Dekra: Cyber-Sicherheit ist für Anlagen jetzt Pflicht
Betreiber von überwachungsbedürftigen Anlagen wie Aufzüge, Druck- oder Ex-Anlagen müssen künftig Cyber-Attacken an ihren Anlagen aktiv vorbeugen. Daran erinnern die Experten der Zugelassenen Überwachungsstellen (ZÜS) bei DEKRA. Gefährdungen durch Sicherheitslücken bei der Software sowie Mess-, Steuer- und Regeltechnik (MSR) gehören gemäß den aktualisierten Vorschriften der Betriebssicherheitsverordnung (BetrSichV) zum Prüfumfang der ZÜS.
Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen und damit anfällig für Angriffe auf die Cyber Security werden. Durch Softwaremanipulation könnte beispielsweise ein Aufzug gestoppt oder Geschwindigkeit und Fahrtrichtung verändert werden. Jeder Betreiber wird folglich durch die aktuelle Betriebssicherheitsverordnung verpflichtet, im Zuge einer Gefährdungsbeurteilung potenzielle Cyber-Bedrohungen zu identifizieren.
Wenn potenzielle Cyber-Attacken oder Software-Defizite an Anlagen Personen gefährden, muss der Betreiber basierend auf seiner Gefährdungsbeurteilung Maßnahmen ergreifen. Im Rahmen der Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen. Dies gilt bei allen Arten von Prüfungen bei allen überwachungsbedürftigen Anlagen: vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung.
Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung also konkret feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyber-Bedrohungen ermittelt und bewertet hat. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor.
Bei Aufzügen, Druck- und Ex-Anlagen ist mittlerweile auch zu prüfen, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt, erläutern die DEKRA Experten. Der Prüfsachverständige hält nun bei jeder Prüfung die aktuellen Softwarestände fest. Der Betreiber ist dafür verantwortlich, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden. Quelle: Pressemitteilung DEKRA 13.3.2023
Auf der Seite des TÜV können Sie sich den Beschluss des EK ZÜS vom 16.11.2022 herunterladen. In dem Dokument werden u.a. rechtliche Rahmenbedingungen, Grundsätze der Prüfung, Grundanforderungen, Prüfung der Cyber-Sicherheit-Maßnahmen sowie Prüfaussagen und Mängeldefinitionen beleuchtet. Schauen Sie also mal rein, und prüfen Sie vor der nächsten ZÜS-Prüfung erst einmal intern, wie Sie hier aufgestellt sind.
Hinweis Risolva:
In diesem Zusammenhang wird immer noch von der EmpfBS 1115 gesprochen, die zum Zeitpunkt der Veröffentlichungen noch relevant war. Wie wir im Risolva Infobrief März 2023 berichtet haben, ist diese nun aufgehoben und durch die TRBS 1115 - Teil 1 ersetzt worden.