EU-Maschinenverordnung 2023/1230 — Was Maschinenbauer bis Januar 2027 umsetzen müssen

Stellen Sie sich vor: Sie sind QMB in einem Maschinenbau-Mittelständler. Im Januar 2027 halten Sie die alte Maschinenrichtlinie 2006/42/EG mustergültig ein — perfekt dokumentierte Risikobeurteilung, lückenloses technisches Dossier, CE-Kennzeichnung sitzt. Vier Wochen später kann Ihr Vertrieb keine einzige Maschine mehr in die EU ausliefern. Weil seit dem 20. Januar 2027 nur noch die neue Maschinenverordnung (EU) 2023/1230 gilt — und Ihre Konformität für ein 17 Jahre altes Regelwerk schlagartig wertlos geworden ist.

Das ist keine theoretische Übung. Anders als bei früheren EU-Reformen gibt es keine Übergangsfrist. Wer am 20. Januar 2027 eine Maschine in Verkehr bringt, die nicht der neuen Verordnung entspricht, verliert den EU-Marktzugang. Und „in Verkehr bringen" beginnt nicht bei der Auslieferung, sondern bei der ersten Bereitstellung auf dem Markt. Wer im Dezember 2026 noch keine MVO-Konformität aufgebaut hat, hat ein echtes Problem.

Die zwei Stichtage, die Sie kennen müssen

19. Januar 2027: Letzter Tag, an dem Maschinen nach Richtlinie 2006/42/EG in Verkehr gebracht werden dürfen. Maschinen, die vor diesem Datum in Verkehr gebracht wurden, bleiben dauerhaft zulässig.

20. Januar 2027: Ab diesem Tag gilt ausschließlich die Maschinenverordnung (EU) 2023/1230. Direkt anwendbar in allen 27 Mitgliedstaaten, keine nationale Umsetzung erforderlich, kein Recht auf Übergangsfrist.

Was ist die Maschinenverordnung?

Definition

Die Verordnung (EU) 2023/1230 über Maschinen wurde am 29. Juni 2023 im Amtsblatt der EU veröffentlicht und trat am 19. Juli 2023 in Kraft. Sie ersetzt die Maschinenrichtlinie 2006/42/EG vollständig ab dem 20. Januar 2027. Ihr Zweck: einheitliche, zukunftsfähige Sicherheitsanforderungen für Maschinen in der EU — einschließlich digitaler Komponenten, vernetzter Steuerungen und KI-basierter Sicherheitsfunktionen.

Rechtscharakter: Eine Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten. Anders als die alte Richtlinie muss sie nicht in nationales Recht umgesetzt werden. Sie steht damit auch über nationalem Recht und harmonisiert die Anforderungen europaweit.

Sind Sie betroffen?

Die meisten Geschäftsführer im Maschinen- und Anlagenbau stellen zuerst die gleiche Frage: „Gilt das wirklich für uns?" Die Antwort: meist ja, oft sogar in mehreren Rollen gleichzeitig. Die Verordnung kennt vier Wirtschaftsakteure mit jeweils eigenen Pflichten.

Rolle	Wer ist gemeint?	Kernpflichten
Hersteller	Wer eine Maschine konstruiert, fertigt oder unter eigenem Namen in Verkehr bringt	Risikobeurteilung, Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung, Marktüberwachung
Bevollmächtigter	Schriftlich bevollmächtigte Person in der EU, oft für Hersteller aus Drittstaaten	Aufbewahrung der technischen Dokumentation, Ansprechpartner für Marktüberwachung
Importeur	Wer Maschinen aus Drittländern in der EU in Verkehr bringt	Konformitätsprüfung des Drittlands-Herstellers, eigener Name auf der Maschine, 10 Jahre Dokumentations-Aufbewahrung
Händler	Wer Maschinen weiterverkauft, ohne Hersteller oder Importeur zu sein	Sorgfaltspflicht: Kennzeichnung, Anleitung, Rückverfolgbarkeit prüfen

Achtung: Auch Betreiber können zum Hersteller werden

Wer eine Maschine wesentlich verändert — durch Umbau, Retrofit, Steuerungstausch, Funktionserweiterung oder Verkettung mit anderen Anlagen — wird rechtlich zum Hersteller. Mit allen Pflichten: vollständige neue Risikobeurteilung, neue Konformitätsbewertung, neue CE-Kennzeichnung. Diese Erweiterung des Herstellerbegriffs auf wesentliche Veränderungen ist neu und betrifft Tausende von Instandhaltungs- und Sondermaschinenbau-Projekten.

Was ist neu? Sieben strukturelle Änderungen

Die Maschinenverordnung ist mehr als eine kosmetische Auffrischung. Sieben Bereiche unterscheiden sich grundlegend von der alten Richtlinie — jeder davon hat Konsequenzen für Ihre Prozesse, Ihre Dokumentation und Ihr Qualitätsmanagementsystem nach ISO 9001.

Bereich	Alt (2006/42/EG)	Neu (2023/1230)
Rechtsform	Richtlinie — nationale Umsetzung notwendig	Verordnung — direkt anwendbar, steht über nationalem Recht
Software	Nicht explizit geregelt	Eigenständiges Sicherheitsbauteil, sofern sie Sicherheitsfunktionen erfüllt
Künstliche Intelligenz	Nicht berücksichtigt	Eigene Hochrisiko-Kategorie, „Lernphase" bei Risikobeurteilung Pflicht
Cybersecurity	Nicht geregelt	Schutz gegen Korrumpierung (Manipulation, Cyberangriffe) verpflichtend
Hochrisiko-Liste	Anhang IV, seit 2006 unverändert	Anhang I, Teil A (zwingend Notified Body) + Teil B (bedingt), durch delegierte Rechtsakte fortlaufend aktualisierbar
Betriebsanleitung	Papier zwingend	Digital zulässig — auf Verlangen Papier innerhalb eines Monats kostenfrei
Wesentliche Veränderung	Begriff existierte nicht klar definiert	Eigene Kategorie — Betreiber wird zum Hersteller mit allen Pflichten

Hochrisiko-Maschinen: die neue Anhang I-Liste

Die alte „Anhang IV"-Liste der Maschinenrichtlinie ist in die neue Verordnung umgezogen — und wesentlich umstrukturiert worden. Der neue Anhang I teilt Hochrisiko-Maschinen in zwei Klassen:

Teil A — Zwingend durch Notified Body

Für diese Maschinen ist immer eine Prüfung durch eine benannte Stelle (z.B. TÜV) erforderlich. Die Anwendung harmonisierter Normen befreit nicht von dieser Pflicht.

Sechs Kategorien — darunter Sicherheitsbauteile mit KI-basiertem oder selbstlernendem Verhalten, autonome mobile Roboter mit Sicherheitsfunktionen und bestimmte Fahrzeughebebühnen.

Teil B — Bedingte Prüfpflicht

Hier reicht eine interne Konformitätsbewertung, wenn der Hersteller harmonisierte Normen vollständig anwendet. Andernfalls greift die Notified-Body-Pflicht.

Klassische Industrie-Bestseller: Pressen, Spritzgießmaschinen, Holzbearbeitungsmaschinen, Hebeeinrichtungen, Schutzeinrichtungen — die Liste der alten Anhang-IV-Maschinen, jetzt mit klarerer Differenzierung.

Die Liste ändert sich kontinuierlich

Anders als die statische Anhang-IV-Liste der alten Richtlinie kann die EU-Kommission Anhang I durch delegierte Rechtsakte jederzeit erweitern oder anpassen — wenn neue Technologien neue Risiken bringen. Heißt: Was heute Teil B ist, kann morgen Teil A werden. Wer 2027 startet und dann „durch" ist, hat den Job nicht erledigt. Maschinen-Konformität ist ab 2027 ein laufender Prozess, kein einmaliges Audit.

Die KI-Falle: Wenn Ihre Maschine selbst lernt

Die Verordnung führt den Begriff selbstevolvierendes Verhalten ein. Übersetzt: Sobald in einer Sicherheitsfunktion ein KI-System steckt, das während des Betriebs weiterlernt — sei es ein Bildverarbeitungsalgorithmus zur Personenerkennung, eine adaptive Drehmomentbegrenzung oder eine selbstoptimierende Notabschaltung — gilt die Maschine als Hochrisiko (Teil A). Damit ist eine externe Konformitätsbewertung zwingend.

Das gilt auch dann, wenn die KI vor Auslieferung statisch trainiert wurde, das Lernen also abgeschlossen ist. Entscheidend ist die Funktion, nicht der Lernzeitpunkt. Wer den Trick versucht, eine KI per Software-Update nachzuliefern, gerät in die nächste Falle: Software-Updates an Sicherheitsfunktionen sind dokumentations- und prüfpflichtig. Aus dem geplanten Feature wird ein neuer Konformitätsprozess.

Die Verordnung verlangt für KI-haltige Maschinen eine Risikobeurteilung, die die Lernphase explizit abbildet: Welche Daten? Welche Grenzen? Welche Validierungs- und Monitoring-Mechanismen? Wie wird verhindert, dass die KI sich in einen unsicheren Zustand „lernt"? Dieser Anforderungskatalog überschneidet sich substantiell mit dem Standard ISO/IEC 42001 für KI-Managementsysteme. Wer bereits ein AIMS aufbaut, hat einen Großteil der Vorarbeit für die MVO-Konformität bei KI-haltigen Maschinen geleistet.

Cybersecurity-Anforderungen: Was „Korrumpierung" bedeutet

Anhang III der Verordnung definiert die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen — und führt erstmals den Begriff Korrumpierung ein. Gemeint ist nicht Bestechung, sondern die böswillige Manipulation der Maschine durch Dritte über Hardware-Schnittstellen oder Software-Pfade. Hersteller müssen aktiv Vorkehrungen treffen, damit Cyberangriffe nicht zu gefährlichen Maschinenzuständen führen.

Konkret heißt das: Authentifizierung von Steuerungs-Zugriffen, sichere Firmware-Update-Mechanismen, Schutz gegen unautorisierte Konfigurationsänderungen, dokumentierte Reaktion auf Sicherheitsvorfälle. Wer schon einen Cyber Resilience Act-Prozess aufgebaut hat oder nach ISO/IEC 27001 zertifiziert ist, hat hier strukturelle Synergien. Die MVO-Cybersecurity ist nicht identisch mit CRA, aber stark überlappend — eine integrierte Lösung ist effizienter als zwei separate.

Drei Regelwerke, ein Produkt

Eine vernetzte, KI-fähige Industriemaschine, die nach Januar 2027 in Verkehr gebracht wird, unterliegt parallel der Maschinenverordnung, dem Cyber Resilience Act und — bei KI in Sicherheitsfunktionen — dem EU AI Act. Jeder dieser Rechtsakte hat eigene Konformitätsbewertungen, eigene technische Dokumentationen, eigene Marktüberwachungs-Mechanismen. Eine konsolidierte Compliance-Strategie auf Managementsystem-Ebene ist hier nicht Luxus, sondern Pflicht.

Ihr 4-Phasen-Fahrplan bis Januar 2027

Acht Monate sind nicht viel, wenn Sie noch nicht begonnen haben. Aber sie reichen — wenn Sie strukturiert vorgehen. IQI empfiehlt einen Fahrplan in vier Phasen, der sich an der Erfahrung mit CE-Umstellungen aus 25 Jahren Beratungspraxis orientiert.

Phase 1 — Bis Juli 2026: Gap-Analyse und Produkt-Klassifikation. Welche Ihrer Produkte fallen unter die MVO? Welche sind Hochrisiko nach Anhang I Teil A oder B? Welche Sicherheitsfunktionen sind softwarebasiert? Welche enthalten KI? Welche Schnittstellen sind cyber-relevant? Ergebnis: eine vollständige Produkt-Matrix mit zugeordneten Konformitätsverfahren. Verantwortlich: QMB koordiniert, Entwicklung liefert Daten.

Phase 2 — Bis Oktober 2026: Risikobeurteilungen neu aufsetzen. Bestehende Risikobeurteilungen müssen um Cyber-, KI- und Lebenszyklus-Risiken erweitert werden. Neue Risikoquellen: Manipulation von außen, Software-Update-Pfade, KI-Lernphasen, Verkettung mit anderen Maschinen. Harmonisierte Normen prüfen — viele unter 2006/42/EG gelistete Normen werden 2026/2027 neu gelistet, andere ersatzlos gestrichen. Verantwortlich: Entwicklung + QMB gemeinsam.

Phase 3 — Bis Dezember 2026: Notified Body einbinden und Dokumentation finalisieren. Für Anhang-I-Teil-A-Maschinen rechtzeitig Zertifizierungsstelle wählen — die Kapazitäten werden Q4 2026 eng. Technische Dokumentation in MVO-Struktur aufbauen: Risikobeurteilung, Konstruktionsunterlagen, Testberichte, harmonisierte Normen, KI-Lernphasen-Doku, Cyber-Konzept. Digitale Anleitung produktionsreif machen — QR-Code, langzeitstabile Hosting-Lösung, mehrsprachig. Verantwortlich: QMB führt, Geschäftsführung gibt Freigaben.

Phase 4 — Januar 2027: Markteinführung und laufende Marktüberwachung. EU-Konformitätserklärung ausstellen, CE-Kennzeichnung anbringen, Erstchargen ausliefern. Marktüberwachungs-Prozess aktivieren: wie werden gemeldete Vorfälle bearbeitet, wie wird die Hochrisiko-Liste auf Updates überwacht, wie werden Software-Updates konformitätsbewertet. Verantwortlich: QMB, Geschäftsführung, mit IT-Anbindung an Marktbeobachtung.

Drei Fallstricke, die teuer werden

„Wir liefern doch nur Komponenten"

Falsch. Sicherheitsbauteile fallen direkt unter die MVO — auch wenn sie nicht eigenständig in Verkehr gebracht werden. Und Software gilt unter der neuen Verordnung als Sicherheitsbauteil, sobald sie Sicherheitsfunktionen erfüllt. Der Steuerungs-Code, den Sie als Bibliothek liefern, kann ausreichen, um Sie zum Wirtschaftsakteur unter der MVO zu machen — mit allen Pflichten.

„Wir bauen nur um, wir sind Betreiber"

Sobald Sie eine Maschine wesentlich verändern — neue Funktionen, neue Steuerungslogik, neue Verkettung, neue Gefährdungen — werden Sie rechtlich zum Hersteller. Mit voller Konformitätsbewertung, eigenem CE und neuer technischer Dokumentation. Diese Erweiterung trifft Tausende von Retrofit-, Modernisierungs- und Sondermaschinenbau-Projekten, die heute als „nur Umbau" gefahren werden.

„Unsere alten CE-Zertifikate gelten weiter"

Nur für Maschinen, die bis 19. Januar 2027 in Verkehr gebracht wurden. Baugleiche Maschinen, die ab dem 20. Januar 2027 ausgeliefert werden, brauchen MVO-Konformität — selbst wenn die Konstruktion identisch ist. Und Aufbewahrung der alten technischen Dokumentation: 10 Jahre. Wer Lager noch mit Altkonformität abverkaufen will, sollte das Verkehrsbringen-Datum extrem präzise dokumentieren können.

Verbindung zu ISO 9001, ISO 27001 und Rechtskataster

Die MVO ist kein isoliertes Regelwerk. Sie verzahnt sich mit fast jedem Managementsystem, das ein Maschinenbauer betreibt. ISO 9001 liefert das Prozess-Backbone: dokumentierte Risikobeurteilung, Konformitätsbewertung als kontrollierter Prozess, Lieferantenmanagement für Importeure und Drittland-Komponenten, Schulung der Entwickler auf neue Anforderungen. Wer ISO 9001 zertifiziert ist, hat den größten Teil der prozessualen Infrastruktur schon stehen — er muss sie nur auf MVO-Inhalte anpassen.

ISO/IEC 27001 wird im Cybersecurity-Teil der MVO zum natürlichen Anker. Wer ein ISMS betreibt, hat die organisatorische Sicht auf Bedrohungen, Risiken und Schutzmaßnahmen bereits etabliert — die produktbezogene Sicht der MVO-Korrumpierungsanforderungen lässt sich darauf aufsetzen, ohne von Null zu beginnen.

Und das Rechtskataster: Die MVO ist eine bindende Pflicht im Sinne von ISO 14001 Klausel 6.1.3, ISO 45001 Klausel 6.1.3 und ISO 50001 Klausel 4.2. Sie muss im Rechtskataster gelistet, regelmäßig auf Aktualität geprüft und ihre Einhaltung dokumentiert werden — insbesondere, weil Anhang I durch delegierte Rechtsakte laufend aktualisiert wird. Das ist genau die Klasse von „lebendiger Compliance", auf die IQI seit 25 Jahren spezialisiert ist.

Der unbequeme Satz am Ende

Die Maschinenrichtlinie 2006/42/EG hat 17 Jahre gehalten. Sie war handwerklich gut gemacht, sie ließ Spielraum, und ein erfahrener QMB konnte sie mit drei Jahren Vorlauf und einem ordentlich geführten technischen Dossier sicher umsetzen. Die Maschinenverordnung 2023/1230 ist anders. Sie ist direkt anwendbar, schneller wandelbar und parallel zu CRA und AI Act zu denken. Wer im Mai 2026 noch keine Produkt-Matrix hat, noch keine Risikobeurteilungs-Pilotprojekte, noch keinen Notified-Body-Kontakt — der kämpft im Herbst 2026 mit ausgebuchten Zertifizierungsstellen, gestressten Konstrukteuren und einer Geschäftsführung, die im Januar 2027 unangenehme Fragen stellt.

Es gibt keinen Grund, das so weit kommen zu lassen. Acht Monate sind genug — wenn Sie diese Woche beginnen.

Häufige Fragen

Gibt es eine Übergangsfrist für bestehende Maschinen?

Nein und ja. Für das Inverkehrbringen gibt es keine Übergangsfrist — ab dem 20. Januar 2027 gilt ausschließlich die neue Verordnung. Maschinen, die bereits vor diesem Datum in Verkehr gebracht wurden, bleiben unverändert nach der alten Maschinenrichtlinie zulässig und können weiter betrieben werden. Wesentliche Veränderungen an solchen Bestandsmaschinen können sie jedoch unter die neue MVO ziehen.

Was unterscheidet eine EU-Verordnung von einer Richtlinie?

Eine Richtlinie verpflichtet die Mitgliedstaaten zur Umsetzung in nationales Recht — das führt oft zu unterschiedlichen Auslegungen pro Land. Eine Verordnung ist dagegen unmittelbar in allen Mitgliedstaaten anwendbar und steht über nationalem Recht. Für die Maschinenverordnung heißt das: einheitliche Anforderungen in allen 27 EU-Staaten, keine deutschen Sonderwege mehr, klare Rechtssicherheit europaweit.

Welche Maschinen sind Hochrisiko nach der neuen Verordnung?

Anhang I listet sie auf — geteilt in Teil A (zwingend Notified-Body-Prüfung) und Teil B (Notified Body nur, wenn harmonisierte Normen nicht vollständig angewandt werden). Neu im Teil A sind insbesondere Sicherheitsbauteile mit KI-basiertem oder selbstlernendem Verhalten, autonome mobile Roboter mit Sicherheitsfunktionen und bestimmte Fahrzeughebebühnen. Die Liste kann durch delegierte Rechtsakte erweitert werden — eine laufende Überwachung ist Pflicht.

Darf ich die Betriebsanleitung digital bereitstellen?

Ja, mit Einschränkungen. Die digitale Anleitung muss leicht zugänglich, druckbar, speicherbar und über die voraussichtliche Lebensdauer der Maschine verfügbar sein. Auf Verlangen des Käufers muss innerhalb eines Monats eine kostenlose Papierfassung bereitgestellt werden. Für Maschinen, die von Laien (Non-Professional-Usern) verwendet werden, muss die essenzielle Sicherheitsinformation weiterhin in Papierform mitgeliefert werden.

Was ist der Unterschied zwischen MVO und Cyber Resilience Act?

Die Maschinenverordnung regelt die Maschinensicherheit — Schutz von Personen vor mechanischen, elektrischen, thermischen und neuerdings auch cyberbedingten Gefährdungen während des Betriebs. Der Cyber Resilience Act regelt die Produkt-Cybersicherheit über den gesamten Lebenszyklus — Secure-by-Design, SBOM, Schwachstellenmanagement. Eine vernetzte Maschine fällt typischerweise unter beide Regelwerke gleichzeitig. Die Konformitätsbewertung muss beide Anforderungen abdecken.

Wann ist eine Veränderung „wesentlich" im Sinne der MVO?

Eine Veränderung gilt als wesentlich, wenn sie die ursprünglich vorgesehene Verwendung oder die Sicherheitseigenschaften der Maschine relevant ändert — sodass neue oder erhöhte Gefährdungen entstehen. Klassische Fälle: Funktionserweiterung durch Software-Update, Austausch von Steuerungen mit anderen Logikfunktionen, Verkettung mit weiteren Anlagen, Erhöhung der Leistungsfähigkeit. Wartung, Reparatur oder Ersatz baugleicher Teile ist keine wesentliche Veränderung. Die Abgrenzung im Einzelfall ist anspruchsvoll und sollte dokumentiert werden.

Welche Rolle spielt ISO 9001 bei der MVO-Umsetzung?

ISO 9001 liefert das prozessuale Rückgrat für die MVO-Konformität: dokumentierte Risikobeurteilung als Kernprozess, Konformitätsbewertung als kontrollierter Workflow, Lieferantenmanagement für Importeure und Drittland-Komponenten, Schulung der Entwickler. Unternehmen mit ISO-9001-Zertifizierung haben einen erheblichen Vorteil — sie müssen ihr bestehendes QMS nur auf MVO-Inhalte erweitern, statt eine neue Struktur aufzubauen. Wer kein QMS hat, sollte den Aufbau parallel zur MVO-Umstellung erwägen.

MVO-Risikobeurteilung schneller aufsetzen?

Norminator — der KI-basierte Managementsystem-Berater von IQI — beantwortet normspezifische Fragen in Sekunden, mit Quellenangabe und fundiert auf 25 Jahren Beratungspraxis. Inklusive Verzahnung MVO ↔ ISO 9001 ↔ ISO 27001 ↔ ISO 42001.

Norminator fragen →