[Vorspann]
Die Technischen Regeln für Betriebssicherheit (TRBS) geben den Stand der Technik, Arbeitsmedizin und Arbeitshygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für die Verwendung von Arbeitsmitteln wieder.
Sie werden vom Ausschuss für Betriebssicherheit ermittelt bzw. angepasst und vom Bundesministerium für Arbeit und Soziales (BMAS) im Gemeinsamen Ministerialblatt (GMBl) bekannt gegeben.
Die TRBS 1115 Teil 1 konkretisiert im Rahmen ihres Anwendungsbereichs Anforderungen der Betriebssicherheitsverordnung. Bei Einhaltung dieser Technischen Regeln kann der Arbeitgeber davon ausgehen, dass die entsprechenden Anforderungen der Verordnung erfüllt sind. Wählt der Arbeitgeber eine andere Lösung, muss er damit mindestens die gleiche Sicherheit und den gleichen Gesundheitsschutz für die Beschäftigten erreichen.
1 Anwendungsbereich
(1) Diese Technische Regel konkretisiert die Betriebssicherheitsverordnung (BetrSichV) im Hinblick auf die Ermittlung und Festlegung erforderlicher Cybersicherheitsmaßnahmen für die dauerhafte Sicherstellung der Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen), die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden.
Cyberbedrohungen können dazu führen, dass eine sicherheitsrelevante MSR-Einrichtung ihre Sicherheitsfunktion nicht mehr ausüben kann oder sogar zusätzliche Gefährdungen herbeigeführt werden.
Die in dieser TRBS dargestellte Vorgehensweise zur Festlegung, Umsetzung und Prüfung von Cybersicherheitsmaßnahmen ist auch geeignet, um über sicherheitsrelevante MSR-Einrichtungen hinausgehende Teile des Arbeitsmittels (z. B. notwendige Kommunikationsmittel) oder andere technische Infrastrukturen gegen Cyberbedrohungen zu schützen, wenn dieses als Ergebnis der Gefährdungsbeurteilung als erforderlich angesehen wird.
Für nicht verwendungsfertig beschaffte Arbeitsmittel oder solche verwendungsfertig beschaffte Arbeitsmittel, bei denen die ausreichende Cybersicherheit nicht bereits Bestandteil des Inverkehrbringens war, bietet diese Technische Regel auch Hilfestellung für die Spezifikation, Planung und Realisierung von Cybersicherheitsmaßnahmen.
(2) Diese TRBS beschreibt ergänzend zur TRBS 1201 auch die Durchführung von Prüfungen zur Cybersicherheit sowie das Vorgehen bei Änderungen von Arbeitsmitteln im Zusammenhang mit der Cybersicherheit von sicherheitsrelevanten MSR-Einrichtungen.
(3) Anhang 1 enthält Anforderungen, die der Arbeitgeber berücksichtigen muss, wenn er ein Management der Cybersicherheit (zum Begriff siehe Abschnitt 2.5) im Betrieb einführt oder die relevanten Inhalte z. B. in sein Management der funktionalen Sicherheit oder in sein allgemeines Informationssicherheitsmanagement integriert.
(4) Diese TRBS behandelt keine Arbeitsmittel oder sicherheitsrelevanten MSR-Einrichtungen, die aufgrund nicht vorhandener Schnittstellen (sowohl kabelgebunden als auch kabellos) nicht kompromittiert werden können.
(5) Diese TBRS betrachtet nicht die Abwehr von wirtschaftlichen Schäden oder von Angriffen auf den Datenschutz (z. B. von personenbezogenen Daten). Sie kann dafür gleichwohl als Erkenntnisquelle herangezogen werden.
2 Begriffsbestimmungen
2.1 Allgemeines
Folgende Begriffe sind bereits in TRBS 1201 bestimmt:
2. |
Art und Umfang erforderlicher Prüfungen, |
4. |
Notbefehlseinrichtung, |
5. |
Sicherheitseinrichtung, |
6. |
Sicherheitsrelevante MSR-Einrichtungen. |
Folgende Begriffe sind bereits in TRBS 1115 bestimmt:
1. |
Funktionale Sicherheit, |
2. |
Sicherheitslebenszyklus. |
2.2 Cybersicherheit
(1) Cybersicherheit im Sinne dieser TRBS bezeichnet gemäß Verordnung (EU) 2019/881 alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.
Hinweis: Die Verordnung (EU) 2019/881 übersetzt aus dem englischen Original "activities" in der deutschen Fassung mit "Tätigkeiten". Im Sinne dieser TRBS sind damit alle technischen und organisatorischen Maßnahmen zu verstehen, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.
(2) Da in der europäischen Rechtsetzung der Begriff "Cybersicherheit" mit einem umfassenderen Verständnis verwendet wird, wird in dieser TRBS der Begriff "Cybersicherheit" auf den Schutz sicherheitsrelevanter MSR-Einrichtungen, die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden, eingeschränkt verwendet.
Hinweis: In vielen Quellen wird anstelle des Begriffs "Cybersicherheit" der Begriff "Informationssicherheit" verwendet.
2.3 Cyberbedrohung
Cyberbedrohung im Sinne dieser TRBS bezeichnet gemäß Verordnung (EU) 2019/881 einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträch...