Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Änderungstext

- Bek. d. BMAS v. 17.11.2025 - IIIb5 - 35612 -

Gemäß § 21 Absatz 6 der Betriebssicherheitsverordnung macht das Bundesministerium für Arbeit und Soziales die nachstehende Änderung der TRBS 1115 Teil 1 "Cybersi-cherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen", Ausgabe November 2022, GMBl 2023, S. 522 [Nr. 25], bekannt.

1. Das Inhaltsverzeichnis wird wie folgt geändert:

a) Nach der Angabe zu Anhang 1 wird die folgende Angabe eingefügt:

"Anhang 2 Erläuterungen und Beispiele für erforderliche Cybersicherheitsmaßnahmen"

b) Die bisherige Angabe "Anhang 2" wird Angabe "Anhang 3".

2. Abschnitt 1 wird wie folgt geändert:

a) Nach Absatz 3 wird der folgende Absatz eingefügt:

"(4) Anhang 2 enthält Erläuterungen und Beispiele für erforderliche Cybersicherheitsmaßnahmen, die sich, anders als in TRBS 1115, nicht an Druckanlagen, Ex-Anlagen oder Aufzugsanlagen orientieren, sondern an der Art der kompromittierbaren Schnittstellen und dem Grad ihrer Vernetzung."

b) Die bisherigen Absätze 4 und 5 werden zu Absätzen 5 und 6.

3. Im Abschnitt 3.3.2 Absatz 2 Nummer 1 wird das Wort "Kennnisse" ersetzt durch das Wort "Kenntnisse".

4. Im Abschnitt 4.5.2 Absatz 2 Nummer 5 wird das Wort "sicherheitsrelevante" durch das Wort "cybersicherheits-relevante" ersetzt.

5. Im Abschnitt 5 Absatz 1 Nummer 1 wird die Angabe "Abschnitt 4.4.4" durch die Angabe "Abschnitt 4.4.3" ersetzt.

6. Abschnitt 6 wird wie folgt geändert:

a) Im Absatz 4 werden die Wörter "zur Prüfung befähigte" durch die Wörter "mit der Prüfung des Arbeitsmittels beauftragte" ersetzt.

b) Im Absatz 5 wird die Angabe "Absatz 3" durch die Angabe "Absatz 4" ersetzt.

7. Abschnitt 7 wird wie folgt geändert:

a) Im Absatz 2 wird nach Satz 1 folgender Satz eingefügt:

"Die mit der Prüfung des Arbeitsmittels beauftragte Person muss nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen weiterhin erreicht wird."

b) In Absatz 3 werden die Wörter "zur Prüfung befähigte Person oder die zugelassene Überwachungsstelle" durch die Wörter "mit der Prüfung des Arbeitsmittels beauftragte Person" ersetzt.

c) Absatz 4

(4) Wird kein Management der Cybersicherheit nach Anhang 1 angewendet, muss die zur Prüfung befähigte Person oder zugelassene Überwachungsstelle nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen weiterhin erreicht wird.

wird gestrichen.

d) Der bisherige Absatz 5 wird zu Absatz 4.

7. Nach Anhang 1 wird der folgende Anhang eingefügt:

"Anhang 2 Erläuterungen und Beispiele für erforderliche Cybersicherheitsmaßnahmen

A2.1 Allgemeine Hinweise

(1) Diese TRBS beschreibt Anforderungen an die Ermittlung und Festlegung erforderlicher Cybersicher-heitsmaßnahmen von sicherheitsrelevanten MSR-Einrichtungen. Da langjährige Erfahrungen zur Cybersicherheit bei vielen Arbeitgebern noch nicht vorliegen können, sollen diese Anforderungen durch die nachfolgenden Erläuterungen und Beispiele konkretisiert und der Arbeitgeber bei der Umsetzung unterstützt werden.

(2) Durch Cyberbedrohungen ergeben sich zusätzliche Wege zum Auftreten von Gefährdungen. Ergänzend zu den Betrachtungen der funktionalen Sicherheit, die berücksichtigen, dass durch zufällige oder systematische Fehler Gefährdungen auftreten können, sind bei Cyber-bedrohungen vorsätzliche Handlungen zu berücksichtigen, die zu bisher nicht betrachteten Kombinationen von Fehlern und schlussendlich zum Auftreten von Gefährdungen führen können. Dieses muss durch ergänzende Betrachtungen und die Festlegung geeigneter Cybersicherheitsmaßnahmen verhindert werden.

(3) Diese TRBS beschreibt den Prozess zur Ermittlung, Umsetzung und Prüfung erforderlicher Cybersicherheitsmaßnahmen für sicherheitsrelevante MSR-Einrichtungen. Für den sicheren Betrieb eines Arbeitsmittels kann es jedoch unter Umständen nicht ausreichend sein, die Umsetzungen von Cybersicherheitsmaßnahmen auf sicherheitsrelevante MSR-Einrichtungen zu beschränken. Insbesondere ist dies dann der Fall, wenn im Rahmen der Gefährdungsbeurteilung bereits darüber hinausgehende Einrichtungen für den sicheren Betrieb des Arbeitsmittels als erforderlich ermittelt wurden und diese digitale Bestandteile aufweisen. Im Rahmen der Gefährdungsbeurteilung ist deshalb zu ermitteln, ob und wenn ja welche weiteren Teile des Arbeitsmittels für dessen sichere Verwendung geschützt werden müssen (siehe hierzu Abschnitt 1 Absatz 1 Satz 3 dieser TRBS). Alle Einrichtungen, für die Cybersicherheitsmaßnahmen als erforderlich angesehen werden, werden als schutzbedürftige Einrichtungen bezeichnet. Insbesondere können hierzu ergänzend zu sicherheitsrelevanten MSR-Einrichtungen zählen:

1. sicherheitsrelevante Einrichtungen, die keine MSR-Einrichtung sind (z.B. Notrufeinrichtungen, Notbefehlseinrichtungen), soweit eine Kompromittierung durch Cyberbedrohungen möglich ist,
2. Die IT/OT-Umgebung (z.B. Service-/Programmiergeräte, Gateways) der vorgenannten Systeme, die Einfluss auf die Cybersicherheit der vorgenannten Systeme haben,