Maskinförordningen 2023/1230
Kunskapsbank Kunskap

Maskinförordningen 2023/1230: maskinsäkerhet i praktiken

MB
Marcin Bakota Compliance Expert
2026-04-30
14 min läsning
CTRL+K
TL;DR
  • Maskinförordningen 2023/1230 reglerar inte AI i sig, utan maskinsäkerhet när programvara, data eller maskininlärning påverkar en säkerhetsfunktion.
  • Den viktiga frågan är inte om maskinen har AI, utan om PLC-logik, SCADA, fjärråtkomst, uppdateringar eller konfiguration kan ändra beteendet och skapa fara.
  • CE-märkta delar räcker inte; när komponenter byggs ihop till en maskin eller linje måste nya risker i hela systemet bedömas.
  • ISO 12100 är fortsatt grunden för riskbedömning, och därefter kan cybersäkerhet vägas in med stöd av exempelvis IEC 62443 och kopplingen till CRA.
  • Förordningen skärper fokus på programvara, digitala säkerhetskomponenter, fjärrstart och styrsystem som ska tåla både fel och rimligt förutsebara angrepp.

Runt Maskinförordningen 2023/1230 har det vuxit fram en bekväm genväg: att den nya förordningen helt enkelt reglerar AI i maskiner. Det låter modernt. Det är också slarvigt. Förordningen är inte en allmän AI-regel för fabriken. Den fångar inte varje system som analyserar linjedata, räknar OEE, förutser fel eller föreslår processparametrar. Frågan är en annan, och den är mycket mer praktisk: kan lösningen påverka maskinens beteende så att människor hamnar i fara?

Det är där den verkliga skillnaden ligger. En maskin slutar inte vid mekanik, drivsystem, skydd och elskåp. Den kan vara ett tekniskt system där säkerheten beror på programvara, data, styrlogik, kommunikation, fjärråtkomst, uppdateringar, konfigurering och skydd mot digital påverkan. Därför räcker det inte längre att stirra på CE-märkning på enskilda komponenter. När allt byggs ihop till en maskin eller en maskinlinje måste du fråga dig om nya risker uppstår i helheten.

Det är också därför ISO 12100 inte blir mindre viktigt när den nya förordningen börjar tillämpas. Tvärtom. ISO 12100 ger skelettet: maskinens begränsningar, avsedd användning, rimligen förutsebar felanvändning, livscykelfaser, operatörernas uppgifter, faror, risksituationer, farliga händelser, riskreducerande åtgärder och kvarstående risk. Först på det skelettet går det att lägga ett relevant lager av cybersäkerhet, till exempel med stöd av IEC 62443, och därefter bedöma relationen till CRA.

Så nej, den viktiga frågan är inte om maskinen har AI. Frågan är vem eller vad som kan ändra maskinens beteende på ett sätt som påverkar säkerheten.

Maskinförordningen 2023/1230 handlar inte om all AI

Här går många fel redan i första meningen. Bara för att ett system använder AI blir det inte automatiskt en säkerhetskomponent. Ett system kan analysera produktionsdata, optimera energiförbrukning, förutse underhållsbehov eller räkna OEE utan att alls påverka en säkerhetsfunktion. Då är det fortfarande ett digitalt system bredvid maskinen, inte en del av maskinens säkerhetsfunktion bara för att etiketten AI sitter på.

Det blir allvar på riktigt först när AI eller maskininlärning används i en funktion som påverkar säkerheten. Om en säkerhetskomponent, eller ett inbyggt system i maskinen, har helt eller delvis självförändrande beteende, använder maskininlärning och utför en säkerhetsfunktion, då är vi inne i förordningens kärna. Inte för att AI i sig är förbjudet eller särskilt magiskt, utan för att säkerhetsfunktionen påverkas.

Det är en avgörande skillnad. Förordningen reglerar inte AI som modeord. Den reglerar maskiner och säkerhetskomponenter där maskininlärning kan påverka om maskinen beter sig säkert eller farligt.

Fråga inte om maskinen har AI. Fråga vem som kan ändra dess beteende

Det här är startpunkten för en bra riskbedömning. Inte marknadsföring. Inte digitaliseringspresentationer. Inte en snabb kommentar från IT. Om en funktion, koppling eller ändring kan påverka maskinens beteende så att en människa hamnar i en risksituation, då hör den hemma i riskbedömningen.

Exempel: någon ändrar PLC-programmet

Ta en maskin med fjärråtkomst för service. Ett sårbart konto, en felaktig konfiguration eller en dåligt säkrad uppkoppling räcker för att någon ska kunna ladda in ändrad logik i PLC-styrningen.

Vid första blicken ser allt normalt ut. Skydden sitter kvar. Nödstoppet är fortfarande rött. Dokumentationen ligger i mappen. Typskylten ser fortfarande korrekt ut. Men maskinen kan redan bete sig annorlunda. Rörelsesekvensen kan vara ändrad. Stopptiden kan ha förlängts. Hastigheten kan ha justerats. Villkoren för omstart kan ha flyttats. Reaktionen på att ett skydd öppnas kan vara en annan än tidigare. En kontroll som tidigare begränsade risken kan vara borta.

Då räcker det inte att kalla det en IT-incident. Om följden kan bli rörelse vid fel tidpunkt, uteblivet stopp, oväntad omstart eller att en person exponeras i riskområdet, då är det ett maskinsäkerhetsproblem. Punkt.

Exempel: maskinen kopplas till SCADA

SCADA i sig är inte problemet. Frågan är vad SCADA får göra. Om systemet bara läser data kan risken vara begränsad. Det måste fortfarande bedömas, men ren övervakning förändrar inte nödvändigtvis maskinens säkerhet.

Om SCADA däremot kan ändra recept, parametrar, driftlägen, tillstånd, cykelordning eller villkor för återstart, då pratar vi inte längre om insyn i processen. Då pratar vi om extern påverkan på maskinens beteende. Och då måste du tillbaka till början: maskinens begränsningar. En fristående station som integreras i ett överordnat system arbetar plötsligt under andra förutsättningar, med andra kommandokällor, andra felmöjligheter och andra sätt att överraska operatören.

Att säga att SCADA ligger på kundens sida hjälper inte. Om systemet påverkar maskinens beteende ska det in i riskbedömningen.

Exempel: relokalisering är inte alltid bara logistik

Flytt av maskin är ett annat område där många tänker för grunt. En maskin som konstruerats och bedömts för en anläggning utan seismisk påverkan kan hamna i en miljö där jordbävning faktiskt är en relevant omgivningsfaktor.

Innebär själva flytten automatiskt en väsentlig ändring? Nej. Men om den nya miljön kräver ytterligare åtgärder för stabilitet eller mekanisk hållfasthet, då är det inte längre bara logistik. Då finns en ny farlig händelse i den praktiska användningen av maskinen. Då måste du ställa den obekväma men nödvändiga frågan: bedömer vi fortfarande samma maskin inom samma begränsningar?

Det är det som förenar de här exemplen. Problemet börjar inte med ett modeord. Inte med AI. Inte med SCADA. Inte med fjärråtkomst. Inte med en uppdatering. Det börjar när maskinens beteende, användningsvillkor eller samspelet med människor förändras.

Vad Maskinförordningen 2023/1230 faktiskt förändrar

Nu till kärnan. Maskinförordningen 2023/1230 uppfinner inte riskbedömningen på nytt. Maskinens begränsningar, avsedd användning, rimligen förutsebar felanvändning, skyddsåtgärdernas hierarki, teknisk dokumentation, instruktioner och försäkran om överensstämmelse fanns redan i maskindirektivet 2006/42/EG.

Förändringen ligger någon annanstans. Den nya förordningen lägger till sådant som inte längre går att behandla som tillval: programvara, data, digitala säkerhetsfunktioner, maskiner som ännu saknar den tillämpningsspecifika programvaran, digitala säkerhetskomponenter, autonoma funktioner, fjärrstart och styrsystem som inte bara ska tåla fel utan även rimligen förutsebara försök till skadlig påverkan från tredje man.

1. Maskinen kan vara nästan klar men ändå inte komplett utan programvara

Definitionen av maskin blir praktiskt viktig här. En maskin kan omfattas även om den ännu saknar den programvara som krävs för den specifika tillämpning tillverkaren avsett. Det här låter teoretiskt, men konsekvensen är konkret: du kan inte längre låtsas att programvara alltid är något utanför maskinen.

Om maskinen bara fungerar som avsett efter installation av viss programvara, då är den programvaran inte en bekväm eftertanke. Den är en del av det som avgör funktion, beteende och säkerhet. Om den inte är med i bedömningen beskriver den tekniska dokumentationen en kuliss, inte den maskin användaren faktiskt tar i drift.

2. En säkerhetskomponent kan vara digital

Det här ser litet ut på papper men slår hårt i praktiken. En säkerhetskomponent kan vara fysisk eller digital, och den kan bestå av programvara. Därmed räcker det inte längre att tänka att maskinsäkerhet bor i skydd, ljusridåer, lås, säkerhetsreläer och nödstopp.

När programvara utför en säkerhetsfunktion är den inte bara automationskod. Då är den en säkerhetskomponent eller en del av ett säkerhetsrelaterat styrsystem. Då måste tillverkaren kunna svara på obekväma frågor: vem levererade den, vilken version är installerad, vem kan ändra den, loggas ändringar, kan en uppdatering påverka säkerhetsfunktionen och går överensstämmelsen att visa i den tekniska dokumentationen?

3. Cybersäkerhet blir en del av maskinsäkerheten

Förordningen gör inte maskintillverkaren till renodlad cybersäkerhetsleverantör. Men den säger tydligt att om oavsiktlig eller avsiktlig skada, manipulation, ändring av data, ändring av programvara eller annan extern påverkan kan leda till en risksituation, då är det ett maskinsäkerhetsämne.

Det märks särskilt i kraven på skydd mot påverkan samt styrsystemens säkerhet och tillförlitlighet. En maskin ska vara konstruerad så att anslutning till annan utrustning eller fjärrkommunicerande utrustning inte leder till en farlig situation. Programvara och data som är relevanta för överensstämmelsen ska identifieras och skyddas. Ingrepp i programvara eller konfigurering ska lämna spår. Och styrsystemen ska tåla inte bara fel utan också rimligen förutsebara försök från tredje man att skapa en farlig situation.

Det betyder i praktiken att formuleringen fjärråtkomst skyddad med lösenord inte räcker. Du måste visa om fjärråtkomsten kan påverka säkerhetsrelevanta funktioner. Om svaret är ja krävs beskrivna risker och åtgärder. Om svaret är nej måste du kunna motivera varför.

4. Teknisk dokumentation ska visa tänkandet, inte bara filerna

Många företag kommer att upptäcka att deras gamla metod inte håller. Teknisk dokumentation är inte en mapp där man samlar ritningar, instruktioner, komponentpapper och en riskmatris för syns skull. Dokumentationen ska visa tillverkarens resonemang: vilka väsentliga hälso- och säkerhetskrav som gäller, vilka faror som identifierats, vilka skyddsåtgärder som valts, vilka standarder som använts och vilka kvarstående risker som återstår.

Där det är relevant blir kraven märkbart tyngre. Säkerhetsrelaterad programvaras källkod eller programmeringslogik kan behöva omfattas. Sensorstyrda, fjärrstyrda eller autonoma system måste beskrivas när säkerhetsåtgärder beror på sensordata. Då räcker det inte att skriva att systemet är intelligent. Du måste redovisa egenskaper, kapacitet, begränsningar, data samt provnings- och valideringsprocesser.

5. Bilaga I del A och del B ändrar spelplanen

Det här är mer än ny numrering. I stället för den gamla logiken kring bilaga IV i maskindirektivet 2006/42/EG ska du nu läsa bilaga I, uppdelad i del A och del B.

Del B ligger närmare den värld många redan känner igen: maskiner med högre risk där intern tillverkningskontroll fortfarande kan vara möjlig om relevanta harmoniserade standarder eller gemensamma specifikationer täcker de tillämpliga kraven.

Del A är skarpare. Där finns bland annat säkerhetskomponenter med helt eller delvis självförändrande beteende som använder maskininlärning för att utföra en säkerhetsfunktion, samt maskiner med inbyggda sådana system i fråga om just dessa system. Det är här AI verkligen blir regulatoriskt tungt. Inte för att maskinen har AI någonstans i fabriken, utan för att maskininlärning bär en säkerhetsfunktion.

6. Instruktioner och EU-försäkran om överensstämmelse får vara digitala, men inte slarvigt digitala

Det här välkomnas av många tillverkare, med rätta. Men lättnaden är villkorad. En digital instruktion ska vara tillgänglig på det sätt som anges på maskinen, produkten, förpackningen eller i medföljande dokument. Den ska kunna skrivas ut, laddas ner och sparas. Och den ska vara tillgänglig via internet under maskinens förväntade livslängd och i minst tio år efter att den släppts ut på marknaden eller tagits i bruk.

Samma logik gäller för EU-försäkran om överensstämmelse. Den kan göras tillgänglig via internetadress eller maskinläsbar kod, men inte på ett sätt som försvinner efter några år när någon bytt webbplats eller systemstöd. Digitalisering tar inte bort skyldigheter. Den flyttar dem till organisationen.

7. Importör och distributör har inte längre statistroller

Förordningen beskriver ekonomiska aktörers skyldigheter tydligare än tidigare. Importören ska kontrollera att tillverkaren har genomfört rätt förfarande för bedömning av överensstämmelse, att teknisk dokumentation finns, att maskinen är CE-märkt och att nödvändiga dokument samt identifieringsuppgifter följer med.

Distributören kan inte heller bara flytta kartonger. Före tillhandahållande på marknaden ska distributören kontrollera bland annat CE-märkning, EU-försäkran om överensstämmelse, instruktioner på ett språk användarna förstår och uppgifter om tillverkare och importör. Den som sätter eget namn på produkten eller ändrar den på ett sätt som kan påverka överensstämmelsen kan dessutom hamna i tillverkarens ansvar.

8. Autonoma maskiner kräver djupare analys än klassiska mobila risker

Autonom mobil maskin är inte längre ett exotiskt undantag. När beslut om rörelse helt eller delvis tas av maskinen själv måste riskbedömningen gå längre än hjul, broms och varningssignal. Du måste bedöma hur personer och hinder upptäcks, vad som händer vid förlorad kommunikation, hur arbetsområdet begränsas, om maskinen kan arbeta utan aktiv övervakningsfunktion och om övervakaren faktiskt har tillräcklig insyn för att agera i tid.

Med andra ord: i den autonoma maskinen ligger riskerna inte bara i att något rör sig, utan i hur beslut om rörelse tas.

9. CRA är ett eget lager, men ersätter inte maskinens riskbedömning

Det är viktigt att hålla isär regelverken. Maskinförordningen 2023/1230 handlar om säkerhet för maskiner, relaterade produkter och delvis fullbordad maskin. Cybersäkerhet blir relevant där den kan påverka maskinsäkerheten.

CRA har en annan funktion och egna krav för produkter med digitala element. En digital komponent kan vara väl hanterad enligt CRA, men tillverkaren eller integratören måste fortfarande bedöma vad som händer när den komponenten byggs in i en konkret maskin, ett konkret styrsystem, ett konkret nätverk och en konkret användningsmiljö. IEC 62443 hjälper till att strukturera cybersäkerhetsarbetet. ISO 12100 behövs fortfarande för att avgöra om allt detta ändrar maskinens risknivå.

Formalia som ser små ut men kan fälla hela processen

En del ändringar ser först ut som ren administration. Det vore ett misstag att avfärda dem så.

Efter rättelsen ska tillämpningsstarten läsas som 20 januari 2027. Från den dagen är det inte ett litet redaktionellt fel att fortsätta använda gamla hänvisningar till maskindirektivet 2006/42/EG, gamla formulär eller gammal logik från bilaga IV. Det är en tydlig signal om att CE-processen inte har uppdaterats på riktigt.

Och det är just där många kommer att snubbla: de byter rubrik i dokumentmallen, men låter själva processen stå kvar orörd.

EU-försäkran om överensstämmelse måste visa vägen till överensstämmelse

I den gamla världen såg många försäkringar likadana ut: maskinnamn, tillverkare, någon rättsakt, datum, underskrift. Ibland stod det standarder. Ibland stod det standarder som ingen kunde förklara.

Det håller sämre nu. En korrekt EU-försäkran om överensstämmelse bör visa vilka harmoniserade standarder, gemensamma specifikationer eller andra tekniska specifikationer som faktiskt använts för att visa överensstämmelse. Om en standard bara tillämpats delvis ska det framgå vilka delar som använts. Själva hänvisningen till förordningen bevisar ingenting. Den pekar bara ut kraven. Försäkran ska visa hur tillverkaren har valt att uppfylla dem.

Modul A, B, C, G eller H ska inte väljas på känsla

Förfarandet för bedömning av överensstämmelse måste också vara tydligt. Om produkten inte omfattas av bilaga I är intern tillverkningskontroll enligt modul A normalt utgångspunkten. Men om produkten hamnar i bilaga I del A eller del B måste artikel 25 läsas ordentligt och rätt modul väljas.

Det kan till exempel bli modul B + C, modul G eller modul H, med ett anmält organ där det krävs. Det här ändrar dokumentets betydelse. EU-försäkran om överensstämmelse blir inte bara ett slutpapper, utan ett spår av hela överensstämmelsevägen.

Gamla fält ska inte släpas med av gammal vana

En detalj avslöjar snabbt om någon arbetar i rätt mall: uppgiften om den person som är behörig att sammanställa teknisk dokumentation, känd från den gamla försäkran enligt maskindirektivet 2006/42/EG, ska inte bara kopieras vidare slentrianmässigt.

Det betyder inte att den auktoriserade representanten försvinner som roll. Om tillverkaren har gett ett skriftligt mandat kan en auktoriserad representant fortfarande förekomma. Men rollen är inte densamma som tillverkarens. Den ersätter inte tillverkarens ansvar för konstruktion, riskbedömning eller teknisk dokumentation.

Delvis fullbordad maskin kräver uppdaterad dokumentlogik

För en delvis fullbordad maskin räcker det inte att damma av en gammal deklaration för inbyggnad och byta filnamn. Dokumentationen måste spegla den nya rättsakten och dess logik. Den tillhörande EU-försäkran för inbyggnad ska ange vilka relevanta väsentliga hälso- och säkerhetskrav som tillämpats och uppfyllts samt bekräfta att den relevanta tekniska dokumentationen har tagits fram.

Om leverantören skickar med dokument som tydligt tillhör den gamla ordningen ska det ringa en klocka. Inte för att ordvalet råkar vara gammalt, utan för att dokumentet kanske inte längre stödjer slutmaskinens bedömning av överensstämmelse på ett tillräckligt sätt.

Maskinförordningen 2023/1230 kräver mer än en ny dokumentmall

Det största misstaget inför övergången är att behandla förändringen som en kosmetisk uppdatering. Att byta EG till EU är inte nog. Att lägga in nytt rättsaktsnummer är inte nog. Att fylla på några standarder i efterhand är definitivt inte nog.

En korrekt uppdatering innebär att gå igenom hela kedjan: är produkten en maskin, en relaterad produkt eller en delvis fullbordad maskin; har maskinens begränsningar definierats; har riskbedömningen uppdaterats; är tillämpliga väsentliga krav identifierade; har bilaga I del A och del B kontrollerats; är rätt modul vald; är ett anmält organ involverat där det krävs; visar den tekniska dokumentationen hur programvara, data, fjärrstyrning, sensorer och autonomi påverkar säkerheten; och stöder instruktioner och EU-försäkran om överensstämmelse faktiskt den väg som valts?

Förordningen är dessutom direkt tillämplig i medlemsstaterna. Det finns alltså inget att vänta på i form av nationell införlivning. Den praktiska frågan är inte om Sverige hunnit göra något särskilt. Den praktiska frågan är om ditt företag har uppdaterat sina arbetssätt i tid.

Det är den verkliga skiljelinjen. Företag som förstår överensstämmelse uppdaterar inte bara slutdokumentet. De uppdaterar hela processen: från klassificering av produkten, via riskbedömning och val av modul, till teknisk dokumentation, instruktioner, EU-försäkran om överensstämmelse och ansvar i leveranskedjan.

Och just där finns den viktigaste lärdomen. Fråga inte bara om maskinen har AI. Fråga vad som kan ändra maskinens beteende, vem som kan påverka det, och om den påverkan kan sätta människor i fara. Om svaret är ja hör frågan hemma i riskbedömningen. Det är där Maskinförordningen 2023/1230 faktiskt biter.

Vanliga frågor

Reglerar maskinförordningen 2023/1230 AI i maskiner?

Inte på ett generellt sätt. Förordning (EU) 2023/1230 reglerar maskinsäkerhet, även när den beror på programvara, data, styrlogik eller kommunikation.

AI har betydelse bara när den påverkar säkerhetsfunktionen eller maskinens beteende med betydelse för människors säkerhet. Enbart användningen av etiketten ”AI” innebär ännu inte att ett visst system omfattas av bedömning av överensstämmelse som en säkerhetskomponent.

När omfattas ett AI-system av en maskins bedömning av överensstämmelse?

När det är inbyggt i en maskin eller en säkerhetskomponent och dess funktion påverkar säkerhetsfunktionen. Detta gäller även lösningar som använder maskininlärning, om deras beteende kan ändra säkerhetsnivån.

Om systemet fungerar vid sidan av maskinen, t.ex. analyserar data, beräknar OEE eller förutser fel, men inte utför någon säkerhetsfunktion, blir det inte automatiskt en del av maskinens bedömning av överensstämmelse.

Är ett system för felprediktion eller OEE en säkerhetskomponent?

Inte automatiskt. Ett sådant system kan endast vara ett analytiskt verktyg som inte påverkar stopp, spärrning av åtkomst, hastighetsbegränsning eller andra säkerhetsfunktioner.

Bedömningen ändras när systemets resultat påverkar maskinens beteende på ett sätt som kan skapa en farlig situation. I praktiken är det inte teknikens namn som avgör, utan dess påverkan på säkerheten.

Varför är ISO 12100 ännu viktigare idag?

Det ger en logisk struktur för riskbedömningen: fastställande av maskinens begränsningar, avsedd användning, rimligen förutsebar felanvändning, livscykelfaser, faror, farliga situationer, farliga händelser samt restrisk.

För programvaruberoende maskiner är det i praktiken just ISO 12100 som gör det möjligt att strukturera bedömningen av hur data, uppdateringar, konfiguration, nätverkskommunikation och fjärråtkomst påverkar säkerheten.

Räcker CE-märkning på komponenterna för att hela maskinen ska anses uppfylla kraven?

Nej. Komponenternas överensstämmelse avgör inte överensstämmelsen hos hela maskinen eller de sammanbyggda maskinerna efter integrering. När komponenter kopplas samman kan nya riskkällor och nya farliga situationer uppstå.

Man måste bland annat bedöma gränssnitten mellan utrustningarna, styrlogiken, rörelsesekvensen, villkoren för omstart, reaktionen på fel och hur programvaruändringar påverkar säkerheten.

Relaterade artiklar

Riskbedömning av maskiner: så tillämpar du HRN‑metoden på ett strukturerat sätt i enlighet med SS‑ISO 12100 2026-01-27 Maskinens begränsningar kan fälla en bra riskbedömning 2026-04-04 Revidering av ISO 12100 – vad förändras 2026 för maskinsäkerhet? 2026-03-08 Väsentlig ändring – när uppstår den egentligen? 2026-03-24 Riskbedömning av maskiner: Risk som relationen människa–maskin 2025-12-16 ISO 12100: när skyddsåtgärder skapar nya risker 2026-02-21 Exempel på riskbedömning enligt ISO 12100 – i praktiken 2026-04-15

Redo för förändring?

Skapa ett konto och generera compliant dokumentation på 15 minuter.

Starta gratis provperiod Inget kreditkort krävs • 14 dagar gratis