Die Technische Regel für Betriebssicherheit (TRBS) 1115-1 verpflichtet BetreiberEin Betreiber ist eine natürliche oder juristische Personen... More überwachungsbedürftiger Anlagen Cybersicherheitsmaßnahmen zu ergreifen, um die sichere Funktion der Anlagen zu gewährleisten. Nach der TRBS 1115-1 geht es um folgende Pflichten.
Gefährdungsbeurteilung
BetreiberEin Betreiber ist eine natürliche oder juristische Personen... More müssen im Rahmen einer Gefährdungsbeurteilung auch Cyberbedrohungen berücksichtigen, die die Sicherheit von Beschäftigten oder Dritten gefährden könnten. Diese Beurteilung muss regelmäßig aktualisiert werden.
Nur geeignete sicherheitsrelevante sMSR-Einrichtungen
Technische Regeln für Betriebssicherheit konkretisieren die Betriebssicherheitsverordnung (BetrSichV). Das heißt, sie geben Empfehlungen wie bestimmte Anforderungen der BetrSichV umzusetzen sind.
Die TRBS 1115-1 macht dies für eine technische Schutzmaßnahme, nämlich für sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen). Diese sollen die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage garantieren.
Entsprechend dürfen nur sMSR eingesetzt werden, die für den jeweiligen Einsatzzweck geeignet und unter den vorgesehenen Einsatzbedingungen sicher sind (Ziffer 3 Anforderungen der Cybersicherheit an sicherheitsrelevante MSR-Einrichtungen, 3.1 Allgemeines, Abs. 2 TRBS 1115-1).
Wer sich daran hält, erfüllt die Vorgabe aus § 5 Absatz 1 BetrSichV. Dieser Paragraf bestimmt, dass der ArbeitgeberArbeitgeber steht für Unternehmen. Arbeitgeber sind natürl... More nur sichere Arbeitsmittel zur Verfügung stellen darf.
Schutzmaßnahmen
BetreiberEin Betreiber ist eine natürliche oder juristische Personen... More überwachungsbedürftiger Anlagen müssen geeignete technische und organisatorische Maßnahmen ermitteln und umsetzen, um die Verfügbarkeit, Integrität und Vertraulichkeit der sicherheitsrelevanten MSR-Einrichtungen zu gewährleisten.
Organisatorische Schutzmaßnahmen
Eigentlich beginnt die Entwicklung einer Cybersicherheitsstrategie mit einer Risikoanalyse und zu allererst mit einer Erfassung der für jeweiligen Anlage sicherheitsrelevanten MSR-Einrichtungen. Für den Ausschuss für Betriebssicherheit, der die TRBS 1115-1 verfasst hat, ist die Risikoanalyse durch die Gefährdungsbeurteilung schon gegeben.
So ist es möglich gleich zum nächsten Schritt überzugehen und für die Personen, die für Auswahl-, Beschaffungs- und Integrationsprozesse verantwortlich sind oder die im Betrieb Umgang mit einer sicherheitsrelevanten MSR-Einrichtung und der IT/OT-Umgebung haben können (in der Regel auch die Verwender eines Arbeitsmittels) Tätigkeiten, Verantwortlichkeiten, Zuständigkeiten und Aufgaben festzulegen und ihnen ggf. Zugriffsrechte einzuräumen. Eine Überprüfung der Fachkunde (Qualifikation) gehört ebenfalls dazu bzw. notwendige Nachschulungen (Ziffer 3.3 Organisatorische Maßnahmen, 3.3.1 Allgemeines TRBS 1115-1).
Anpassung an den Stand der Technik
Die Maßnahmen müssen dem Stand der Technik entsprechen und an die spezifischen Risiken der jeweiligen Anlage angepasst werden.
Überprüfung durch zugelassene Überwachungsstellen
Für überwachungsbedürftige Anlagen besteht eine Pflicht zur Kontrolle und Überprüfung durch externe Prüforganisationen.
Dokumentation
Die Gefährdungsbeurteilung, aber explizit auch die getroffenen Cybersicherheitsmaßnahmen müssen dokumentiert und deren Wirksamkeit regelmäßig überprüft werden (§ 3 Abs. 8 BetrSichV). Dokumentiert werden sollte auch, was zu Kontrollen, Prüfungen und Fristen festgelegt wurde (Ziffer 3.4 TRBS 1115 ) wie aber auch die Ergebnisse der Prüfungen und Kontrollen. Eine elektronische Form der Dokumentation ist zulässig.
