Sichere Informations- und Anlagensysteme als Pflicht und Chance

ISO 27001 und TRBS 1115: Rechtssichere Strukturen für Daten- und Anlagensicherheit
Bild: clipdealer
Bild: clipdealer

Die fortschreitende Digitalisierung eröffnet Unternehmen neue Möglichkeiten, erhöht jedoch gleichzeitig das Risiko für Cyberangriffe und Datenschutzverletzungen. Mit einem strukturierten Managementsystem nach ISO 27001 lassen sich Informationssicherheit und gesetzliche Anforderungen effizient umsetzen. Auch die TRBS 1115, Teil 1, rückt den Schutz sicherheitsrelevanter Anlagen in den Fokus. Wer diese Standards erfüllt, minimiert Risiken, arbeitet rechtskonform und stärkt das Vertrauen von Kunden und Geschäftspartnern.

Mit zunehmender Digitalisierung und Vernetzung steigt für Unternehmen das Risiko für Cyberangriffe, die zu Datenverlust, -missbrauch oder gar Produktionsausfall führen können. Kunden fordern einen Nachweis über die Sicherheit
ihrer Daten.

Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018, wann, wie und auf welcher Grundlage personenbezogene Daten verarbeitet werden dürfen, welche Rechte betroffene Personen haben und welche Pflichten datenverarbeitende Stellen erfüllen müssen. Der international anerkannte Standard ISO 27001 hilft Unternehmen, Informationssicherheit strukturiert zu managen, Risiken zu minimieren und gesetzliche Vorgaben zu erfüllen.

Unternehmen profitieren von der Einrichtung eines Managementsystems für Informationssicherheit, HSEQ Software erleichtert rechtssicheres Arbeiten.

Managementsystem für Informationssicherheit

Unternehmen müssen beim Verarbeiten personenbezogener Daten die Anforderungen der DSGVO ermitteln und umsetzen. Ein Managementsystem z. B. nach ISO 27001 ermöglicht eine strukturierte Vorgehensweise und schafft Vertrauen bei Kunden und Geschäftspartnern. Die DIN EN ISO/IEC 27001:2024-01 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ legt sowohl Anforderungen für Einrichten, Umsetzen, Aufrechterhalten und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) als auch an die Beurteilung und Behandlung von Informationssicherheitsrisiken fest.

Für die Einführung eines Managementsystems nach ISO 27001 spricht vor allem:

Gesetzliche Anforderungen werden erfüllt: Compliance-Anforderungen wie DSGVO und branchenspezifische Vorgaben, u. a. die Nachweispflicht zur Datensicherheit.

Sensible Informationen werden geschützt: Strukturierte Prozesse und Maßnahmen stellen Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicher. Risiken wie Datenverlust oder -missbrauch können minimiert werden.

Systematisches Risikomanagement: Unternehmen erkennen und bewerten potenzielle Sicherheitslücken frühzeitig und können präventiv handeln.

Haftungsrisiken werden verringert: Ein funktionierendes ISMS senkt das Haftungsrisiko (Organisationsverschulden).

Effizientere Prozesse: Dokumentierte Abläufe sorgen für rechtssicheres Arbeiten, Unternehmen sparen Zeit und Geld.

Fortlaufende Verbesserung: Durch regelmäßiges Überprüfen und Anpassen der Prozesse steigen Schutzniveau und Bewusstsein für Informationssicherheit im Unternehmen.

Erhöhtes Vertrauen bei Kunden und Geschäftspartnern als Wettbewerbsvorteil: Das Zertifikat dient als Nachweis gegenüber Kunden und zuständiger Behörde; für viele Kunden ist es Voraussetzung für eine Geschäftsbeziehung.

Cybersicherheit für Anlagen

Cybersicherheit für industrielle Anlagen gewinnt durch Digitalisierung und Vernetzung zunehmend an Bedeutung, insbesondere für überwachungsbedürftige Anlagen. Wesentliche Anforderungen und Pflichten regelt die TRBS 1115, Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“. Anlagenbetreiber müssen Gefährdungen für Beschäftigte und andere Personen durch Cyberbedrohungen wie Softwarefehler oder Hackerangriffe vermeiden.

Wesentliche Aufgaben sind vor allem (vgl. Abb. 1 TRBS 1115, Teil 1):

Gefährdungen auch aufgrund von Cyberbedrohungen beurteilen (§§ 3, 4 BetrSichV): Fachkundiges Personal muss prüfen, ob Cyberrisiken für Anlagen bestehen, Risiken müssen bewertet werden. Leitfrage: Welche sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR) sind vorhanden und sind sie vor Cyberbedrohung geschützt?

Anforderungen an Cybersicherheit festlegen und Maßnahmen ableiten, z. B. Netzwerksegmentierung, Zugangs- und Zugriffskontrollen sowie Notfallmanagement.

Wirksamkeit der Maßnahmen überprüfen.

Prüfung vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtigen Änderungen (§§ 4, 14, und 15 BetrSichV).

Wiederkehrende Prüfung (§§ 14 und 16 BetrSichV) durch zur Prüfung befähigte Personen bzw. zugelassene Überwachungsstellen (ZÜS), die im Rahmen ihrer Prüfungen Cyberbedrohung und getroffene Schutzmaßnahmen bewerten. Können Vorgaben der TRBS 1115, Teil 1 nicht nachgewiesen werden, drohen nicht nur Bußgelder, sondern auch strafrechtliche Konsequenzen und ggf. sogar die Untersagung des Betriebs der betroffenen Anlage.

Betrieb, Instandhaltung und regelmäßige Kontrolle der Funktionsfähigkeit der Maßnahmen zur Cybersicherheit.

Dokumentation: „Eine im Rahmen eines Managements der Cybersicherheit nach Anhang 1 TRBS 1115, Teil 1 vorhandene Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Dokumentationspflichten nach § 3 Absatz 8 BetrSichV.“

Legal Compliance und Rechtskataster

Arbeitgeberinnen und Arbeitgeber müssen geltende rechtliche Anforderungen erfüllen. Diese ergeben sich aus externen Vorschriften und unternehmensinternen Verhaltensregeln: Legal Compliance bedeutet, dass Organisationen alle für sie zutreffenden, relevanten Rechtsvorschriften erfüllen und geregelt haben, wie diese aufrechterhalten und neue bzw. geänderte Anforderungen umgesetzt werden. Verhaltensregeln (Code of Conduct) betreffen z. B. den Umgang mit Geschäftspartnern, den Umgang mit Geschenken und Einladungen oder Verantwortung bez. Umweltschutz.

Im ersten Schritt ermitteln Unternehmen im Rahmen eines Compliance-Audits, welche Vorschriften für sie relevant sind. Erforderliche Maßnahmen müssen festgelegt und umgesetzt werden. Das Ergebnis ist i. d. R. ein individuelles Rechtskataster, das neben Rechtsvorschriften und unternehmensinternen Verhaltensregeln auch erforderliche Genehmigungen enthalten kann. Dabei ist das Managen geltender Vorschriften kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess.

Anforderungen an ein geeignetes Rechtsregister sind vor allem, dass der Stand der Aktualisierung stets erkennbar ist, die Bedeutung von Änderungen und Neuerungen fürs eigene Unternehmen beurteilt wird, Pflichten abgeleitet und Maßnahmen umgesetzt und überwacht werden sowie eine Archivierung vorhanden ist. Gehören mehrere Standorte zum Unternehmen, wird ein standortbezogenes Rechtskataster gefordert.

Fazit

Unternehmen müssen sich vor Cyberbedrohungen schützen und Datensicherheit gewährleisten. Ein Managementsystem nach ISO 27001 ermöglicht strukturiertes Vorgehen, das Management der Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR) kann integriert werden. Geeignete HSEQ Software unterstützt Verantwortliche beim Managen von Rechtsvorschriften und Anlagen und ermöglicht rechtssicheres Arbeiten.

Bettina Huck,

Projektassistentin und Autorin für Qualität,
Umwelt, Energie und Arbeitsschutz,
QUMsult GmbH & Co. KG,
Freiburg
Dieser Artikel erschien in

KKA 06/2025

Dieser Artikel erschien in

KKA 06/2025

Ressort:  Betrieb
Abonnement Inhaltsverzeichnis
x

Thematisch passende Artikel:

Ausgabe 02/2023

Warum Cybersicherheit?

Wie der Kühlschrank, die Waschmaschine oder die Kaffeemaschine zur Cyberwaffe werden können*

In diversen Artikeln – so auch in der „Digitalen Ecke“ in der „VDKF Information“ – werden unterschiedliche Maßnahmen zur IT- bzw. Cybersicherheit dargestellt. Hierunter werden Hilfsmittel...

mehr
Ausgabe 04/2018

Verschärfter Datenschutz

Neue Pflichten kommen auf Handwerk zu

Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Auch Handwerksbetriebe sind davon nicht ausgeschlossen, denn auch sie...

mehr