7 Wiederkehrende Prüfung von Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen nach §§ 14 und 16 BetrSichV

(1) Bei der wiederkehrenden Prüfung des Arbeitsmittels ist zu prüfen, ob Vorgaben zur regelmäßigen Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen sicherheitsrelevanter MSR-Einrichtungen und ihrer IT/OT-Umgebung vorliegen (siehe hierzu § 4 Absatz 5 Satz 3 BetrSichV).

(2) Bei der wiederkehrenden Prüfung des Arbeitsmittels ist zu prüfen, ob die vorgesehenen Cybersicherheitsmaßnahmen weiterhin geeignet und funktionsfähig sind. Dabei sind die zugehörige Dokumentation des Herstellers bezüglich der Cybersicherheitsmaßnahmen (siehe Abschnitt 4.4.2) und die Spezifikation der Cybersicherheitsmaßnahmen (siehe Abschnitt 4.4.3) zu berücksichtigen, soweit dies für die wiederkehrende Prüfung erforderlich ist.

(3) Die zur Prüfung befähigte Person oder die zugelassene Überwachungsstelle kann sich die durch die Anwendung eines Managements der Cybersicherheit nach Anhang 1 erzeugten Ergebnisse zu eigen machen.

(4) Wird kein Management der Cybersicherheit nach Anhang 1 angewendet, muss die zur Prüfung befähigte Person oder zugelassene Überwachungsstelle nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen weiterhin erreicht wird.

(5) Bestandteil der wiederkehrenden Prüfung sind auch die Feststellungen, ob

1. prüfpflichtige Änderungen an sicherheitsrelevanten MSR-Einrichtungen des Arbeitsmittels hinsichtlich der Auswirkungen auf die erforderlichen Cybersicherheitsmaßnahmen bewertet wurden,
2. prüfpflichtige Änderungen an den Cybersicherheitsmaßnahmen hinsichtlich möglicher Auswirkungen auf die sicherheitsrelevanten MSR-Einrichtungen bewertet wurden und
3. anlassbezogene neue Erkenntnisse zu Cyberbedrohungen, z. B. nach bekanntgewordenen Sicherheitslücken oder aus dem fortschreitenden Stand der Cybersicherheitstechnik berücksichtigt, und falls erforderlich Anpassungen an den Cybersicherheitsmaßnahmen vorgenommen wurden.