5 Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen

(1) Der Arbeitgeber hat die Wirksamkeit von Schutzmaßnahmen vor der erstmaligen Verwendung eines Arbeitsmittels zu überprüfen (siehe § 4 Absatz 5 BetrSichV und TRBS 1111 Abschnitt 5.7). Ziel der Überprüfung ist die Bestätigung, dass die erforderliche Cybersicherheit der sicherheitsrelevanten MSR-Einrichtung gegeben ist. Die Wirksamkeit von Cybersicherheitsmaßnahmen kann in Anlehnung an TRBS 1111 Abschnitt 4.2 Absatz 7 angenommen werden, wenn

  1. Cybersicherheitsmaßnahmen nach der erstellten Spezifikation (vgl. Abschnitt 4.4.4 Absatz 1) geeignet sind, ggf. den Angaben in der Betriebsanleitung entsprechen und funktionsfähig sind und
  2. die Beschäftigten über die in diesem Zusammenhang für sie geltenden organisatorischen Cybersicherheitsmaßnahmen (siehe hierzu Abschnitt 8.1) unterwiesen und erforderlichenfalls nach den Angaben in der Betriebsanleitung bzw. der Spezifikation eingearbeitet sind.

Eine Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen vor erstmaliger Verwendung gemäß § 4 Absatz 5 BetrSichV ist nicht erforderlich, wenn diese im Rahmen von §§ 14 oder 15 BetrSichV geprüft werden.

(2) In Abhängigkeit der Komplexität des Arbeitsmittels sind bei der Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen insbesondere folgende Punkte relevant:

  1. Es muss sichergestellt sein, dass die Spezifikationen der Cybersicherheitsmaßnahmen den Anforderungen der Gefährdungsbeurteilung entsprechen.
  2. Alle Cybersicherheitskomponenten müssen funktionsfähig sein. Dies schließt die jeweiligen Anwendungsprogramme und Ausrüstungen mit ein, die für eine Überprüfung gebraucht werden.
  3. Die Beurteilungskriterien zur Bewertung der Cybersicherheitsmaßnahmen müssen eindeutig festgelegt sein.
  4. Für die Überprüfung sind mindestens festzulegen:
    a) die zu den Sicherheitsfunktionen gehörenden Cybersicherheitsmaßnahmen sowie die Fristen ihrer Kontrollen,
    b) Art und Umfang der Überprüfung.

(3) Durch die Überprüfung der Cybersicherheitsmaßnahmen dürfen sich keine Gefährdungen durch unzulässige Rückwirkungen auf die sicherheitsrelevanten MSR-Einrichtungen ergeben. Nach der Überprüfung der Cybersicherheitsmaßnahmen sind die sicherheitsrelevanten MSR-Einrichtungen, ggf. vorhandene zusätzliche Cybersicherheitskomponenten und alle an der Überprüfung beteiligten Arbeitsmittel wieder in den normalen Betriebszustand zurückzuversetzen, sofern temporäre Veränderungen vorgenommen wurden, um die Überprüfung durchführen zu können.