Zur Startseite wechseln
Mein Konto
Anmelden
oder registrieren
Übersicht Persönliches Profil Adressen Zahlungsarten Bestellungen
Seminare Management
Seminare Technik
Seminare Gesundheit & Pflege
Bildungsratgeber
Aktuelles & Angebote
Service
Kontakt
Karriere
Business Management
Mitarbeiterführung
Projektmanagement
Prozessmanagement
Unternehmensführung & Organisation
Qualität
Qualitätsmanagement
Qualitätssicherung
QM Automobilindustrie
Arbeits- & Gesundheitsschutz
Arbeitsschutzmanagement
Arbeitssicherheit
Gesundheitsmanagement
Hygiene
Energie & Umwelt
Energiemanagement
Umweltmanagement
Daten & Digitales
Datenschutz
Informationssicherheit
Künstliche Intelligenz
Anlagen & Gebäude
Dampf- & Drucktechnik
Instandhaltung
Energieanlagen
Funktionale Sicherheit
Gebäudetechnik & Liegenschaften
Anlagen- & Produktionstechnik
Sicherheit
Brandschutz
Arbeitssicherheit
Explosionsschutz
Elektro & Energie
Elektrotechnik
Energietechnik
Hochvolttechnik
Logistik & Verkehr
Berufskraftfahrer
Gefahrgut
Ladungssicherung
Förder- & Hebetechnik
Produkte & Verfahren
Zerstörungsfreie Prüfung
Produktsicherheit
Umwelt
Umwelttechnik
WHG Fachbetriebe
Pflege
Expertenstandards
Praxisanleiter
Zusätzliche Betreuungskräfte
Selbstpflege
Pflegefachwissen
Medizin
Medizintechnik
Medizinprodukte
Hygiene
Aufbereitung Endoskope
Hygienebeauftragte
Verwaltung & Organisation
Pflegemanagement
Pflegedokumentation
Kommunikation & Führung
Administration & Leitung
Weiterbildung nach Branchen
Abfallwirtschaft & Entsorgung
Landwirtschaft
Kfz-Werkstätten
Immobilienwirtschaft
Wissen
7 Gründe für Weiterbildung
TÜV Weiterbildungsstudie
Befähigte Person
Beauftragte Person
Energieberater
Fortbildungen
Was darf ein elektrotechnischer Laie?
Verkehrssicherungspflichten in der Immobilienwirtschaft
Hydraulik professionell einsetzen
Verfahren der Zerstörungsfreien Prüfung
Beratung
Bildungsberatung
Personalentwicklung
Wissensmanagement
Ansprechpartner
Angebote
Garantie-Termine
Veranstaltungen
Aktuelle Veranstaltungen
Sonderveranstaltungen
Neuigkeiten
Neue Themen
News-Blog
WissenPlus
Lernformate
Live-Webinare
Abschlüsse
Personenzertifikat
Teilnahmebescheinigung
Bildungspass
Weiterbildungspunkte
Seminarstandorte
Erfurt
Berlin
Kassel
Dresden
Leipzig
Alle Standorte
Downloads
Seminarkatalog
Hygienekonzept
Anmeldeformular
Whitepaper Fortbildungspflichten
Ansprechpartner
Kontaktformular
Rückruf-Wunsch
Jobs in der TÜV Akademie
Jobs für Dozenten
Jobs beim TÜV Thüringen
Kategorien
  • Seminare Management
  • Seminare Technik
  • Seminare Gesundheit & Pflege
  • Bildungsratgeber
  • Aktuelles & Angebote
  • Service
  • Kontakt
  • Karriere
16. Februar 2023

Cybersecurity bei überwachungsbedürftigen Anlagen – Was müssen Betreiber aktuell beachten?

Seit dem 01.01.2023 rückt bei der Prüfung von überwachungsbedürftigen Anlagen durch unabhängige Sachverständige neben der funktionalen Sicherheit nun auch die Cybersicherheit mit ins Blickfeld. Dies ist in erster Linie der Tatsache geschuldet, dass aufgrund von zunehmender Vernetzung und Digitalisierung technischer Systeme die Gefahr von unautorisierten Zugriffen, im schlimmsten Fall durch krimininelle Hacker, wesentlich gestiegen ist.

Wenn Angreifer in die Sicherheitsfunktionen überwachungsbedürftiger Anlagen, wie Druckanlagen, Anlagen in explosionsgefährdeten Bereichen oder Aufzuganlagen, vordringen und diese manipulieren, entstehen neben wirtschaftlichen Risiken in der Regel immer auch Gefährdungen für Leib und Leben.
Um hier gegenzusteuern und Gefahren zu minimieren, haben die für solche Prüfungen zuständigen „Zugelassenen Überwachungsstellen“ (ZÜS) in einem aktuellen Beschluss ihres ZÜS-Erfahrungsaustauschkreises (EK-ZÜS) die grundlegenden Anforderungen an 
Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen formuliert.



Beschluss „Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen“ der zugelassenen Überwachungsstellen

In diesem Beschluss sind die für die ZÜS geltenden Mindestanforderungen festgeschrieben, die die unabhängigen Sachverständigen anzuwenden haben, wenn sie die Maßnahmen von Arbeitgebern bzw. Betreibern gegen Cyberbedrohungen im Rahmen der Prüfungen nach Betriebssicherheitsverordnung (BetrSichV) für die überwachungsbedürftigen Anlagen - vor Inbetriebnahme, nach prüfpflichtiger Änderung oder wiederkehrend - beurteilen. Die BetrSichV gibt dabei den rechtlichen Rahmen vor und definiert die Sicherheits- und Gesundheitsschutzanforderungen für die Beschäftigten bei der Verwendung von Arbeitsmitteln. Auch überwachungsbedürftige Anlagen gelten in diesem Zusammenhang als Arbeitsmittel, für die durch den Arbeitgeber eine entsprechende Gefährdungsbeurteilung zu erstellen ist.

Der Fakt, dass die Anlagen immer digitaler und vernetzter arbeiten, muss sich deshalb nunmehr explizit in den Gefährdungsbeurteilungen niederschlagen und insbesondere bei sicherheitsgerichteten Mess-, Steuer- und Regeleinrichtungen (MSR) sind die Gefährdungsmöglichkeiten durch Cyberangriffe zwingend zu bewerten. Hierzu gibt bereits seit 2019 die Empfehlung für die Betriebssicherheit (
EmpfBS 1115, "Umgang mit Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR -Einrichtungen") Hinweise für Risikoermittlung und Reduzierungsmaßnahmen hinsichtlich der Gefahren durch Cyberangriffe. Diese von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlichte Empfehlung richtet sich an Arbeitgeber, die im Rahmen der Betriebssicherheitsverordnung (BetrSichV) eine Gefährdungsbeurteilung im Hinblick auf die sichere Verwendung von Arbeitsmitteln durchzuführen und daraus geeignete Schutzmaßnahmen abzuleiten haben. Der Beschluss der ZÜS leitet nun aus der Empfehlung EmpfBS 1115 die Grundanforderungen an die Cybersicherheit in überwachungsbedürftigen Anlagen ab.

Was kommt auf den Betreiber/Arbeitgeber zu?

Die ZÜS-Prüfer werden bei den Prüfungen nunmehr unter anderem darauf achten, dass der Betreiber im Rahmen der Gefährdungsbeurteilung ermittelt hat, ob sicherheitsrelevante MSR-Einrichtungen oder autarke Sicherheitseinrichtungen durch Kompromittierung aufgrund eines Cyberangriffes derart verändert werden können, dass sie ihre Funktion nicht mehr hinreichend zuverlässig erfüllen. Im gleichen Zusammenhang wird der Frage nachgegangen, ob in diesem Fall Maßnahmen definiert worden sind, die die Cyberbedrohungen nach dem Stand der Technik und den Maßgaben der technischen Vernunft abwehren könn(t)en. 

Ein weiteres Augenmerk wird darauf gelegt, wie bei der Zusammenführung von Komponenten bzw. Teilsystemen zu einer Komplettanlage bzw. einem vollständigen System alle aus den Teilkomponenten stammenden erforderlichen Cybersicherheitsmaßnahmen oder evtl. vorhandene Herstellervorgaben Eingang gefunden haben in die Bewertung der Gesamtanlage. 
Zudem findet eine Beurteilung des Schutzes von Hard- und Softwarekomponenten einschließlich ihrer nutzbaren Schnittstellen sowie der zugehörigen Daten gegen mögliche Cyberbedrohungen statt. Ebenso wird das Schutzniveau hinsichtlich möglicher Prozesse, Organisationen und Personen, die die schutzbedürftigen Einrichtungen beeinflussen können, beurteilt.

Der Beschluss Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen enthält für denjenigen, der zur Erstellung der Gefährdungsbeurteilung verpflichtet ist, auch wichtige Hinweise für die geeignete Vorgehensweise zur Beurteilung von Cyberbedrohungen. Diese dienen der Orientierung bei der Erstellung der Gefährdungsbeurteilung. Darüber hinaus sind auch die Prüfschritte der unabhängigen Sachverständigen beschrieben sowie Prüfaussagen und Mängeldefinitionen niedergelegt. Damit steht den Arbeitgebern bzw. Betreibern bei aller Komplexität des Themas dennoch ein Instrumentarium zu Verfügung, mit Hilfe dessen sie aus verschiedenen Blickwinkeln die jeweilige Sachlage ausreichend beurteilen und gegebenenfalls geeignete Schutzmaßnahmen können. 

Im folgenden Video erfahren Arbeitgeber und Betreiber Details zur Cybersicherheit an überwachungsbedürftigen Anlagen. Es wird auch auf den hier thematisierten Beschluss Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen eingegangen: 

Was kommt auf den Betreiber/Arbeitgeber zu?
Zur Startseite wechseln
Unternehmen
  • Über uns
  • Ansprechpartner
  • Information für Einkäufer
  • AGB
  • Teilnahmebedingungen
  • Prüfungsordnung
  • Widerrufsbelehrung
  • Impressum
Karriere
  • Jobs in der TÜV Akademie
  • Jobs für Dozenten
  • Jobs beim TÜV Thüringen
Downloads
  • Seminarkatalog
  • Hygienekonzept
  • Anmeldeformular
Datenschutz
  • Datenschutzerklärung
  • Datenschutz-Information
  • Datenschutz-Hinweise E-Learning
  • Datenschutz-Hinweise Fern-Prüfungen
Kontakt

TÜV Akademie GmbH Unternehmensgruppe TÜV Thüringen
Konrad-Zuse-Straße 21
99099 Erfurt

Tel.: +49 (361) 301900-0
Fax: +49 (361) 301900-18

seminare(at)tuev-thueringen.de
https://die-tuev-akademie.de

TÜV Thüringen Facebook TÜV Thüringen Instagram TÜV Thüringen Twitter TÜV Thüringen Youtube TÜV Thüringen Xing TÜV Thüringen Linkedin
 
Diese Website verwendet Cookies, um eine bestmögliche Erfahrung bieten zu können. Mehr Informationen ...