Wenn Hersteller einen Inspektionsroboter zusätzlich in der EU auf den Markt bringen wollen, müssen sie die Vorschriften der EU-Maschinenrichtlinie erfüllen. Erforderlich ist eine Konformitätsbewertung, in der sie erklären, dass die Maschine allen einschlägigen Anforderungen entspricht. Danach ist das CE-Kennzeichen als Nachweis der Konformität mit allen einschlägigen gesetzlichen Vorgaben anzubringen. Die Schweiz hat mit der EU ein bilaterales Abkommen über die gegenseitige Anerkennung von Konformitätsbewertungen (Mutual Recognition Agreement [MRA]) abgeschlossen. Ziel des MRA war, eine einheitliche Konformitätsbewertung in der Schweiz oder der EU zu ermöglichen und die gegenseitige Anerkennung solcher Bewertungen sicherzustellen, d.h., dass eine Schweizer Konformitätsbewertungsstelle die EU-Konformität bescheinigen kann (und umgekehrt). Jedoch wurde das MRA seit der Ablehnung des Rahmenabkommens durch die Schweiz nicht mehr aktualisiert. Das bedeutet: Wenn eine im MRA enthaltene Regelung geändert oder ersetzt wird, fällt sie aus dem Anwendungsbereich des Abkommens heraus. Damit entfällt auch die gegenseitige Anerkennung der Gleichwertigkeit. Zurzeit ist die EU-Maschinenrichtlinie Teil des MRA und Schweizer Maschinenhersteller profitieren noch von der gegenseitigen Konformitätsanerkennung. Am 20. Januar 2027 wird die EU-Maschinenrichtlinie jedoch durch die neue EU-Maschinenverordnung ersetzt. Wenn das MRA bis dahin nicht aktualisiert wird, gilt die gegenseitige Anerkennung nicht mehr. Dann müssen Schweizer Hersteller die Konformitätsbewertung durch eine notifizierte Stelle in der EU durchführen lassen.

Die neue EU-Maschinenverordnung (EU 2023/1230) wurde am 29. Juni 2023 im EU-Amtsblatt veröffentlicht und ist am 19. Juli 2023 formell in Kraft getreten. Ab dem 20. Januar 2027 ist sie anwendbar. Dann ersetzt sie die bisher geltende Maschinenrichtlinie 2006/42/EG. Als Verordnung ist sie – anders als eine Richtlinie – unmittelbar in allen Mitgliedstaaten anwendbar und bedarf keiner nationalen Umsetzung.

Bis zum 19. Januar 2027 bleibt die bisherige EU-Maschinenrichtlinie vollständig anwendbar. Hersteller dürfen aber bereits heute nach der neuen Verordnung arbeiten. Für eine rechtskonforme Inverkehrbringung müssen sie jedoch sicherstellen, dass die Anforderungen der alten Richtlinie nach wie vor erfüllt sind. Je nach Zeitpunkt des Inverkehrbringens muss ein Produkt die Anforderungen der EU-Maschinenrichtlinie bzw. die der EU-Maschinenverordnung erfüllen. Ist dieser Zeitpunkt unbekannt, sollte das Produkt beiden Regelwerken entsprechen. In diesem Fall kann eine doppelte Konformitätserklärung eine Lösung darstellen. Damit bestätigt der Hersteller, dass sein Produkt bei Inverkehrbringen bis zum 19. Januar 2027 der EU-Maschinenrichtlinie bzw. bei Inverkehrbringen ab dem 20. Januar 2027 der EU-Maschinenverordnung entspricht.

Ab dem 20. Januar 2027 ist die neue EU-Maschinenverordnung verbindlich. Dann dürfen Maschinen nur noch auf ihrer Grundlage in Verkehr gebracht werden. Nach EU-Recht bedeutet Inverkehrbringen die erstmalige Abgabe des Produkts zum Vertrieb oder zur Verwendung. Das Herstellungsdatum ist rechtlich irrelevant.

Maschinen, die vor dem 20. Januar 2027 nach der EU-Maschinenrichtlinie in Verkehr gebracht wurden, dürfen weiter genutzt, gehandelt und betrieben werden. Allein aufgrund der neuen Verordnung ist keine Nachrüstung erforderlich. Wenn eine bereits in Verkehr gebrachte Maschine aber wesentlich verändert wird (bspw. durch einen Umbau, einen Steuerungsersatz oder eine starke Veränderung der Funktionsweise), kann dies als neues Inverkehrbringen gelten.

Die EU-Maschinenverordnung bringt wesentliche Neuerungen für Hersteller von autonomen Inspektionsrobotern. Wie weitreichend sie sind, beurteilt sich danach, welche Teile des Inspektionsroboters autonom sind. Die Verordnung enthält eine Definition für autonome mobile Maschinen.

Relevant sind insbesondere die neuen Vorschriften zu den Konformitätsbewertungen: Bei gewissen Maschinen können die Bewertungen nicht mehr durch den Hersteller selbst durchgeführt werden, d.h., eine Selbstdeklaration oder eine interne Fertigungskontrolle ist nicht mehr möglich. Dies betrifft Maschinen, die in Anhang I Teil A der EU-Maschinenverordnung aufgelistet sind. Darunter fallen nach Anhang I Teil A Ziffer 6 «Maschinen, die über eingebettete Systeme mit vollständig oder teilweise selbstentwickelndem Verhalten unter Verwendung von Ansätzen des maschinellen Lernens verfügen, die Sicherheitsfunktionen gewährleisten, die nicht gesondert in Verkehr gebracht wurden, nur in Bezug auf diese Systeme». Relevant sind die Neuerungen somit vor allem für KI-Komponenten, die Sicherheitsfunktionen gewährleisten.

Im Fall eines autonomen Inspektionsroboters dürfte die Definition aus Anhang I Teil A Ziffer 6 der EU-Maschinenverordnung in der Regel erfüllt sein, da maschinelles Lernen typischerweise für sicherheitsrelevante Navigations- und Hinderniserkennungsfunktionen eingesetzt wird, etwa um Kollisionen in komplexen Industrieumgebungen zu vermeiden – Funktionen, die unmittelbaren Einfluss auf den sicheren Betrieb des Roboters haben.

Die EU-Maschinenverordnung verlangt zudem explizit, dass die Maschine auch im Fall eines rechtmässigen oder unrechtmässigen Zugriffs nicht gefährlich wird (sog. Schutz vor Korrumpierung, Anhang III Teil B Ziffer 1.1.9). Ausserdem werden zusätzlich zu den anderen möglicherweise anwendbaren grundlegenden Sicherheits- und Gesundheitsschutzanforderungen des Anhangs III noch separate Anforderungen hinsichtlich der Überwachungsfunktion aufgestellt (Anhang III Teil B Ziffer 3.2.4).

Vor dem 20. Januar 2027 nach der EU-Maschinenrichtlinie korrekt in Verkehr gebrachte Maschinen gelten weiterhin als rechtskonform. Ihre Konformitätserklärungen behalten ihre Rechtswirkung, auch über den Stichtag hinaus. Nach dem Stichtag dürfen Maschinen nicht mehr auf Grundlage der EU-Maschinenrichtlinie in Verkehr gebracht werden. Es ist zwingend die neue EU-Maschinenverordnung anzuwenden, und eine entsprechende EU-Konformitätserklärung ist erforderlich.

Für autonome Inspektionsroboter mit sicherheitsrelevanter KI ist bei stabilen Systemen meist die EU-Baumusterprüfung sinnvoll (siehe dazu Kapitel 3.2). Bei Serienproduktion eignet sich die Qualitätssicherung, während die Einzelprüfung nur für wenige, individuell konfigurierte Roboter praktikabel ist.

Wenn KI-Bestandteile des Inspektionsroboters unter Anhang I Teil A fallen, muss der Hersteller die Konformitätsbewertung von einer notifizierten Stelle durchführen lassen, bevor er die CE-Kennzeichnung anbringen darf. Dazu muss er eine umfassende technische Dokumentation bereitstellen, inklusive Unterlagen zur Risikobewertung und zu Sicherheitsnachweisen der KI-Komponente sowie Informationen zur Trainings- und Validierungsumgebung. Je nach gewähltem Verfahren (z. B. EU-Baumusterprüfung oder Qualitätssicherung) ist mit einem Aufwand von mehreren Wochen bis Monaten und entsprechenden Kosten zu rechnen – insbesondere für Prüfverfahren, Audits und Dokumentationsaufbereitung. Eine enge Abstimmung mit der notifizierten Stelle ist dabei entscheidend.

Für Hochrisiko-KI-Systeme gelten nach der EU-KI-Verordnung strenge gesetzliche Anforderungen, da sie potenziell erhebliche Auswirkungen auf die Sicherheit, die Gesundheit oder die Grundrechte der EU-Bürgerinnen und -Bürger haben können. Die wesentlichen Pflichten finden sich in den Artikeln 8–20 der EU-KI-Verordnung. Besondere Vorschriften gibt es bspw. bezüglich des Risikomanagementsystems. So besteht die Pflicht, einen kontinuierlichen Risikomanagementprozess zur Erkennung, Minimierung und Überwachung von Risiken über den gesamten Lebenszyklus der Systeme durchzuführen und zu dokumentieren. Auch an die Datenqualität werden Anforderungen gestellt: Die Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und diskriminierungsfrei sein. Weitere Pflichten betreffen u.a. die technische Dokumentation, die Protokollierungsfunktion, die Transparenz und die menschliche Aufsicht.

Die EU-KI-Verordnung erfasst fast alle Beteiligten entlang der Wertschöpfungskette eines KI-Systems, das in der EU auf den Markt gebracht oder dessen Output bestimmungsgemäss in der EU verwendet werden soll. Dazu gehören auch Unternehmen, die ihren Sitz nicht in der EU haben. Es gilt das Marktortprinzip. Dies betrifft namentlich Hersteller, Anbieter und Betreiber aus einem Drittland wie der Schweiz.

Der Gesetzgeber hat ein zeitlich gestuftes Regime für das Inkrafttreten der EU-KI-Verordnung sowie Übergangsvorschriften für bereits auf dem Markt befindliche Systeme vorgesehen. Einzelne Vorgaben, bspw. das Verbot bestimmter KI-Praktiken (Art. 5), sind bereits am 2. Februar 2025 in Kraft getreten.

Am 2. August 2025 sind zusätzliche Anforderungen wirksam geworden: Transparenzpflichten für General-Purpose AI, Meldepflichten und Sanktionen. Auch administrative Vorgaben wie Governance-Regeln sind zu diesem Zeitpunkt in Kraft getreten. Das allgemeine Inkrafttreten der meisten Vorgaben, insbesondere für Hochrisiko-KI-Systeme, erfolgt am 2. August 2026. Für die strengsten Pflichten bei Hochrisiko-KI gilt eine Übergangsfrist bis 2. August 2027.

Weil autonome Inspektionsroboter in vielen Fällen als Hochrisikosysteme qualifiziert werden dürften, sind für sie die Vorschriften für diese Systeme besonders relevant. Die EU-KI-Verordnung enthält in Artikel 111 Übergangsfristen für bereits auf dem Markt befindliche Hochrisikosysteme. Hochrisikosysteme, die vor dem 2. August 2026 in Verkehr gebracht und nicht wesentlich verändert werden, unterliegen nicht der EU-KI-Verordnung. Für Hochrisikosysteme, die in Behörden verwendet werden, gilt eine Übergangsfrist bis 2. August 2030. Die Fristen gelten nicht für verbotene Systeme (siehe weiter unten).
 

Damit Hochrisikosysteme nicht von der EU-KI-Verordnung erfasst werden, müssen sie vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen werden und dürfen danach in ihrer Konzeption nicht mehr wesentlich verändert werden. Wann eine wesentliche Veränderung vorliegt, wird in Artikel 3 Absatz 23 und EG 128 der EU-KI-Verordnung näher definiert. Als wesentlich gelten Veränderungen, die bei der ursprünglichen Konformitätsbewertung vom Anbieter nicht vorgesehen oder geplant waren und die Konformität beeinträchtigen oder zu einer Veränderung der Zweckbestimmung führen, für die das KI-System bewertet wurde. Bereits Änderungen des Betriebssystems oder der Softwarearchitektur stellen gemäss der Verordnung eine wesentliche Zweckveränderung dar, nicht jedoch Änderungen im Algorithmus und in der Leistung, wenn diese automatisch während des Betriebs erfolgen und wenn diese Anpassungsfähigkeit vom Anbieter vorgesehen und im Rahmen der Konformitätsbewertung berücksichtigt wurde. In der Praxis wird sich noch zeigen, wie diese Vorgaben im Detail interpretiert werden. Folgt man jedoch dieser breiten Auslegung, kann praktisch jeder Eingriff in das KI-System zu einer wesentlichen Veränderung führen.

Da es um Produktsicherheitsrecht geht, wäre es auch denkbar, zur Auslegung der EU-KI-Verordnung die Vorschriften der EU-Produktsicherheitsverordnung beizuziehen. Nach Artikel 13 Absatz 3 dieser Verordnung ist die Veränderung eines Produkts nur dann wesentlich, wenn sie sich (1) auf die Produktsicherheit auswirkt, (2) nicht in der ursprünglichen Risikobewertung berücksichtigt war, (3) eine neue oder geänderte Gefahr mit sich bringt und (4) nicht durch den Verbraucher selbst erfolgt ist. Relevant ist somit, ob die Veränderung mit der Erhöhung der Gefahren oder der Risiken einhergeht. In diesem Sinne könnte man argumentieren, dass Routineänderungen (z.B. Betriebssystemupdates), die das Risiko nicht erhöhen, oder Änderungen, die das Risiko gar vermindern, keine wesentlichen Veränderungen darstellen. Es ist jedoch davon auszugehen, dass die Behörden einen eher strengen Massstab anlegen und einen grossen Teil der KI-Systeme von der KI-Verordnung erfasst haben möchten.

In gewissen Bereichen gilt die Verordnung nur sehr eingeschränkt oder gar nicht. Dies betrifft einige wesentliche Wirtschaftssektoren wie die Zivilluftfahrt, die Land- und die Forstwirtschaft, die Schiffausrüstung oder den Automobilbereich inklusive des autonomen Fahrens. Für diese Bereiche existieren bereits spezifische Zulassungsregulierungen. Ebenfalls von der Verordnung ausgenommen sind bestimmte Systeme, die einen militärischen Zweck erfüllen oder im Zusammenhang mit der internationalen Strafverfolgung stehen, sowie Systeme, die allein der wissenschaftlichen Forschung und Entwicklung dienen, inklusive sämtlicher damit verbundener Tätigkeiten. Auch Systeme, die natürliche Personen bei persönlichen Tätigkeiten unterstützen oder unter freier und quelloffener Lizenz stehen, sind ausgenommen, sofern sie nicht verboten sind oder besonderen Transparenzpflichten unterliegen. Die Anwendung der KI-Verordnung entfällt auch, wenn der persönliche Anwendungsbereich nicht erfüllt ist. Namentlich kann ein Anbieter seine Anbieterrolle verlieren, wenn etwa ein Händler, Einführer oder Betreiber das bereits in der EU in Verkehr gebrachte oder in Betrieb genommene KI-System mit seinem Namen oder seiner Handelsmarke versieht oder wesentliche Änderungen am System vornimmt. Dies kann bspw. durch einen sogenannten «White Label»-Verkauf geschehen. Denkbar ist auch, dass ein Anbieter das in der Schweiz produzierte KI-System einer Rechtseinheit in der EU zur Inverkehrsetzung überlässt. 

Ja, kleine und mittlere Unternehmen (KMU) sowie Start-ups mit Sitz oder Zweitniederlassung in der EU, die weniger als 250 Personen beschäftigen oder entweder einen Jahresumsatz von max. 50 Mio. Euro oder eine Jahresbilanzsumme von max. 43 Mio. Euro aufweisen, profitieren von gewissen Erleichterungen. Sie müssen bspw. eine weniger umfangreiche technische Dokumentation bereitstellen und niedrigere Gebühren für die Konformitätsbewertung entrichten. Zudem soll ihnen ein vorrangiger und kostenloser Zugang zu KI-Reallaboren gewährt werden. Auch bei der Sanktionszumessung spielt die Grösse des Unternehmens eine Rolle. Hinsichtlich der Mitarbeiterschulungen und des Risikomanagements gelten für KMU aber die gleichen Vorgaben wie für grössere Unternehmen.

Die EU-KI-Verordnung sieht zwei verschiedene Kategorien von Hochrisikosystemen vor. Nach Artikel 6 Absatz 1 gilt ein KI-System als hoch riskant, wenn die beiden Bedingungen a) und b) erfüllt sind: a) Das KI-System ist selbst ein Produkt, das unter die in Anhang I aufgeführten EU-Rechtsvorschriften fällt, oder es wird als Sicherheitsbauteil eines Produkts (z.B. als KI-Sicherheitsbauteil in Maschinen) verwendet, das unter die in Anhang I aufgeführten EU-Rechtsvorschriften fällt, und b) nach dem EU-Harmonisierungsrechtsakt ist eine Konformitätsbewertung durch Dritte erforderlich, bevor das Produkt auf den EU-Markt eingeführt wird. Zu den Harmonisierungsrechtsakten zählen bspw. die Maschinenverordnung, die Medizinprodukteverordnung, die Spielzeugsicherheitsrichtlinie oder die Fahrzeugsicherheitsvorschriften. Die relevanten Rechtsakte finden sich in Anhang I zur KI-Verordnung.

Als Harmonisierungsrechtsakt kommt für autonome Inspektionsroboter die EU-Maschinenrichtlinie (bzw. zum relevanten Zeitpunkt die EU-Maschinenverordnung) in Betracht. Wenn der autonome Inspektionsroboter ein Sicherheitsbauteil mit KI verwendet oder selbst ein Sicherheitsbauteil ist (was nicht der Fall sein dürfte), gilt er als Hochrisikosystem, wenn die EU-Maschinenverordnung eine Konformitätsbewertung vorsieht (siehe Kapitel 2.1).

Ein Sicherheitsbauteil ist nach Artikel 3 Ziffer 14 der EU-KI-Verordnung ein Bestandteil eines Produkts oder KI-Systems, der eine Sicherheitsfunktion für dieses Produkt oder KI-System erfüllt oder dessen Ausfall oder Störung die Gesundheit und Sicherheit von Personen oder Eigentum gefährdet. Im autonomen Inspektionsroboter befindet sich das KI-System häufig im Steuerungsbereich. Es ist deshalb davon auszugehen, dass sein Ausfall zumindest Eigentum gefährden könnte. Somit ist Bedingung a) erfüllt. Zudem muss das Gesamtprodukt, d.h. der Roboter, gemäss EU-Maschinenverordnung eine Konformitätsbewertung durchlaufen. Damit ist auch Bedingung b) erfüllt. Es ist also sehr wahrscheinlich, dass ein Inspektionsroboter als Hochrisikosystem im Sinne von Artikel 6 Absatz 1 der EU-KI-Verordnung qualifiziert wird. Je nachdem, welche Funktionen das KI-System genau wahrnimmt, kann dies aber auch nicht der Fall sein.

Darüber hinaus werden auch alle in Anhang III der Verordnung genannten Systeme als hoch riskant eingestuft. Dies, weil sie in sicherheitskritischen Bereichen eingesetzt werden. Dazu zählen unter anderem kritische Infrastrukturen. Gemäss Anhang III Ziffer 2 gelten im Zusammenhang mit kritischen Infrastrukturen nur KI-Systeme als hoch riskant, die bestimmungsgemäss als Sicherheitsbauteile im Rahmen der Verwaltung und des Betriebs kritischer digitaler Infrastruktur, des Strassenverkehrs oder der Wasser-, Gas-, Wärme- oder Stromversorgung verwendet werden sollen. Deshalb ist wiederum entscheidend, ob es sich beim KI-System um ein
Sicherheitsbauteil handelt.

In diesem Zusammenhang stellt sich die Frage, ob das KI-System bzw. der autonome Roboter als Sicherheitsbauteil der kritischen Infrastruktur qualifiziert werden kann. Wiederum ist massgeblich, ob ein Ausfall des Systems das Risiko für die Sicherheit oder Gesundheit von Menschen erhöht. Bei autonomen Inspektionsrobotern, die lediglich zur Datenerfassung dienen (z.B. zur visuellen Kontrolle oder Zustandserfassung), ohne direkt in Steuerungs- oder Betriebsprozesse einzugreifen, liegt in der Regel kein Sicherheitsbauteil im Sinne der KI-Verordnung vor. Entsprechend fällt das System auch nicht automatisch in die Hochrisikokategorie nach Anhang III Ziffer 2 der EU-KI-Verordnung. Anders verhält es sich bei KI-Systemen, die aktiv sicherheitsrelevante Funktionen übernehmen – etwa eine KI, die Stromflüsse in einem Energieversorgungssystem steuert. Hier liegt klar ein Sicherheitsbauteil vor, was eine entsprechende Konformitätsbewertung durch eine notifizierte Stelle erforderlich macht. Eine genaue Prüfung der Systemfunktion und -verwendung ist daher essenziell.

Die Anwendung der KI-Verordnung entfällt auch, wenn der persönliche Anwendungsbereich nicht erfüllt ist. Namentlich kann ein Anbieter seine Anbieterrolle verlieren, wenn etwa ein Händler, Einführer oder Betreiber das bereits in der EU in Verkehr gebrachte oder in Betrieb genommene KI-System mit seinem Namen oder seiner Handelsmarke versieht oder wesentliche Änderungen am System vornimmt. Dies kann bspw. durch einen sogenannten «White Label»-Verkauf geschehen. Denkbar ist auch, dass ein Anbieter das in der Schweiz produzierte KI-System einer Rechtseinheit in der EU zur Inverkehrsetzung überlässt.

Konformitätsbewertungen sind nur für Hochrisiko-KI-Systeme vorgesehen. Sie sollen nachweisen, dass das System mit den Anforderungen der EU-KI-Verordnung übereinstimmt (z.B. hinsichtlich Datenqualität, Transparenz, Risikomanagement, menschlicher Aufsicht).

Wenn das Hochrisiko-KI-System Teil eines Produkts ist, das anderen EU-Harmonisierungsrechtsakten unterliegt (z.B. eines Medizinprodukts, einer Maschine oder eines Fahrzeugs), ist grundsätzlich eine externe Konformitätsbewertung durch eine notifizierte Stelle erforderlich. Diese prüft die Konformität und stellt gegebenenfalls eine EU-Konformitätserklärung aus. Wenn ein KI-System die Konformitätsbewertung erfolgreich durchläuft, darf es mit dem CE-Kennzeichen versehen werden (siehe Kapitel 2.1).
 

In der EU-KI-Verordnung ist an verschiedenen Stellen festgehalten, dass bei Produkten und KI-Systemen, die im Rahmen von Harmonisierungsrechtsvorschriften bereits gewisse Konformitätsbewertungen durchlaufen haben, die für diese Bewertungen verwendeten Unterlagen und Dokumentationen auch für die Dokumentation gemäss EU-KI-Verordnung verwendet werden können bzw. dass die Anforderungen der EU-KI-Verordnung in die bestehende Dokumentation integriert werden können.

Nein, es werden wohl nicht zwei verschiedene Verfahren durchgeführt. Wenn ein Produkt unter die EU-Maschinenverordnung fällt, wird ein Konformitätsbewertungsverfahren dieser Verordnung angewendet. Da sich ihre Anforderungen in grossen Teilen mit denjenigen der EU-KI-Verordnung decken (siehe die Checkliste für Hochrisikosysteme in Kapitel 3.2), wird innerhalb dieses Verfahrens hauptsächlich die Einhaltung der EU-Maschinenverordnung geprüft. Falls es aber eine Anforderung der EU-KI-Verordnung gibt, die dadurch nicht abgedeckt wird, wird diese Anforderung im selben Verfahren durch dieselbe notifizierte Stelle geprüft. 

Es muss nicht der gesamte Roboter bzw. die gesamte Maschine durch die notifizierte Stelle bewertet werden, sondern nur die Teile, die eine Sicherheitsfunktion gewährleisten. Im Fall eines autonomen Inspektionsroboters dürfte das die Steuerungszentrale sein. Die restlichen Teile müssen durch den Hersteller selbst überprüft und einer Konformitätsbewertung unterzogen werden.

Die Datenverordnung schafft einen einheitlichen Rechtsrahmen für die Nutzung, Weitergabe und den Zugang zu Daten in der EU. Sie verpflichtet Hersteller und Anbieter vernetzter Produkte sowie verbundener Dienstleistungen, generierte Daten zugänglich zu machen und regelt den Datenaustausch zwischen Unternehmen (B2B) und gegenüber öffentlichen Stellen (B2G). Für Betreiber autonomer Inspektionssysteme sind insbesondere die Anforderungen an Datenportabilität, Zugriffsrechte und vertragliche Transparenz relevant.

Die Cyberresilienzverordnung führt horizontale Cybersicherheitsanforderungen für sämtliche digitale Produkte mit vernetzter Funktionalität ein. Hersteller müssen Sicherheits-by-Design und -by-Default nachweisen, Schwachstellenmanagement betreiben sowie Sicherheitsupdates während des gesamten Produktlebenszyklus gewährleisten. Für autonome Inspektionssysteme bedeutet dies erhöhte Anforderungen an sichere Softwareentwicklung, Patch-Management und den Nachweis entsprechender Prozesse im Rahmen der Konformitätsbewertung.