Reglamento de Máquinas 2023/1230
Base de conocimientos Conocimiento

Reglamento de Máquinas 2023/1230: qué cambia de verdad

MB
Marcin Bakota Compliance Expert
2026-04-30
13 min de lectura
CTRL+K
TL;DR
  • El reglamento no regula la IA en general: actúa cuando el software o los datos pueden afectar funciones de seguridad y poner en riesgo a personas.
  • La pregunta clave no es si la máquina tiene IA, sino si software, comunicación, acceso remoto, actualización o configuración pueden causar un suceso peligroso.
  • La evaluación de riesgos sigue siendo la base: ISO 12100 primero, y sobre ella conectividad, ciberseguridad y cambios de comportamiento de la máquina.
  • Modificar PLC, SCADA, recetas o permisos puede cambiar secuencias, paradas o rearranques; eso es un riesgo de máquina, no solo un problema IT.
  • El software ya no puede tratarse como algo externo: puede formar parte de la máquina y un componente de seguridad puede ser también digital.

El Reglamento de Máquinas 2023/1230 no convierte cualquier sistema AI de fábrica en un asunto de conformidad de máquina. Ese atajo suena moderno, pero falla en lo importante: este marco entra de lleno cuando el software, los datos, la lógica de control, la comunicación, el acceso remoto o la ciberseguridad pueden alterar el comportamiento de la máquina y empujar a una persona hacia una situación peligrosa. Ahí está el cambio real. No en la etiqueta AI, sino en su efecto técnico sobre la seguridad.

Por eso la pregunta útil no es si la máquina tiene AI. La pregunta útil es otra: quién o qué puede cambiar su comportamiento, en qué condiciones, con qué impacto sobre el uso previsto, el uso indebido razonablemente previsible y las medidas de reducción del riesgo. Si no haces esa pregunta, la documentación puede quedar impecable por fuera y vacía por dentro.

Y aquí no hay magia nueva. La evaluación de riesgos de maquinaria sigue siendo la columna vertebral. Lo que cambia es el peso del software, de la conectividad y de la ciberseguridad dentro de esa evaluación.

Reglamento de Máquinas 2023/1230: no es una ley general sobre AI

Se ha repetido mucho una idea cómoda: el nuevo reglamento regula la AI en máquinas. No exactamente. El Reglamento de Máquinas 2023/1230 no regula cualquier sistema AI usado en una planta. Un algoritmo que calcula OEE, predice averías o propone ajustes de proceso no se convierte por arte de magia en un componente de seguridad.

Lo decisivo es otra cosa: si esa función puede influir en la seguridad de la máquina y de las personas. Si no toca funciones de seguridad ni modifica el comportamiento relevante para la seguridad, no estamos ante el mismo problema regulatorio. Si sí lo hace, entonces deja de ser un accesorio elegante y entra en el núcleo duro de la conformidad.

Ese matiz importa mucho. Porque evita dos errores muy caros:

  • sobredimensionar sistemas que no afectan a la seguridad;
  • ignorar riesgos reales porque alguien los metió en el cajón de informática.

La pregunta correcta: puede este cambio llevar a un suceso peligroso

La evaluación de riesgos no arranca con una lista de resguardos ni con una colección de certificados de componentes. Arranca con los límites de la máquina. Después viene el uso previsto, el uso indebido razonablemente previsible, las tareas de los operadores, las fases del ciclo de vida, la situación peligrosa, el suceso peligroso, las medidas de reducción del riesgo y el riesgo residual. Ese es el esqueleto que da ISO 12100. Sin ese esqueleto, la conformidad se convierte en maquillaje.

Ejemplo claro: acceso remoto de servicio y modificación del programa del PLC. A simple vista, nada cambia. El resguardo sigue ahí. El pulsador de parada de emergencia sigue siendo rojo. El cuadro eléctrico sigue cerrado. El marcado CE sigue en la placa. Pero la máquina puede comportarse ya de otra manera:

  • cambia la secuencia de movimientos;
  • cambia el tiempo de parada;
  • cambia la velocidad o la aceleración;
  • cambia la condición de rearme;
  • cambia la reacción ante la apertura de un resguardo;
  • desaparece una lógica que antes limitaba el riesgo.

Eso no es solo un incidente informático. Si el resultado puede ser movimiento inesperado, ausencia de parada, rearranque no previsto o acceso de una persona a una zona peligrosa, estás ante un suceso peligroso de manual. Y eso pertenece a la evaluación de riesgos de la máquina, no a una presentación de digitalización.

SCADA, recetas y reinicios: el punto donde mirar deja de ser observar

Con SCADA pasa lo mismo. Si solo lee datos, el impacto puede ser bajo. Aun así, hay que verificarlo. Pero cuando SCADA cambia recetas, parámetros, modos de trabajo, permisos, secuencias o condiciones de rearranque, ya no hablamos de visualización. Hablamos de influencia externa sobre el comportamiento de la máquina.

En ese momento hay que volver al principio: límites de la máquina. Porque una máquina que antes era un puesto autónomo, al integrarse con un sistema superior puede pasar a tener otras dependencias, otras fuentes de mando, otros fallos plausibles y otras formas de sorprender al operario. Decir que SCADA es asunto del cliente no sirve si ese sistema afecta a la seguridad.

Relocalizar no siempre es solo mover hierro

La reubicación también se suele trivializar. Error. Cambiar una máquina de planta, de nave o de país no implica automáticamente una modificación sustancial. Pero tampoco es una simple mudanza por definición. Si el nuevo entorno introduce condiciones no consideradas en el diseño original, aparece un problema real.

Piensa en una máquina evaluada para un entorno estable y luego instalada en una zona donde las acciones sísmicas, la temperatura, la humedad, el polvo conductor o la atmósfera explosiva cambian el contexto técnico. Si eso exige medidas adicionales de estabilidad, resistencia mecánica, protección ATEX o lógica de control distinta, entonces ya no estás evaluando exactamente la misma máquina en los mismos límites. La documentación no describe una máquina suspendida en el vacío. Describe una máquina en condiciones concretas.

Qué cambia de verdad con el Reglamento de Máquinas 2023/1230

Conviene dejar algo claro: el Reglamento de Máquinas 2023/1230 no reinventa la evaluación de riesgos. La base ya estaba en la Directiva 2006/42/CE. Ya existían la jerarquía de protección, la documentación técnica, las instrucciones, la declaración CE de conformidad y el marcado CE. El cambio no está en empezar desde cero. El cambio está en que el nuevo marco deja de tratar ciertos elementos como apéndices y los coloca en el centro.

Ahora la máquina se ve con más honestidad: como un sistema técnico cuyo nivel de seguridad puede depender de software, datos, comunicaciones, sensores, acceso remoto, actualizaciones y resistencia frente a manipulaciones externas. Dicho sin rodeos: la máquina de 2027 no es solo mecánica, motores y armario eléctrico.

La máquina puede estar casi lista y seguir sin estar completa

Una novedad importante es que la definición de máquina alcanza también a conjuntos que cumplen la definición, pero todavía no tienen instalado el software destinado a una aplicación específica prevista por el fabricante. Esto tiene una consecuencia práctica enorme: ya no se puede fingir que el software es siempre algo externo.

Si ese software es necesario para que la máquina realice su función prevista, influye en su comportamiento y, por tanto, en su seguridad. Si no lo incorporas a la evaluación de conformidad, la documentación no describe la máquina real. Describe una carcasa con buenas intenciones.

El componente de seguridad puede ser digital

Aquí muchas empresas se van a tropezar. El reglamento deja claro que un componente de seguridad puede ser físico o digital, incluido el software. Eso rompe la vieja comodidad de pensar que la seguridad vive solo en resguardos, enclavamientos, cortinas, relés de seguridad o botones.

Cuando una función de software realiza una función de seguridad, hay preguntas incómodas que ya no se pueden esquivar:

  • quién la suministra;
  • qué versión está instalada;
  • quién puede modificarla;
  • cómo se valida el cambio;
  • si queda trazabilidad de la intervención;
  • si una actualización puede alterar la función de seguridad.

No basta con tener buenos programadores. Hay que demostrar cómo esas decisiones de software se conectan con la evaluación de riesgos y con la documentación técnica.

Ciberseguridad: cuando la intrusión deja de ser un problema solo de red

Otro giro clave: la ciberseguridad entra en la seguridad de la máquina cuando una alteración accidental o intencionada puede conducir a una situación peligrosa. El reglamento no obliga al fabricante de maquinaria a actuar como una empresa de servicios de ciberseguridad. Pero sí le obliga a mirar el problema donde duele de verdad: en la función de seguridad y en el comportamiento global de la máquina.

Si una conexión externa, un acceso remoto, una modificación de datos o una actualización puede afectar a funciones relevantes para la conformidad, ese riesgo debe identificarse, evaluarse y controlarse. Aquí IEC 62443 aporta estructura útil para los entornos de automatización, pero no sustituye la lógica de ISO 12100. Primero preguntas cómo puede dañarse a una persona; después bajas al detalle técnico de cómo lo evitas.

La documentación técnica ya no puede ser un almacén de archivos

Este punto es decisivo. La documentación técnica tiene que mostrar el razonamiento del fabricante: qué requisitos esenciales aplican, qué peligros se identificaron, qué medidas se adoptaron, qué normas o especificaciones se usaron y qué riesgo residual permanece. Cuando el software, los datos, los sensores, el control remoto o la autonomía afectan a la seguridad, eso también tiene que quedar explicado.

En los casos pertinentes, habrá que incluir lógica de programación o información suficiente sobre el software relativo a la seguridad. También habrá que describir sistemas gobernados por sensores, arranque remoto o comportamiento autónomo cuando la seguridad dependa de esas funciones. Ya no vale meter planos, una hoja de cálculo y un PDF final en una carpeta y llamarlo expediente.

Anexo I: parte A, parte B y el punto exacto donde AI sí importa

Otra diferencia práctica es la lógica del anexo I, dividido en parte A y parte B. No es un cambio cosmético. Determina la vía de evaluación de conformidad. En la parte A aparecen, entre otros, componentes de seguridad con comportamiento total o parcialmente autoevolutivo que usan aprendizaje automático y garantizan funciones de seguridad, así como máquinas que integran esos sistemas respecto de esas funciones.

Aquí sí, AI importa de verdad. Pero fíjate en la condición: aprendizaje automático al servicio de una función de seguridad. No hablamos del algoritmo que genera informes, ni del que calcula OEE, ni del que predice mantenimiento. Hablamos de funciones cuya deriva o adaptación puede afectar directamente al nivel de seguridad.

Documentación y declaraciones en el Reglamento de Máquinas 2023/1230

La transición desde la Directiva 2006/42/CE al Reglamento de Máquinas 2023/1230 empieza a aplicarse el 20 de enero de 2027. Y aquí hay una trampa clásica: pensar que basta con cambiar el encabezado del documento final. No basta. La peor actualización posible es un buscar y reemplazar mal hecho.

La declaración UE de conformidad no puede ser un folleto

Bajo el nuevo marco, la máquina final llevará declaración UE de conformidad, no declaración CE de conformidad. Y ese documento no debería limitarse a afirmar que la máquina cumple el reglamento. Tiene que mostrar por qué vía se ha demostrado la conformidad.

Eso significa identificar las normas armonizadas, las especificaciones comunes o, en su caso, otras especificaciones técnicas utilizadas. Si una norma se ha aplicado solo en parte, hay que decir qué partes. Ese detalle corta de raíz una mala práctica muy extendida: rellenar la declaración con normas puestas a bulto, porque suenan bien.

También debe verse la procedura de evaluación de conformidad aplicada. En la práctica, eso significa dejar claro qué módulo se ha usado: módulo A para control interno de la producción cuando proceda, o bien módulo B + C, módulo G o módulo H cuando el producto y el anexo I lo exijan. Si entra un organismo notificado, la ruta debe quedar perfectamente clara.

Otro detalle que delata procesos desactualizados: arrastrar al nuevo modelo el antiguo campo de la persona autorizada para preparar la documentación técnica, propio de la Directiva 2006/42/CE. Ese campo ya no va así en la declaración UE de conformidad. Mantenerlo sin revisar no es una anécdota; es la señal de que nadie ha rehecho el proceso completo.

La declaración UE de incorporación para la cuasi máquina también cambia de verdad

La cuasi máquina no es una máquina final y no recibe declaración UE de conformidad. Recibe declaración UE de incorporación. Y tampoco aquí vale reciclar un modelo viejo con nombre nuevo. Ese documento debe indicar qué requisitos esenciales se han aplicado y cumplido, y debe encajar con el reglamento vigente.

Si el integrador recibe de un proveedor una declaración antigua disfrazada, tiene un problema serio. Porque la conformidad de la máquina final depende de que la cadena documental de la cuasi máquina sea sólida y útil, no decorativa.

Manual e instrucciones digitales: sí, pero con condiciones

El reglamento permite instrucciones y declaraciones en formato digital. Buena noticia, sí. Pero con condiciones concretas. Deben estar accesibles de la forma indicada en la máquina, el producto, el embalaje o un documento acompañante. Deben poder descargarse, guardarse e imprimirse. Y deben permanecer disponibles en línea durante el ciclo de vida previsto y, como mínimo, 10 años desde la introducción en el mercado o la puesta en servicio.

Subir un PDF a una web olvidada no cumple por sí solo. La digitalización documental no elimina obligaciones: crea obligaciones nuevas de conservación, acceso y gestión.

Importador, distribuidor y CRA: menos excusas, más trazabilidad

El nuevo marco también aprieta a los operadores económicos. El importador debe verificar que el fabricante ha seguido la evaluación de conformidad correcta, que existe documentación técnica, que la máquina lleva marcado CE y que la acompañan los documentos e identificaciones exigidos. El distribuidor ya no puede actuar como si solo moviese cajas.

Y ojo con otra confusión habitual: el CRA no sustituye la evaluación de riesgos de la máquina. Puede añadir exigencias de ciberresiliencia a productos con elementos digitales, pero el fabricante o integrador de la máquina sigue obligado a evaluar qué ocurre cuando ese componente digital se integra en una arquitectura concreta, con un PLC concreto, una red concreta, unos modos de trabajo concretos y unas personas concretas alrededor.

Dicho de forma directa: CRA puede ayudar con el componente. IEC 62443 puede ordenar la ciberseguridad del sistema. Pero ISO 12100 sigue siendo la herramienta que pone orden en la pregunta decisiva: afecta todo eso al riesgo de la máquina o no.

Qué deberías hacer ya si fabricas o integras maquinaria

Si quieres llegar a 2027 sin improvisar, no esperes a cambiar el modelo de declaración al final. Revisa ahora el proceso entero:

  • reclasifica tus productos: máquina, producto relacionado o cuasi máquina;
  • redefine los límites de la máquina en escenarios conectados, remotos y actualizables;
  • repite la evaluación de riesgos con software, datos, sensores y comunicaciones dentro del análisis;
  • identifica qué software es relevante para la conformidad y para la seguridad;
  • verifica si existe algún componente de seguridad digital;
  • revisa el anexo I, parte A y parte B, antes de decidir la ruta de evaluación;
  • confirma si procede control interno de la producción o si necesitas organismo notificado;
  • actualiza instrucciones, declaración UE de conformidad y declaración UE de incorporación;
  • asegura trazabilidad de versiones, cambios y accesos;
  • ordena la documentación técnica para que explique decisiones, no solo las archive.

Si necesitas poner orden desde la base, empieza por revisar tu proceso de marcado CE de máquinas y cómo conectas la evaluación de riesgos con el software y la ciberseguridad industrial.

La lección práctica es sencilla y nada cómoda: no preguntes si la máquina tiene AI. Pregunta quién puede cambiar su comportamiento, con qué medios, en qué momento y con qué consecuencias para las personas. Ahí es donde el Reglamento de Máquinas 2023/1230 deja de ser una novedad de titulares y se convierte en trabajo real de ingeniería.

Preguntas frecuentes

¿Regula el Reglamento de Máquinas 2023/1230 la IA en las máquinas?

No de manera general. El Reglamento (UE) 2023/1230 regula la seguridad de las máquinas, también cuando esta depende del software, los datos, la lógica de control o la comunicación.

La IA solo es relevante cuando influye en una función de seguridad o en el comportamiento de la máquina relacionado con la seguridad de las personas. El mero uso de la etiqueta «IA» no significa todavía que un sistema determinado esté sujeto a una evaluación de conformidad como elemento de seguridad.

¿Cuándo entra un sistema de IA en el ámbito de la evaluación de la conformidad de una máquina?

Cuando está integrado en una máquina o en un componente de seguridad y su funcionamiento influye en la función de seguridad. Esto también se aplica a las soluciones que utilizan aprendizaje automático, si su comportamiento puede cambiar el nivel de seguridad.

Si el sistema funciona junto a la máquina, p. ej., analiza datos, calcula el OEE o predice fallos, pero no realiza una función de seguridad, no pasa automáticamente a formar parte de la evaluación de la conformidad de la máquina.

¿Un sistema de predicción de fallos o de OEE es un elemento de seguridad?

No automáticamente. Un sistema de este tipo puede ser solo una herramienta analítica que no influye en la parada, el bloqueo de acceso, la limitación de velocidad ni en otras funciones de seguridad.

La evaluación cambia cuando el resultado del funcionamiento del sistema influye en el comportamiento de la máquina de un modo que puede crear una situación peligrosa. En la práctica, no decide el nombre de la tecnología, sino su impacto en la seguridad.

¿Por qué la norma ISO 12100 es hoy aún más importante?

Porque proporciona una estructura lógica para la evaluación del riesgo: la determinación de los límites de la máquina, del uso previsto, del uso indebido razonablemente previsible, de las fases del ciclo de vida, de los peligros, de las situaciones peligrosas, de los sucesos peligrosos y del riesgo residual.

En el caso de las máquinas dependientes del software, es precisamente ISO 12100 la que permite estructurar la evaluación del impacto de los datos, las actualizaciones, la configuración, la comunicación en red y el acceso remoto en la seguridad.

¿Basta el marcado CE de los componentes para considerar conforme toda la máquina?

No. La conformidad de los componentes no determina la conformidad de toda la máquina o del conjunto de máquinas tras la integración. Tras unir los elementos, pueden surgir nuevos peligros y nuevas situaciones peligrosas.

Es necesario evaluar, entre otros, las interfaces entre dispositivos, la lógica de control, la secuencia de movimientos, las condiciones de rearranque, la reacción a errores y el impacto de los cambios de software en la seguridad.

Artículos relacionados

Modificación sustancial: cuándo ocurre en máquinas 2026-03-24 ISO 12100: cuando las medidas de protección generan nuevos riesgos 2026-02-21 Evaluación del riesgo de maquinaria: cómo aplicar de forma rigurosa el método HRN conforme a la ISO 12100 2026-01-27 Evaluación de riesgos de máquinas: el riesgo como relación hombre‑máquina 2025-12-16 Revisión de la ISO 12100: qué puede cambiar en 2026 para la seguridad de máquinas 2026-03-08 Ejemplo de evaluación de riesgos según ISO 12100 2026-04-14 Límites de la máquina invalidan la evaluación del riesgo 2026-04-04

¿Listo para un cambio?

Crea una cuenta y genera documentación conforme en 15 minutos.

Iniciar prueba gratuita Sin tarjeta de crédito • 14 días gratis