Durch die zunehmende Digitalisierung und Vernetzung nimmt bei überwachungsbedürftigen Anlagen die Gefahr von Cyberbedrohungen zu. Mit der Veröffentlichung der TRBS 1115-1 am 22.03.2023 wurden die Anforderungen an die Cyber Security für diese Anlagen nun deutlich konkretisiert.
Dies bedeutet, dass ab sofort jeder Betreiber einer überwachungsbedürftigen Anlage verpflichtet ist, im Rahmen der Gefährdungsbeurteilung (GBU) auch Gefährdungen, die durch potenzielle Cyberbedrohungen entstehen können, zu identifizieren und ggf. Gegenmaßnahmen festlegen muss, wenn Arbeitnehmer oder Personen im Gefahrenbereich (Dritte) durch einen Cyberangriff auf die Anlage gefährdet werden könnten. Eine entsprechende Vorgehensweise hierfür wird in der TRBS 1115-1 beschrieben.
Zugelassenen Überwachungsstellen (ZÜS) wie TÜV SÜD haben die Pflicht im Rahmen ihrer Prüfungen darauf zu achten, dass Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen bzw. die Anforderungen der TRBS 1115-1 ausreichend behandelt wurden und dies durch eine entsprechende Dokumentation vor Ort nachgewiesen wurde. Sollte das nicht der Fall sein, wird dies in der Prüfbescheinigung dokumentiert.
Wir empfehlen daher allen Betreibern von überwachungsbedürftigen Anlagen, sich möglichst schnell mit den neuen Regelungen vertraut zu machen, die Gefährdungsbeurteilungen entsprechend zu aktualisieren und falls erforderlich, Maßnahmen zur Cybersicherheit umzusetzen. Die TRBS 1115-1 ist kostenfrei im Internet verfügbar.
Anlagen werden immer digitaler und vernetzter. Auch im Bereich der sicherheitsgerichteten Mess-, Steuer- und Regeleinrichtungen (MSR) nimmt der Grad an Digitalisierung zu und damit auch die Gefährdung durch Cyberangriffe.
Die Betriebssicherheitsverordnung (BetrSichV) regelt die Anforderungen an die Sicherheit und den Gesundheitsschutz von Beschäftigten bei der Verwendung von Arbeitsmitteln, wozu auch überwachungsbedürftigen Anlagen gehören. Hierbei muss auch berücksichtigt werden, dass Gefährdungen durch Cyberbedrohungen entstehen können.
Die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin hat schon 2019 eine Empfehlung für die Betriebssicherheit (EmpfBS 1115, "Umgang mit Risiken durch Angriffe auf die Cyber Security von sicherheitsrelevanten MSR -Einrichtungen") für Arbeitgeber und Anlagenbetreiber veröffentlicht. Sie beschreibt Wege zur Ermittlung und Reduzierung von Gefährdungen durch Cyberangriffe im Rahmen der Erstellung einer Gefährdungsbeurteilung nach BetrSichV.
Jeder Betreiber steht somit in der Verantwortung mögliche Cyberbedrohungen innerhalb seiner Gefährdungsbeurteilung zu betrachten.
Jeder Betreiber/ Arbeitgeber ist verpflichtet, im Rahmen der Gefährdungsbeurteilung potenzielle Cyberbedrohungen zu identifizieren und Maßnahmen zu ergreifen und umzusetzen, wenn die Cyberbedrohungen zu Gefährdungen für Arbeitnehmer oder Personen führen können. Im Rahmen der Prüfungen nach BetrSichV (vor Inbetriebnahme, nach prüfpflichtiger Änderung und wiederkehrend) muss die ZÜS dies bei überwachungsbedürftigen Anlagen (Aufzugsanlagen, Anlagen in explosionsgefährdeten Bereichen, Druckanlagen) berücksichtigen.
Nicht betroffen vom Thema Cyber Security im Sinne der BetrSichV sind Betreiber mit Anlagen, bei denen die Sicherheitsfunktionen nur mechanisch oder analog aufgebaut sind und bei denen auch betriebliche Einrichtungen in Folge von Cyberbedrohungen nicht zu Gefährdungen führen können. Analog bedeutet in diesem Zusammenhang, dass es keine Bauteile gibt, die digital Daten verarbeiten und die umprogrammiert werden können. Ist dies der Fall, kann der sichere Betrieb der überwachungsbedürftigen Anlage nicht durch einen Cyberangriff in Frage gestellt werden.
Betreiber müssen prüfen, ob durch Cyberbedrohungen Gefährdungen für die Verwender/ Nutzer entstehen können. Ist das der Fall, müssen sie wirksame Maßnahmen identifizieren und umsetzen. Eine strukturierte Vorgehensweise wird in der TRBS 1115-1 beschrieben.
Erfahren Sie im Video wie Sie am besten vorgehen. Doch keine Sorge, entsprechende Cyber Security Dienstleister können Sie bei der Umsetzung und Ausarbeitung von Lösungen unterstützen.
Die Prüfung, ob das Thema Cyber Security bei der Gefährdungsbeurteilung berücksichtigt wurde, erfolgt unverzüglich.
Der ZÜS-Sachverständige wird fragen, ob das Thema Cyberbedrohungen hinsichtlich möglicher personengefährdender Auswirkungen im Rahmen der Gefährdungsbeurteilung behandelt wurde und wird prüfen, ob hierzu eine Dokumentation vorliegt. Bitte halten Sie daher die entsprechende Dokumentation zum Prüftermin am Prüfungsort bereit.
Eine Inhaltliche Prüfung, z. B. der Vollständigkeit der Dokumentation oder der Funktionsfähigkeit der Maßnahmen, ist derzeit im Mindestumfang der Prüfung nicht vorgeschrieben.
Das Nicht-Vorhandensein einer Dokumentation zur Behandlung von Cyberbedrohungen im Rahmen der Gefährdungsbeurteilung bedeutet nicht automatisch, dass eine Gefährdung von Personen als Folge eines Cyberangriffs besteht. Ob Cyberbedrohungen für die individuelle Anlage relevant sind und somit Nachholbedarf besteht, wird im Rahmen der Prüfung durch den ZÜS-Prüfer festgestellt.
Verantwortlich für den sicheren Betrieb ist der Arbeitgeber oder Betreiber der Anlage. Im Rahmen der europäischen Richtlinien und des nationalen Produktsicherheitsrechts, das von Herstellern zu beachten ist, sind aktuell noch keine Belange hinsichtlich Cybergefährdungen geregelt. Jedoch ist es eine Grundpflicht, des Herstellers/ Montagebetriebs alle Vorkehrungen zu treffen, damit ein sicherer Betrieb (Beschaffenheitsanforderungen) unter Einhaltung der "bestimmungsgemäßen Verwendung" möglich ist.
Ja. Die Tatsache, dass gesetzliche Anforderungen an die Cyber Security für Hersteller noch nicht im Detail geregelt sind, Betreiber aber die Verantwortung bereits übernehmen müssen, kann dazu führen, dass entsprechende Hinweise erfolgen.
Bei überwachungsbedürftigen Anlagen handelt es sich um Arbeitsmittel, von denen besondere Gefährdungen ausgehen. Dazu zählen Aufzugsanlagen, Anlagen in explosionsgefährdeten Bereichen und Druckanlagen.
Die Anforderungen an überwachungsbedürftige Anlagen sind im Gesetz über überwachungsbedürftige Anlagen (ÜAnlG) und in der Betriebssicherheitsverordnung (BetrSichV) geregelt. Dazu gehört unter anderem, dass Arbeitgeber/Betreiber vor der ersten Inbetriebnahme einer Anlage eine Gefährdungsbeurteilung erstellen, notwendige Maßnahmen umsetzen und dokumentieren müssen.
Um die Anforderungen der BetrSichV – die sichere Verwendung der Anlagen – zu erfüllen, ist die Gefährdungsbeurteilung während des gesamten Lebenszyklus aktuell zu halten.
Termine von April - Dezember 2023 Was Betreiber über die neuen Anforderungen wissen müssen.
Jetzt anmelden!
