Machineverordening 2027: hoe je vier EU-kaders als één project aanpakt

Op 20 januari 2027 wordt de nieuwe Machineverordening (EU) 2023/1230 verplicht. Wie denkt dat dit een geïsoleerd compliance-dossier is, onderschat de opgave. Voor de projectmanager die dit moet leiden, is het echte werk het samenbrengen van vier kaders die tegelijk in werking treden.
De deadline die niemand mag missen
Vanaf 20 januari 2027 vervangt de Machineverordening de Machinerichtlijn uit 2006. Er is geen overgangsperiode. Nieuwe machines die op de Europese markt komen, moeten vanaf dag één voldoen. Voor een organisatie met een breed machinepark of een volle productroadmap is dat geen administratieve formaliteit. Het is een programma dat maanden voorbereiding vraagt.
Waarom dit geen één-dossier-project is
De vernieuwing zit niet in de klassieke veiligheidseisen, maar in het feit dat cybersecurity nu onderdeel is van machineveiligheid. Een machine kan mensen schade toebrengen door technisch falen én door een kwaadwillige digitale aanval. Daardoor raakt dit dossier meteen aan drie andere Europese kaders.
- Cyber Resilience Act (CRA): machinebouwers met digitale componenten moeten hier ook aan voldoen; de twee verordeningen overlappen op cybervlak en die samenhang moet je zelf aantonen.
- AI Act: zodra een zelflerende of AI-gestuurde functie een veiligheidscomponent is, wordt die hoog-risico, met een eigen conformiteitstraject.
- NIS2: dit gaat niet over het product maar over je organisatie en je leveranciersketen, een aparte laag met eigen verplichtingen.
De projectmanagement-uitdaging
Vier kaders, één deadline, overlappende maar niet identieke eisen. De verleiding is groot om vier aparte werkstromen op te zetten. Vier verantwoordelijken, vier risicoanalyses, vier documentensets. Precies die aanpak laat budgetten ontsporen en deadlines wankelen. De betere aanpak is programmatisch: behandel de convergentie als een geïntegreerd traject met gedeelde bouwstenen.
Gedeelde bouwstenen als fundament
Een informatiebeveiligingsmanagementsysteem volgens ISO 27001 levert bewijs voor zowel je NIS2-verplichtingen als de secure-development-eisen van CRA en Machineverordening. Een AI-managementsysteem volgens ISO/IEC 42001 governt je AI-lifecycle en vertaalt de AI Act naar werkbare processen. De technische norm IEC 62443 vult de cyberkant van machine en product in. Eén keer opbouwen, meervoudig inzetten.
Key takeaway
Behandel 2027 niet als vier compliance-deadlines, maar als één convergentiepunt. Wie de gedeelde bouwstenen (ISO 27001, ISO 42001 en IEC 62443) als fundament neemt, bouwt één keer en bewijst meervoudig.
Zo pak je het aan als programma
- Scoping: breng in kaart welke van de vier kaders op welke producten en organisatieonderdelen van toepassing zijn.
- Gap-analyse: vergelijk je huidige documentatie, risicoanalyses en processen met de nieuwe eisen en identificeer de overlap.
- Geïntegreerde roadmap: plan de gedeelde bouwstenen eerst, zodat elk werkpakket meerdere kaders bedient.
- Governance: één stuurgroep, één risicoregister, één rapportagelijn. Geen silo’s.
- Bewijsvoering: stel de technische dossiers en conformiteitsverklaringen zo op dat overlappende eisen elkaar versterken.
Begin nu, niet in 2026
De overgangsperiode lijkt ruim, maar het aanpassen van technische dossiers, risicoanalyses en interne processen kost tijd. Zeker bij een breed productportfolio. Wie nu start, werkt stap voor stap zonder tijdsdruk. Wie wacht, riskeert vertraging bij marktintroducties precies op het moment dat het telt.
Sta je voor deze convergentie en zoek je iemand die het als één programma kan leiden?