknaden. Vilka innehåller mjukvara? Vilka har nätverksgränssnitt, USB-portar, trådlös anslutning eller fjärråtkomstförmågor? Vilka använder säkerhetsrelaterad inbyggd mjukvara eller säkerhetsrelaterad applikationsmjukvara? Detta inventarium är grunden för allt som följer.
2. Identifiera dina säkerhetsrelevanta digitala tillgångar. För varje maskin, bestäm vilka mjukvaru-, data- och hårdvarukomponenter som är säkerhetsrelevanta. Detta kartlägger direkt till EHSR 1.1.9:s krav att "identifiera som sådana" säkerhetsrelevanta element. Dokumentera vilka säkerhetsfunktioner som beror på vilka digitala komponenter och vilka gränssnitt dessa komponenter exponerar.
3. Anta en säker utvecklingslivscykel. Implementera en utvecklingsprocess anpassad till IEC 62443-4-1. Detta kräver inte certifiering dag ett, men det kräver dokumenterade processer för hotmodellering, säker kodning, säkerhetstestning, sårbarhetshantering och patchleverans. Detta enskilda steg adresserar krav under både maskinförordningen och CRA.
4. Etablera sårbarhetshantering. Bygg en process för övervakning av sårbarhetsdatabaser, mottagande av sårbarhetsrapporter från externa forskare, bedömning av påverkan, utveckling av patchar och kommunikation med kunder. CRA rapporteringsförpliktelserna börjar i september 2026. Du behöver denna process körande före dess.
5. Börja bygga SBOM. Börja dokumentera mjukvarukomponenterna i dina maskiner, inklusive tredjepartsbibliotek, open source-komponenter och leverantörlevererad firmware. Engagera dina komponentleverantörer om deras egna SBOM. Detta är ett CRA-krav som tar tid att implementera ordentligt, särskilt för maskiner med komplexa mjukvaruleverantörskedjor.
6. Övervaka standardutveckling. Spåra framstegen för prEN 50742 (din primära väg till maskinförordning cybersäkerhetsöverensstämmelse), prEN 40000-serien (din väg till CRA-överensstämmelse) och alla sektorspecifika standarder relevanta för dina maskiner. Delta i standardkommittéer om du kan. Att vara del av diskussionen är mycket bättre än att bli överraskad av resultatet.
Vad detta betyder för olika roller
Maskintillverkare (serieproduktion)
Du bär den primära bördan. Som entiteten som släpper maskinen på marknaden är du ansvarig för överensstämmelse med både maskinförordningen och CRA. Du behöver integrera cybersäkerhet i din befintliga säkerhetsteknikprocess, anta en säker utvecklingslivscykel och förbereda för nya dokumentationsförpliktelser (SBOM, sårbarhetshantering, säkerhetskontextdokumentation). I IEC 62443-ramverket fungerar du primärt som en produktleverantör, trots att du levererar kompletta system.
Anpassade maskin- och anläggningsbyggare
Din situation är liknande men komplicerad av det skräddarsydda naturen av ditt arbete. Varje maskin kan ha en unik kombination av komponenter och gränssnitt, vilket gör standardiserade cybersäkerhetsåtgärder svårare att tillämpa. Du sitter närmare systemintegratörrollen i IEC 62443-termer. Ge särskild uppmärksamhet åt IEC 62443-3-2 för säkerhetsriskbedömning och IEC 62443-3-3 för säkerhet på systemnivå. Säkerhetskontextdokumentationen för varje maskin kommer att behöva reflektera dess specifika driftmiljö.
Komponentleverantörer
Om du tillverkar PLC:er, drivsystem, HMI:er, säkerhetsstyrenheter, sensorer med inbyggd mjukvara eller någon annan komponent med digitala element är du direkt underkastad CRA. Dina kunder (maskinbyggare) kommer alltmer att kräva IEC 62443-4-2-certifiering, SBOM för dina produkter och åtagande för sårbarhetshantering och säkerhetsuppdateringar. Att komma före dessa krav är en konkurrensfördel. De som redan kan leverera IEC 62443-4-2-certifierade komponenter med omfattande SBOM kommer att vara föredragna leverantörer när deadlines närmar sig.
Systemintegratörer
Om du modifierar eller väsentligt uppgraderar befintliga maskiner kan förordningens bestämmelser om betydande modifiering göra dig till tillverkare. Det betyder fullständiga compliance-förpliktelser, inklusive cybersäkerhet. Även om dina modifieringar inte utlöser tillverkarstatus bör du förstå cybersäkerhetskraven så att du inte oavsiktligt äventyrar säkerhetsintegriteten för maskinerna du arbetar på. Att lägga till ett fjärråtkomstgränssnitt till en maskin förändrar till exempel dess exponeringsnivå och kan kräva ytterligare skyddsåtgärder.
Säkerhetsingenjörer och konsulter
Din roll expanderar. Riskbedömning per EN ISO 12100 behöver nu överväga cybersäkerhetshot tillsammans med traditionella mekaniska, elektriska och funktionella säkerhetsrisker. Hotbedömningsprocessen i prEN 50742 blir en del av din verktygslåda. Du behöver inte bli en penetrationstestare, men du behöver förstå exponeringsnivåer, attackpotential och hur cybersäkerhetsåtgärder interagerar med funktionell säkerhet. Att lära grunderna i IEC 62443 är inte längre valfritt om du råder maskinbyggare om regulatory compliance.
Där säkerhet och security konvergerar
EU:s maskinförordning representerar en verklig vändpunkt. För första gången erkänner en stor europeisk produktsäkerhetslagstiftning uttryckligen att du inte kan garantera maskinsäkerhet utan att överväga cybersäkerhet. Logiken är enkel och svår att argumentera emot. Om en säkerhetsfunktion körs på mjukvara, och den mjukvaran kan korrumperas genom ett nätverksgränssnitt, då är skydd av det gränssnittet en säkerhetsåtgärd, inte bara en IT-åtgärd.
Standardlandskapet tar fortfarande form. prEN 50742 är i utkast. prEN 40000-serien är under utveckling. Sektorspecifika standarder som ISO/DIS 24882 arbetar genom sina godkännandeprocesser. Tillverkare som väntar på att allt ska vara färdigställt innan de agerar kommer att finna sig själva kämpande i slutet av 2026.
Tillverkarna som börjar nu, kartlägger sina digitala tillgångar, antar säkra utvecklingsmetoder, bygger sårbarhetshanteringsprocesser och engagerar sig med standardutvecklingen kommer att anlända till den 20 januari 2027 med förtroende snarare än panik. De kommer också att finna att kunder, försäkringsgivare och marknadstillsynsmyndigheter alltmer belönar proaktiv cybersäkerhetsmognad.
Cybersäkerhet och funktionell säkerhet är inte längre separata discipliner för maskiner. Förordningen har gjort det officiellt. Frågan är inte längre om att agera, utan hur snabbt du kan röra dig.