(1) Durch den steigenden Vernetzungsgrad können sicherheitsrelevante MSR-Einrichtungen zunehmend zum Ziel von Cyberbedrohungen werden. Dies hat der Arbeitgeber bei seiner Gefährdungsbeurteilung zu berücksichtigen.
(2) Der Arbeitgeber hat nach § 3 BetrSichV die auftretenden Gefährdungen zu beurteilen und daraus notwendige Maßnahmen für das sichere Verwenden von Arbeitsmitteln abzuleiten. Nach § 5 Absatz 1 BetrSichV dürfen nur Arbeitsmittel zur Verfügung gestellt werden, also auch zugehörige sicherheitsrelevante MSR-Einrichtungen, die für den Einsatzzweck geeignet und unter den vorgesehenen Einsatzbedingungen sicher sind. Im Rahmen der Gefährdungsbeurteilung und bei der Auswahl und Implementierung der sicherheitsrelevanten MSR-Einrichtungen sind auch Cyberbedrohungen zu berücksichtigen.
(3) Mögliche Auswirkungen von Cyberbedrohungen können sein:
(4) Sicherheitsrelevante MSR-Einrichtungen, ihre Integration in das Arbeitsmittel und ihre Anwendung müssen nach dem Stand der Technik vor Cyberbedrohungen derart geschützt sein, dass Gefährdungen für Beschäftigte und bei überwachungsbedürftigen Anlagen auch andere Personen in deren Gefahrenbereich vermieden werden. Cybersicherheitsmaßnahmen dienen dazu, die Funktionsfähigkeit von sicherheitsrelevanten MSR-Einrichtungen während der gesamten Verwendungsdauer des Arbeitsmittels auch bei Cyberbedrohungen aufrechtzuerhalten.
(5) Zur Erfüllung der Vorgaben des § 3 Absatz 7 BetrSichV in Verbindung mit § 4 Absatz 6 BetrSichV sind Verfahren zu etablieren, um die Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen
zu überprüfen.
Cybersicherheit muss während des gesamten Sicherheitslebenszyklus der sicherheitsrelevanten MSR-Einrichtung gewährleistet sein (siehe auch Abbildung 1). Betroffen sind folgende Elemente:
sowie die mit ihrer Verwendung verbundenen
Abb. 1 Berücksichtigung der Cybersicherheitsmaßnahmen in den Abläufen bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung
(1) Die Wirksamkeit der Cybersicherheitsmaßnahmen muss dauerhaft sichergestellt werden. Dafür ist es erforderlich, Zugriffsrechte, Fachkunde (Qualifikation), Tätigkeiten, Verantwortlichkeiten, Zuständigkeiten und Aufgaben derjenigen Personen eindeutig festzulegen, die
Die unter Nummer 1. aufgeführten Personen müssen über eine der Aufgabe entsprechende Fachkunde verfügen. Die unter Nummer 2. aufgeführten Personen müssen mindestens über die erforderlichen Kenntnisse zu den in ihrem Zuständigkeitsbereich festgelegten Cybersicherheitsmaßnahmen verfügen.
(2) Für die Art und den Umfang der erforderlichen Festlegung von Cybersicherheitsmaßnahmen sind zwei Fälle zu unterscheiden:
a) | verwendungsfertig als Teil des Arbeitsmittels durch den Hersteller auf dem Markt ohne ausreichende Cybersicherheitsmaßnahmen bereitgestellt, |
b) | nicht entsprechend den Herstellervorgaben hinsichtlich der vorgesehenen Umgebungsrandbedingungen oder Cybersicherheitsmaßnahmen betrieben oder |
c) | durch den Arbeitgeber in eigener Verantwortung zur Verfügung gestellt (siehe auch TRBS 1115). |
(3) Wenn der Arbeitgeber zur Aufrechterhaltung von Eignung und Anwendung von Cybersicherheitsmaßnahmen sicherheitsrelevanter MSR-Einrichtungen ein Management der Cybersicherheit im Betrieb einführt, sind die in Anhang 1 beschriebenen Maßnahmen zu berücksichtigen.
(1) Nach § 3 Absatz 3 BetrSichV darf eine Gefährdungsbeurteilung nur von fachkundigen Personen durchgeführt werden. Diese müssen in der Lage sein, Gefährdungen der Beschäftigten bei der Verwendung von sicherheitsrelevanten MSR-Einrichtungen bzw. Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen systematisch zu ermitteln und zu bewerten sowie aus dem Ergebnis Schutzmaßnahmen abzuleiten. Die notwendige Qualifikation muss der Arbeitgeber unter Berücksichtigung der vorliegenden technischen Systeme festlegen und dokumentieren.
(2) Die erforderliche Fachkunde für eine Beurteilung der Cybersicherheit umfasst technische Kenntnisse, Ausbildung und Erfahrung auf mehreren Gebieten. Der Umfang hängt von den Schnittstellen und den vom Hersteller bereitgestellten Informationen über das Arbeitsmittel ab. Die nachstehend genannten Aspekte hat der Arbeitgeber bei der Festlegung von Art und Umfang der erforderlichen Fachkunde zu berücksichtigen:
a) | Arbeitsprozesse zur Bewertung und Aufrechterhaltung der Cybersicherheit (z. B. Erfahrung mit einem Informationssicherheitsmanagement oder eine IT-Risikobeurteilung), |
b) | Typische Schwachstellen und Cyberbedrohungen für das Arbeitsmittel und daraus resultierende Folgen. |
a) | grundsätzlichen Funktionen der geeigneten Cybersicherheitsmaßnahmen, |
b) | möglichen Nachteilen und Auswirkungen der jeweiligen Cybersicherheitsmaßnahmen, |
c) | Beurteilung der Eignung der Cybersicherheitsmaßnahmen, |
d) | Methoden zur wirkungsvollen Überwachung der Maßnahmen, |
e) | Prinzip der minimalen Rechte. |
(3) Falls der Arbeitgeber für eine sicherheitsrelevante MSR-Einrichtung eigenständig Cybersicherheitsmaßnahmen ermittelt und umsetzt, sind gegenüber den Anforderungen des Absatzes 2 tiefergehende Fachkunde und Qualifikationen erforderlich. Zusätzlich sind ausreichende Kenntnisse zu den folgenden Bereichen erforderlich:
a) | Hardwarearchitektur und Segmentierung (siehe hierzu Abschnitt 4.5.2 Absatz 2 Nummer 1), |
b) | Zugangs- und Zugriffskontrolle, |
c) | sichere Installation und Änderung von Cybersicherheitsmaßnahmen, |
d) | Funktionsreduktion und Härtung, |
e) | Überwachung von Hardware, Software und ihrer Kommunikation, |
f) | Notfallmanagement (z. B. response and recover, Disaster Recovery). |
Entsprechend den Anforderungen des § 3 Absatz 8 BetrSichV sind auch die Cybersicherheitsmaßnahmen für sicherheitsrelevante MSR-Einrichtungen zu dokumentieren. Dazu gehören auch Art und Umfang der diesbezüglichen Festlegungen zu Prüfungen sowie deren Fristen. Eine elektronische Form der Dokumentation ist zulässig.