Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen und damit anfällig für Angriffe auf die Cyber Security werden. Durch Softwaremanipulation könnte beispielsweise ein Aufzug gestoppt oder Geschwindigkeit und Fahrtrichtung verändert werden. Jeder Betreiber wird folglich durch die aktuelle Betriebssicherheitsverordnung verpflichtet, im Zuge einer Gefährdungsbeurteilung potenzielle Cyber-Bedrohungen zu identifizieren.
Wenn potenzielle Cyber-Attacken oder Software-Defizite an Anlagen Personen gefährden, muss der Betreiber basierend auf seiner Gefährdungsbeurteilung Maßnahmen ergreifen. Im Rahmen der Prüfungen nach Betriebssicherheitsverordnung (BetrSichV) muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen. Dies gilt bei allen Arten von Prüfungen bei allen überwachungsbedürftigen Anlagen: vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung.
Gefährdungsbeurteilung erfolgt
Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung also konkret feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyber-Bedrohungen ermittelt und bewertet hat. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor.
Bei Aufzügen, Druck- und Ex-Anlagen ist mittlerweile auch zu prüfen, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt, erläutern die Dekra-Experten. Der Prüfsachverständige hält nun bei jeder Prüfung die aktuellen Softwarestände fest. Der Betreiber ist dafür verantwortlich, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden.