Am 20. Januar 2027 wird die Verordnung 2023/1230 verbindlich und ersetzt die Maschinenrichtlinie 2006/42/EG, ohne Übergangsphase. Risikobeurteilung, Cybersecurity-Argumentation, technische Unterlagen und digitale Anleitungen müssen rechtzeitig auf den neuen Stand. Diese Seite zeigt, wo KI dabei den größten Hebel hat.
Die Maschinenverordnung gilt direkt und einheitlich in allen Mitgliedstaaten, ohne nationalen Umsetzungsakt, und steht über nationalem Recht. Inhaltlich bringt sie an mehreren Stellen verschärfte oder erweiterte Anforderungen, die die heutige Engineering-Praxis spürbar berühren.
Anhang III, Punkt 1.1.9 verlangt Vorkehrungen gegen „Korrumpierung", also gegen Manipulation über Hardware-Schnittstellen oder Software. Die aus ISO/SAE 21434 bekannte TARA wandert damit in den Pflichtbereich der allgemeinen Maschinensicherheit.
Wesentliche digitale Bestandteile, sicherheitsrelevante Software und KI-basierte Verhaltenslogik fallen in den erweiterten Geltungsbereich. Anforderungen an Vorhersagbarkeit, Robustheit und Nachvollziehbarkeit greifen damit auch für selbstlernende Maschinen.
Artikel 3 grenzt erstmals präzise ab, wann eine Änderung an einer in Verkehr gebrachten Maschine ein neues Konformitätsbewertungsverfahren auslöst: wenn eine neue Gefährdung entsteht oder ein bestehendes Risiko relevant steigt. Auslegungsspielraum wird zur prüfbaren Bedingung.
Digitale Anleitungen sind ausdrücklich zulässig, sofern sicherheitsrelevante Informationen verfügbar, nachvollziehbar und vor Manipulation geschützt sind. Wer umstellt, muss diese Bedingungen technisch belegen können.
Artikel 13 nimmt Importeure erstmals explizit als eigenständige Wirtschaftsakteure in die Pflicht; die Rolle des „Dokumentationsbevollmächtigten" entfällt zum Stichtag.
Damit KI wirklich entlastet statt nur ein weiteres Werkzeug zu sein, braucht es eine gemeinsame Datenbasis. Der Product Knowledge Graph verbindet Anforderungen, Architektur, Komponenten, Bauteil-Revisionen, Software-Versionen, FMEA-Einträge, Schutzmaßnahmen, Testfälle, Fehlerberichte und Norm-Bezüge zu einem auditierbaren Geflecht. Darauf arbeiten drei Apps der Engineering Intelligence Platform Hand in Hand.
Der TARA Generator liest Architektur, Funktionen, Komponenten und Datenflüsse aus dem Knowledge Graph und kombiniert sie mit Bedrohungsbibliotheken: Assets, Security Goals, Bedrohungsszenarien, Angriffspfade und priorisierte Risiken, jeweils mit Begründung. Daraus leitet die App Security Requirements und konkrete technische Maßnahmen ab (Hardening, Logging, Secure Updates, Netzwerksegmentierung) und liefert den Cybersecurity-Teil der Risikobeurteilung. Ändert sich Architektur oder Software, läuft die TARA neu auf den geänderten Stand.
Hazard & Risk Analyzer und die FMEA-Plattform TRiAS verknüpfen Gefährdung, Schutzmaßnahme und Restgefahr durchgängig aus dem Knowledge Graph. Sobald sich im SysML-Modell, an einer Anforderung in Polarion oder in einem Issue etwas ändert, läuft eine Delta-Risikobeurteilung gegen den vorherigen Stand. Das Ergebnis ist eine Risikobeurteilung nach EN ISO 12100, die jederzeit den aktuellen Produktstand widerspiegelt, und deckt zugleich die in Artikel 3 präzisierte „wesentliche Veränderung" ab.
Compliance App und User Documentation Creator erzeugen die nach Anhang IV und V geforderten Artefakte direkt aus dem vernetzten Produktwissen: technische Unterlagen, eine EU-Konformitätserklärung mit Normverweisen (Nummer und Ausgabejahr) und Anleitungsbausteine. Manipulationsschutz und Nachvollziehbarkeit digitaler Anleitungen lassen sich über die im Graphen mitgeführte Versionierung und Signatur belegen. Über Konnektoren werden die Artefakte nach Polarion, Jira, Azure DevOps oder in die SysML-Toolchain exportiert.
Die EU-Konformitätserklärung ist eine Erklärung des Herstellers, von einer natürlichen oder juristischen Person zu unterschreiben. Mit der Unterschrift übernimmt der Hersteller die alleinige Verantwortung dafür, dass die Maschine die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen erfüllt. Diese Verantwortung kann nicht an eine KI übergeben werden, und die Maschinenverordnung lässt dafür auch keinen Raum. Die drei Apps sind deshalb Vorbereitungs- und Konsistenzwerkzeuge, keine Freigabe-Instanz: Sie strukturieren, schlagen vor, prüfen und machen Lücken sichtbar. Jede KI-generierte oder KI-veränderte Aussage trägt im Knowledge Graph ihre Provenance, wer sie wann mit welcher Modellversion erzeugt und freigegeben hat. Genau diese Nachvollziehbarkeit macht die Werkzeuge zum Teil einer auditierbaren Konformitätsargumentation.
Über die Pilotprojekte hinweg zeigen sich drei Effekte: Die Pflege der Risikobeurteilung wird zur Routine statt zum Sprint vor dem Audit, weil Produktänderungen unmittelbar Delta-Bewertungen auslösen. Die TARA wird nicht einmalig vor dem CE-Termin erstellt und abgelegt, sondern bleibt mit jeder Architektur- und Software-Änderung aktuell. Und die technischen Unterlagen müssen nicht mehr aus verteilten Quellen zusammenkopiert werden, sondern entstehen direkt aus dem vernetzten Produktwissen.
Diese Effekte sind keine Garantien, sondern Beobachtungen aus laufenden Projekten. Sie hängen vom Reifegrad der eingebundenen Datenquellen ab und davon, dass das Team die KI-Vorschläge konsequent prüft und Feedback ins System zurückgibt.
Ein sinnvoller Einstieg orientiert sich am realen Druckpunkt. Bestimmt die Maschinenverordnung das nächste anstehende Konformitätsverfahren, ist ein laufendes Maschinenprojekt der natürliche Pilot. Ist Cybersecurity die größte offene Frage, beginnt der Pilot mit der TARA für eine vernetzte Maschine. Sind die technischen Unterlagen heute der Engpass, startet das Projekt bei der Dokumentations- und Compliance-App.
In den ersten zwei bis drei Wochen werden die relevanten Datenquellen angebunden, von Anforderung und Architektur bis Software-Repository und Bauteilstamm. Voraussetzung ist weder ein vorhandener Knowledge Graph noch eine umgebaute Tool-Landschaft, beides entsteht im Zuge der Einführung. Mit Blick auf den Stichtag 20. Januar 2027 ist ein Pilotstart im ersten Halbjahr 2026 für die meisten Hersteller eine realistische Vorbereitung.
Wer bereits mit dem Compliance-Check für ISO 26262, ISO 14971 oder DO-178C arbeitet, fügt die Maschinenverordnung als zusätzliche Norm-Ontologie hinzu und profitiert vom bestehenden Knowledge Graph.
Mehr zum Compliance-CheckAm 20. Januar 2027 wird die Verordnung in vollem Umfang verbindlich und ersetzt die Maschinenrichtlinie 2006/42/EG. Es gibt keine wahlweise Übergangsphase. Ab diesem Datum dürfen Maschinen, die nicht nach der neuen Verordnung konform sind, in der EU nicht mehr in Verkehr gebracht oder in Betrieb genommen werden. Einzelne Artikel (etwa zu notifizierten Stellen) gelten bereits vorgezogen ab Januar 2024 beziehungsweise Oktober 2026.
Drei Apps arbeiten in der Regel zusammen: der TARA Generator für die Cybersecurity-Aspekte nach Anhang III, der Hazard & Risk Analyzer (in Verbindung mit TRiAS für die FMEA-Anteile) für die laufende Risikobeurteilung und die Compliance App in Verbindung mit dem User Documentation Creator für die technischen Unterlagen und die EU-Konformitätserklärung. Alle drei greifen auf denselben Product Knowledge Graph zu.
Sehr gut, weil die Mechanik dieselbe ist. Wer bereits mit dem Compliance-Check für ISO 26262, ISO 14971 oder DO-178C arbeitet, kann die Maschinenverordnung als zusätzliche Norm-Ontologie hinzufügen und vom bestehenden Knowledge Graph profitieren. Die Mechanik der kontinuierlichen Prüfung gegen die Norm-Anforderungen ist branchenübergreifend identisch.
Ja. Die in ISO/SAE 21434 entwickelte TARA-Methodik ist methodisch übertragbar und in den ersten Maschinenbau-Projekten bereits angewandt. Der TARA Generator unterstützt die typischen Schritte (Asset Identification, Threat Modelling, Attack Path Analysis, Risk Assessment, Security Goals) unabhängig von der Branche. Branchenspezifische Schutzziel-Kataloge und Bedrohungsbibliotheken werden im Pilotprojekt aufgenommen.
Die Verordnung erlaubt digitale Anleitungen ausdrücklich, verlangt aber, dass sicherheitsrelevante Informationen verfügbar, nachvollziehbar und vor Manipulation geschützt sind. Der User Documentation Creator erzeugt Anleitungsbausteine aus dem Knowledge Graph und führt die Versionierung sowie die Signatur der einzelnen Bausteine mit. Damit lässt sich der geforderte Manipulationsschutz technisch belegen.
Ein abgegrenzter Pilot (eine Maschine oder eine Maschinenlinie, ein Team) liefert in der Regel innerhalb von sechs bis acht Wochen die ersten produktiv nutzbaren Ergebnisse für einen der drei Use Cases. Die Erweiterung auf weitere Maschinen und auf die jeweils anderen Use Cases erfolgt anschließend schrittweise. Mit Blick auf den Stichtag 20. Januar 2027 ist ein Pilotstart im ersten Halbjahr 2026 für die meisten Hersteller eine realistische Vorbereitung.
Als Pilotkunde begleiten wir die Einführung von Anfang an und entwickeln die Lösung gemeinsam an Ihrem Use Case weiter.