(1) Es ist zu prüfen, ob die vorgesehenen Cybersicherheitsmaßnahmen geeignet und funktionsfähig sind. Dabei sind die zugehörige Dokumentation des Herstellers bezüglich der Cybersicherheitsmaßnahmen (siehe Abschnitt 4.4.2) und die Spezifikation der Cybersicherheitsmaßnahmen (siehe Abschnitt 4.4.3) auf Plausibilität zu prüfen. Prüfinhalte, die im Rahmen eines Konformitätsbewertungsverfahrens geprüft und dokumentiert wurden, müssen nicht erneut geprüft werden (§ 14 Absatz 1 Satz 3 BetrSichV, § 15 Absatz 1 Satz 4 BetrSichV).
(2) Die Gefährdungsbeurteilung kann zu dem Ergebnis kommen, dass Cyberbedrohungen die Sicherheit des Arbeitsmittels gefährden können. In dem Fall müssen die Cybersicherheitsmaßnahmen vor Inbetriebnahme geprüft werden.
(3) Bestandteil der Prüfung ist auch die Feststellung, ob ein Verfahren vorhanden ist, das bei der Festlegung der Cybersicherheitsmaßnahmen anlassbezogen neue Erkenntnisse berücksichtigt, die z. B. aus Cybersicherheitsvorfällen oder dem fortschreitenden Stand der Cybersicherheitstechnik hervorgehen (siehe hierzu auch Abschnitt 8.1).
(4) Die zur Prüfung befähigte Person oder die zugelassene Überwachungsstelle kann sich die durch die Anwendung eines Managements der Cybersicherheit nach Anhang 1 erzeugten Ergebnisse zu eigen machen.
Eine im Rahmen eines Managements der Cybersicherheit nach Anhang 1 vorhandene Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Dokumentationspflichten nach § 3 Absatz 8 BetrSichV.
(5) Wird abweichend von Absatz 3 kein Management der Cybersicherheit nach Anhang 1 angewendet, kann sich die zur Prüfung befähigte Person oder zugelassene Überwachungsstelle die Ergebnisse der Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen zu eigen machen, wenn Durchführung und Ergebnis der Überprüfung für sie nachvollziehbar sind.