(1) Diese Technische Regel konkretisiert die Betriebssicherheitsverordnung (BetrSichV) im Hinblick auf die Ermittlung und Festlegung erforderlicher Cybersicherheitsmaßnahmen für die dauerhafte Sicherstellung der Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen), die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden.
Cyberbedrohungen können dazu führen, dass eine sicherheitsrelevante MSR-Einrichtung ihre Sicherheitsfunktion nicht mehr ausüben kann oder sogar zusätzliche Gefährdungen herbeigeführt werden.
Die in dieser TRBS dargestellte Vorgehensweise zur Festlegung, Umsetzung und Prüfung von Cybersicherheitsmaßnahmen ist auch geeignet, um über sicherheitsrelevante MSR-Einrichtungen hinausgehende Teile des Arbeitsmittels (z. B. notwendige Kommunikationsmittel) oder andere technische Infrastrukturen gegen Cyberbedrohungen zu schützen, wenn dieses als Ergebnis der Gefährdungsbeurteilung als erforderlich angesehen wird.
Für nicht verwendungsfertig beschaffte Arbeitsmittel oder solche verwendungsfertig beschaffte Arbeitsmittel, bei denen die ausreichende Cybersicherheit nicht bereits Bestandteil des Inverkehrbringens war, bietet diese Technische Regel auch Hilfestellung für die Spezifikation, Planung und Realisierung von Cybersicherheitsmaßnahmen.
(2) Diese TRBS beschreibt ergänzend zur TRBS 1201 auch die Durchführung von Prüfungen zur Cybersicherheit sowie das Vorgehen bei Änderungen von Arbeitsmitteln im Zusammenhang mit der Cybersicherheit von sicherheitsrelevanten MSR-Einrichtungen.
(3) Anhang 1 enthält Anforderungen, die der Arbeitgeber berücksichtigen muss, wenn er ein Management der Cybersicherheit (zum Begriff siehe Abschnitt 2.5) im Betrieb einführt oder die relevanten Inhalte z. B. in sein Management der funktionalen Sicherheit oder in sein allgemeines Informationssicherheitsmanagement integriert.
(4) Diese TRBS behandelt keine Arbeitsmittel oder sicherheitsrelevanten MSR-Einrichtungen, die aufgrund nicht vorhandener Schnittstellen (sowohl kabelgebunden als auch kabellos) nicht kompromittiert werden können.
(5) Diese TBRS betrachtet nicht die Abwehr von wirtschaftlichen Schäden oder von Angriffen auf den Datenschutz (z. B. von personenbezogenen Daten). Sie kann dafür gleichwohl als Erkenntnisquelle herangezogen werden.