Betreiber von überwachungsbedürftigen Anlagen wie Aufzüge, Druck- oder Ex-Anlagen müssen künftig Cyberattacken an ihren Anlagen aktiv vorbeugen. Daran erinnern die Experten der Zugelassenen Überwachungsstellen (ZÜS) bei Dekra. Gefährdungen durch Sicherheitslücken bei der Software sowie Mess-, Steuer- und Regeltechnik (MSR) gehören gemäß den aktualisierten Vorschriften der Betriebssicherheitsverordnung (BetrSichV) zum Prüfumfang der ZÜS.
Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen und damit anfällig für Angriffe auf die Cybersecurity werden. Durch Softwaremanipulation könnte beispielsweise ein Aufzug gestoppt oder Geschwindigkeit und Fahrtrichtung verändert werden. Jeder Betreiber wird folglich durch die aktuelle Betriebssicherheitsverordnung verpflichtet, im Zuge einer Gefährdungsbeurteilung potenzielle Cyberbedrohungen zu identifizieren.
Wenn potenzielle Cyberattacken oder Software-Defizite an Anlagen Personen gefährden, muss der Betreiber basierend auf seiner Gefährdungsbeurteilung Maßnahmen ergreifen. Im Rahmen der Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen. Dies gilt bei allen Arten von Prüfungen bei allen überwachungsbedürftigen Anlagen: vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung
Gefährungsbeurteilung durch ZÜS-Sachverständigen Pflicht
Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung also konkret feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyberbedrohungen ermittelt und bewertet hat. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor.
Bei Aufzügen, Druck- und Ex-Anlagen ist mittlerweile auch zu prüfen, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt, erläutern die Dekra-Experten. Der Prüfsachverständige hält nun bei jeder Prüfung die aktuellen Softwarestände fest. Der Betreiber ist dafür verantwortlich, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden. (ah)
