Technische Regel Betriebssicherheit (TRBS) 1115-1 Cybersicherheit (BetrSichV)

Technische Regel Betriebssicherheit (TRBS) 1115-1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regelungseinrichtungen veröffentlicht

27.04.2023

 

Im März 2023 wurde die Technische Regel Betriebssicherheit (TRBS) 1115 Teil 1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regelungseinrichtungen" veröffentlicht (BAuA TRBS 1115-1). Diese Regelung konkretisiert die Anforderungen der Betriebssicherheitsverordnung (BetrSichV) im Hinblick auf die Identifizierung und Festlegung von notwendigen IT-Sicherheitsmaßnahmen im Rahmen einer Gefährdungsbeurteilung, um die dauerhafte Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regelungseinrichtungen (S-MSR-Einrichtungen) von Arbeitsmitteln auf überwachungsbedürftigen Anlagen zu gewährleisten. Da alle Biogasanlagen überwachungsbedürftige Anlagen gemäß der BetrSichV sind, müssen Betreiber von Biogasanlagen die TRBS 1115-1 als technischen Stand berücksichtigen. Wenn diese Regelung eingehalten wird, kann der Arbeitgeber davon ausgehen, dass die Anforderungen der BetrSichV erfüllt sind. Es sind jedoch auch andere Lösungen zulässig, die mindestens die gleiche Sicherheit bieten.

 

Gemäß der TRBS 1115-1 müssen S-MSR-Einrichtungen für den vorgesehenen Einsatzzweck und die vorgesehenen Einsatzbedingungen in Bezug auf IT-Sicherheit geeignet und sicher sein. Insbesondere müssen potenzielle Bedrohungen berücksichtigt werden, wie z.B. Beeinträchtigungen der Verfügbarkeit (z.B. Deaktivierung oder Blockierung von Funktionen), Verletzungen der Integrität (z.B. unautorisierte Änderung von Daten) und Verletzungen der Vertraulichkeit (z.B. unerlaubter Datenzugriff).

Handlungsempfehlung TRBS 1115-1

  • Durchführen einer Gefährdungsbeurteilung mit Hilfe von Fachkundigen
  • Sicherheitsrelevante MSR-Einrichtungen müssen nach dem Stand der Technik vor Cyberbedrohungen geschützt sein
  • Einschätzen von Cyberbedrohungen und notwendige Maßnahmen einleiten
  • organisatorische Maßnahmen treffen (Verantwortlichkeiten, Festlegung von Zugriffsrechten erforderliche Qualifikation der relevanten Mitarbeiter)
  • Cybersicherheitsmaßnahmen festlegen wie z.B. Regelungen zu Zugang und Zugriff, Segmentierung, Härtung von Komponenten, Unabhängigkeit von sicherheitsrelevanten MSR-Einrichtungen, Überwachung und Notfallmanagement
  • Die Wirksamkeit der Cybersicherheitsmaßnahmen ist vor der erstmaligen Verwendung eines Arbeitsmittels zu überprüfen
  • wiederkehrende Prüfung der sicherheitsrelevanten MSR-Einrichtungen, und regelmäßige Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen und Beachtung neuer Erkenntnisse von Cyberbedrohungen
  • Durchführung regelmäßiger Unterweisungen der Beschäftigten über organisatorische Cybersicherheitsmaßnahmen und korrekte Reaktion auf Cyberbedrohungen
  • Erstellen eines Plans der Notfallmanagement im Fall der Kompromittierung von sicherheitsrelevanten MSR-Einrichtungen