EN 50742: Neuer Normenentwurf für Cybersecurity von Maschinen

EN 50742: Neuer Normenentwurf für Cybersecurity von Maschinen

   Nicht kategorisiert    11. Januar 2026  |  0

Die neue EU-Maschinenverordnung (EU) 2023/1230 stellt erstmals verbindliche Anforderungen an die Cybersecurity von Maschinen. Sie gilt für alle Maschinen, die ab dem 20. Januar 2027 erstmals in Verkehr gebracht werden.

Damit wird Cybersecurity erstmals ausdrücklich Teil der regulatorischen Anforderungen im Maschinenbau – allerdings nicht als allgemeine IT-Sicherheitsanforderung, sondern nur dort, wo Cyberangriffe die Sicherheit (Safety) von Maschinen beeinflussen können.

Zur Konkretisierung dieser neuen gesetzlichen Anforderungen wird aktuell die harmonisierte Norm EN 50742 „Protection against corruption“ entwickelt. Der Normenentwurf liegt derzeit ausschließlich in englischer Sprache vor und ist unter anderem über BSI und DIN Media erhältlich. Eine deutsche Fassung wird in Kürze erwartet.

Was regelt der Normenentwurf EN 50742?

Die EN 50742 enthält Anforderungen und Empfehlungen zur Verhinderung unbeabsichtigter oder vorsätzlicher (einschließlich böswilliger) Manipulationen von Maschinen, die zu gefährlichen Situationen führen können.

Der Anwendungsbereich der Norm umfasst Hardwarekomponenten, Software und Daten, sofern diese Einfluss auf die Sicherheit (Safety) der Maschine haben

Damit ist EN 50742 keine allgemeine Cybersecurity-Norm, sondern ein spezifischer Standard für sicherheitsrelevante Teile von Maschinen und Maschinenkomponenten.

Zentrale Erkenntnis der Norm

Eine wesentliche Aussage der EN 50742 ist:

Schwachstellen schaffen keine neuen Gefährdungen,
aber ihre Ausnutzung kann bestehende Schutzmaßnahmen beeinträchtigen.

Genau deshalb baut die Norm konsequent auf den bekannten Safety-Prozess auf, den Maschinenbauer bereits anwenden.

Vorgehensweise gemäß EN 50742

Die Norm beschreibt eine klar strukturierte Abfolge von Schritten:

1. Risikobeurteilung nach EN ISO 12100

Zunächst ist eine Risikobeurteilung nach EN ISO 12100 durchzuführen.
In diesem Schritt werden – wie bisher – alle potenziellen Gefährdungen der Maschine identifiziert und geeignete Schutzmaßnahmen festgelegt.

Diese Risikobeurteilung bildet die Basis für alle weiteren Schritte.

2. Definition des Security Context

Im nächsten Schritt wird der Security Context der Maschine definiert.

Der Security Context beschreibt, unter welchen Rahmenbedingungen die Cybersicherheit der Maschine gewährleistet ist. Der „Security Context“ ist in der Cybersecurity das, was wir in den Safety Normen als „bestimmungsgemäße Verwendung“ bezeichnen.

Der Security Context muss klar festgelegt und in der Betriebsanleitung dokumentiert werden.

3. Threat Assessment

Auf Basis des Security Context und der Liste der Gefährdungen und der Schutzmaßnahmen ist anschließend ein Threat Assessment durchzuführen.

Grundprinzipien zur Behandlung von Schwachstellen

Für den Umgang mit identifizierten Schwachstellen definiert die EN 50742 drei klare Prinzipien:

  1. Eliminieren
    Schwachstellen sind zu beseitigen, sofern sie zu gefährlichen Situationen führen können.
  2. Mitigieren
    Ist eine Beseitigung nicht möglich, müssen Schwachstellen mitigiert werden.
  3. Informieren
    Für alle verbleibenden Schwachstellen müssen die Benutzerinformationen alle notwendigen Angaben zu geeigneten Gegenmaßnahmen enthalten.

Zwei alternative Umsetzungsansätze

Für die praktische Umsetzung der Anforderungen bietet die EN 50742 zwei gleichwertige Alternativen:

Alternative A – EN 50742 basierter Ansatz

Dieser Ansatz richtet sich an Unternehmen, die nicht bereits nach der IEC 62443 Normenreihe arbeiten.

Hier wird mithilfe der Parameter:

  • Exposure Level
  • Attacker Capability Score
  • Window of Opportunity Score

ein Attack Potential ermittelt.

In Kombination mit dem aus der ISO-12100-Risikobeurteilung ermittelten Severity Level wird daraus ein
Safety-Related Security Requirement (SRSL) bestimmt.

Für jeden SRSL beschreibt die Norm konkrete Anforderungen, z. B. an Authentifizierung.

Alternative B – IEC 62443 basierter Ansatz

Unternehmen, die bereits nach IEC 62443 arbeiten, können diesen Ansatz nutzen:

  • Einführung eines sicheren Entwicklungsprozesses nach IEC 62443-4-1
  • Umsetzung der Maschinenanforderungen nach IEC 62443-3-3
  • Umsetzung der Komponentenanforderungen nach IEC 62443-4-2

Für jede Anforderung ist dabei das erforderliche Security Level festgelegt.

Unterstützende Anhänge der Norm

Der Normenentwurf enthält mehrere praxisnahe Anhänge:

  • Anhang A: Beispiele für Protokollformate
  • Anhang B: Methode zur Durchführung eines Threat Assessments
  • Anhang C: Threat Modelling für sicherheitsbezogene Systeme
  • Anhang D: Liste typischer Bedrohungen und möglicher Gegenmaßnahmen

Diese Anhänge unterstützen Hersteller bei der praktischen Umsetzung der Norm.

Warum Maschinenbauer jetzt handeln sollten

Mit dem Entwurf der EN 50742 liegt erstmals eine konkrete Grundlage vor, um die Cybersecurity-Anforderungen der Maschinenverordnung praktisch umzusetzen.

Auch wenn die finale Norm noch einige Monate auf sich warten lässt, ist Abwarten der falsche Ansatz:
Alle Maschinen und sicherheitsrelevanten Komponenten, die nach dem 20. Januar 2027 auf den Markt gebracht werden, müssen die Anforderungen der Maschinenverordnung erfüllen – einschließlich der Cybersecurity-Aspekte.

Unterstützung bei der Umsetzung

Wir unterstützen Maschinenbauer und Komponentenhersteller mit unserem jahrzehntelangen Know-how in Cybersecurity und Automatisierungstechnik bei der Umsetzung der EN 50742.

Nutzen Sie unser Kontaktformular und treten Sie mit uns in Verbindung – wir melden uns zeitnah bei Ihnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2026 Digitale Faszination