Cyber-Sicherheit für Anlagen jetzt Pflicht
Betreiber von überwachungsbedürftigen Anlagen wie Aufzüge, Druck- oder Ex-Anlagen müssen künftig Cyber-Attacken an ihren Anlagen aktiv vorbeugen, erläutert DEKRA (www.dekra.de). Auch die Wohnungswirtschaft muss jetzt beachten: Gefährdungen durch Sicherheitslücken bei der Software sowie Mess-, Steuer- und Regeltechnik (MSR) gehören gemäß den aktualisierten Vorschriften der Betriebssicherheitsverordnung (BetrSichV) zum Prüfumfang einer Zugelassenen Überwachungsstelle (ZÜS) wie DEKRA.
Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen und damit anfällig für Angriffe auf die Cyber Security werden. Durch Softwaremanipulation könnte beispielsweise ein Aufzug gestoppt oder Geschwindigkeit und Fahrtrichtung verändert werden. Jeder Betreiber wird folglich durch die aktuelle Betriebssicherheitsverordnung verpflichtet, im Zuge einer Gefährdungsbeurteilung potenzielle Cyber-Bedrohungen zu identifizieren.
Wenn potenzielle Cyber-Attacken oder Software-Defizite an Anlagen Personen gefährden, muss der Betreiber basierend auf seiner Gefährdungsbeurteilung Maßnahmen ergreifen. Im Rahmen der Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen. Dies gilt bei allen Arten von Prüfungen bei allen überwachungsbedürftigen Anlagen: vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung.
Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung also konkret feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyber-Bedrohungen ermittelt und bewertet hat. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor.
Bei Aufzügen, Druck- und Ex-Anlagen ist mittlerweile auch zu prüfen, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt, erläutern die DEKRA Experten. Der Prüfsachverständige hält nun bei jeder Prüfung die aktuellen Softwarestände fest. Der Betreiber ist dafür verantwortlich, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden.
