TRBS 1115 Teil 1 - Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen

Hallo,

die Umsetzung läuft bei uns in der Praxis schon seit Jahren. Einfach gesagt, jedes System auf das ich von Außen zugreifen kann, bzw. Zugriff erlangen kann, muss gegen Cyberangriffe geschützt werden. Das gelingt, wenn die Software-Entwicklung mit der IT-Abteilung zusammenarbeitet.

Ich würde dieses Thema aber auch im Bereich der IT-Sicherheitsexperten sehen, aber ich kann entsprechend beraten und hinweisen, das man das Thema mit dieser Abteilung besprechen sollte.

Gruß,

Andy

Das Thema wird bei uns auch akut. Allerdings haben wir keine wirklichen Angriffspunkt. Unsere Anlagen sind bundesweit im Remote eingebunden, unterliegen der wiederkehrenden Prüfungen nach Betriebssicherheitsverordnung / Explosionsschutz.

Im Klartext: Der TÜV muss prüfen, weiss aber selber nicht, wie er es machen soll/will.

Wir erstellen gerade eine GBU mit Unterstützung von externen IT Experten um unsere Systeme zu prüfen.

Zitat von Lutz Lehmann

Ich frage deshalb, weil wir einerseits als Fachkräfte für Arbeitssicherheit eine Beratungspflicht haben, andererseits dieses Thema aus meiner Sicht eher die IT-Sicherheitsexperten anspricht.

Ich habe es an unsere IT weitergeleitet. Denn normalerweise steht im Regelwerk "Fachkundige Personen können die Fachkraft für Arbeitssicherheit oder der Betriebsarzt sein" - in der TRBS finde ich mich nicht wieder:

 Die Wirksamkeit der Cybersicherheitsmaßnahmen muss dauerhaft sichergestellt 
werden. Dafür ist es erforderlich, Zugriffsrechte, Fachkunde (Qualifikation), Tätigkeiten, Verantwortlichkeiten, Zuständigkeiten und Aufgaben derjenigen Personen eindeutig festzulegen, 
die
1. für den Auswahl-, Beschaffungs- und Integrationsprozess verantwortlich sind oder
2. im Betrieb Umgang mit einer sicherheitsrelevanten MSR-Einrichtung und der IT/OT Umgebung haben können (in der Regel auch die Verwender eines Arbeitsmittels).
Die unter Nummer 1. aufgeführten Personen müssen über eine der Aufgabe entsprechende 
Fachkunde verfügen. Die unter Nummer 2. aufgeführten Personen müssen mindestens über 
die erforderlichen Kenntnisse zu den in ihrem Zuständigkeitsbereich festgelegten Cybersicherheitsmaßnahmen verfügen.

Laut dem Tüv Rheinland: Die Fachkundigen Personen also die, die es können.

Dabei sind insbesondere folgende Kenntnisse erforderlich:

- gesetzliche Anforderungen, Vorschriften sowie Normen zur Cybersicherheit

- Arbeitsprozesse zur Bewertung und Aufrechterhaltung der Cybersicherheit (z. B. Erfahrung mit einem

- Informationssicherheitsmanagement oder eine IT-Risikobeurteilung)

- Typische Schwachstellen und Cyberbedrohungen für das Arbeitsmittel und daraus resultierende Folgen

- spezifische Kenntnis über das jeweilige Unternehmen

- Kenntnisse über Maßnahmen zum Schutz vor Cyberbedrohungen

Gute Frage.

Ich verstehe meine Rolle in der Beratung bei der Gefährdungsbeurteilung: was passiert, wenn nach einem Cyberangriff die Aufzugssteuerung nicht oder falsch funktioniert? - besteht Gefahr für Menschen oder droht nur der Ausfall des Aufzugs? Bei der Festlegung von Maßnahmen (Nachrüstung der Steuerung?), der Umsetzung und auch der Wirksamkeitskontrolle wäre ich fachlich raus. Ich würde dann noch den Verantwortlichen an die Prüfung nach prüfpflichtiger Änderung nach §§14 und 15 BetrSichV erinnern.

Moin,

ich würde mich da erst einmal entspannen und hier lesen, bevor irgendjemand in Betrieb in Aktionismus verfällt.

Gruß Frank