(1) Die Beschäftigten müssen über die für sie geltenden organisatorischen Cybersicherheitsmaßnahmen für sicherheitsrelevante MSR-Einrichtungen und deren Umsetzung unterwiesen werden. Abhängig vom Zuständigkeitsbereich muss dabei Folgendes vermittelt werden:
(2) Beschäftigten, die gemäß § 10 Absatz 2 Satz 2 BetrSichV für Instandhaltungsmaßnahmen unterwiesen werden, muss der richtige Umgang mit und unter welchen Umständen welche Instandhaltungsmaßnahmen durchzuführen sind, z. B. manuelles Herstellen oder Trennen von Verbindungen, Freigeben von Ports, Scans, Updates, vermittelt werden.
(1) Die vorgesehenen Cybersicherheitsmaßnahmen müssen während der gesamten Verwendung des Arbeitsmittels gewährleistet sein. Dazu gehören auch Maßnahmen der Instandhaltung nach § 10 BetrSichV, z. B. regelmäßiger Wechsel von Passwörtern. Für die Zeitdauer ausgeschalteter oder eingeschränkt verfügbarer Cybersicherheitsmaßnahmen, z. B. für den Fall von Fernwartung, sind Ersatzmaßnahmen anzuwenden.
(2) Die Anlässe regelmäßiger Kontrollen der Funktionsfähigkeit der Maßnahmen zur Cybersicherheit sowie deren Art und Umfang werden in der Gefährdungsbeurteilung ermittelt. Bei der Ermittlung ist zu berücksichtigen, dass ggf. automatisierte Kontroll- oder Diagnoseeinrichtungen hierzu genutzt werden können.
(3) Tätigkeiten zur Aufrechterhaltung der Cybersicherheit dürfen nur von fachkundigen, beauftragten und unterwiesenen Beschäftigten oder von vergleichbar qualifizierten Auftragnehmern durchgeführt werden.
(4) Personen, die für Betrieb und Instandhaltung der Cybersicherheitsmaßnahmen verantwortlich sind, müssen insoweit Zugang zu den Spezifikationen der Cybersicherheitsmaßnahmen (z. B. IT-Sicherheitshandbuch) erhalten, wie es für die Aufrechterhaltung der Funktionsfähigkeit der Maßnahmen erforderlich ist.
(1) Der Arbeitgeber hat zu beurteilen, ob es sich bei einer Änderung um eine prüfpflichtige Änderung im Sinne der BetrSichV handelt (§ 10 Absatz 5 Satz 3 BetrSichV). Bei der Beurteilung einer Änderung sind auch die Aspekte der Cybersicherheit mit zu berücksichtigen. Bei einer prüfpflichtigen Änderung sind die geänderten Teile nach Abschnitt 6 zu prüfen.
(2) Die folgenden Änderungen an Cybersicherheitsmaßnahmen sind keine prüfpflichtige Änderung im Sinne der BetrSichV:
wenn der Arbeitgeber die ordnungsgemäße Montage der Hardware sowie die korrekte Installation oder Modifikation der Software durch fachkundige Personen und geeignete organisatorische Abläufe sicherstellt.
(3) Im Falle einer prüfpflichtigen Änderung an sicherheitsrelevanten MSR-Einrichtungen muss der Arbeitgeber ermitteln, ob die Cybersicherheitsmaßnahmen nach Abschnitt 4 neu festzulegen sind.
(4) Eine prüfpflichtige Änderung an Cybersicherheitsmaßnahmen erfordert eine Bewertung nach Abschnitt 4 hinsichtlich ihrer Auswirkungen auf den Schutz der sicherheitsrelevanten MSR-Einrichtungen vor Cyberbedrohungen sowie auf die Rückwirkungsfreiheit (z. B. Beeinflussung der Datenübertragung der sicherheitsrelevanten MSR-Einrichtungen).
(5) Änderungen an Cybersicherheitsmaßnahmen sind zu dokumentieren. Dabei ist eine Kontrolle der Funktionsfähigkeit (§ 4 Absatz 5 BetrSichV) durchzuführen.
(1) Werden Cybersicherheitsmaßnahmen dauerhaft außer Betrieb genommen (z. B. bei Wegfall der Gefährdung), ist sicherzustellen, dass die Außerbetriebnahme rückwirkungsfrei auf die verbleibenden Cybersicherheitsmaßnahmen erfolgt.
(2) Ausgesonderte sicherheitsrelevante MSR-Einrichtungen oder ihre IT-Umgebung sind so zu entsorgen, dass ein Verlust der Vertraulichkeit von Informationen, z. B. gespeicherte Passwörter auf einem Speicherchip im Elektroschrott, keine Auswirkungen auf die Cybersicherheit für die Verwendung vorhandener sicherheitsrelevanter MSR-Einrichtungen haben kann.
(3) Die Außerbetriebnahme ist zu dokumentieren.
(4) Die Beschäftigten sind über die geänderte Situation zu unterweisen.