Cybersicherheit, neue EK-ZÜS-Beschlüsse und die Stufe 2

Wenn es um das Thema Cybersicherheit geht, fallen dem Informierten sofort die TRBS 1115 und TRBS 1115-1 ein. Weniger bekannt ist der revidierte EK-ZÜS-Beschluss B-002, natürlich noch unbekannt der neue BA-017.

Von Lars Lindert

Es ist eine komplizierte Gemengelage, für die man sich nicht nur mit Aufzugstechnik, sondern auch mit Cybersicherheit, Aufzugsnormen und EK-ZÜS-Beschlüssen auskennen muss. Nur wenige Experten dürften diese Gemengelage und ihre Folgen durchschauen.

Beginnen wir mit den Beschlüssen des Erfahrungsaustauschkreises der Zugelassenen Überwachungsstellen (EK ZÜS). Wichtig zu wissen ist hierbei, dass EK-ZÜS-Beschlüsse zum einen eine einheitliche und verbindliche Arbeitsweise der unterschiedlichen ZÜSen sicherstellen und zum anderen den interessierten Kreisen transparent machen sollen, wie diese Prüforganisationen arbeiten und ihre Aufgaben im Rahmen ihrer Tätigkeiten umsetzen und Sachverhalte beurteilen.

Ich versuche mal, die beiden neuen Beschlüsse verständlich darzustellen. Beginnen wir mit dem neuen BA-017 (Prüfungen zur Cybersicherheit in Stufe 2). Stufe 2? Richtig. Wussten Sie schon, dass es bei dieser viel diskutierten Betreiberpflicht zur Cyber-Sicherheit einen mehrstufigen Prozess gibt?

Stufe 2 scharf geschaltet

Stufe 1 ist – wie die meisten mitbekommen haben – am 1. Juli 2023 in Kraft getreten. Nur wussten damals die wenigsten, dass es nur die erste Stufe war. Diese Phase dauerte bis zum 31. März 2024, bis dahin musste nur geprüft werden, ob Cyberbedrohungen im Rahmen der Gefährdungsbeurteilung überhaupt dokumentiert wurden. Am 1. April 2024 ist durch den B-002 (Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen) die Stufe 2 scharf geschaltet worden. Verabschiedet wurden die Neuerungen aber erst am 17. April, kommuniziert und veröffentlicht wurden sie erst Mitte Mai.

Der neu erschienene BA-017 konkretisiert dabei den aktuell revidierten EK-ZÜS-Beschluss B-002 für Aufzüge. Er beschreibt die Umsetzung der Plausibilitätsprüfung bei Aufzugsanlagen durch die Sachverständigen der ZÜS – also, ob die Maßnahmen des Betreibers gegen Cyberbedrohungen im Rahmen der wiederkehrenden Prüfungen nach TRBS 1115-1 nachvollziehbar und vollständig sind.

Der EK-ZÜS-Beschluss B-002 in der aktuellen Fassung legt auf der anderen Seite für die ZÜSen Mindestanforderungen für ihre Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen im Rahmen der wiederkehrenden Prüfungen fest.

Inhalte der Prüfungsarten

Außerdem werden im B-002 die Inhalte der unterschiedlichen Prüfungsarten der ZÜSen beschrieben:
• Prüfung vor Inbetriebnahme oder
• Prüfung vor Wiederinbetriebnahme nach einer prüfpflichtigen Änderung sowie
• wiederkehrende Prüfung.

Stellt also die Prüforganisation einen Mangel fest, kann im Beschluss nachvollzogen werden, wie es zu der Einstufung kam und welche Bedingungen vorgelegen haben müssen, die die Einstufung rechtfertigen.

Weiterhin gibt der revidierte Beschluss B-002 dem Betreiber im Anhang informative Hinweise zum Ablauf der Planung und Realisierung erforderlicher Cybersicherheitsmaßnahmen. Außerdem findet sich dort ein Beispiel für die Dokumentation des Planungsprozesses und die Realisierung der Cybersicherheitsmaßnahmen, die den ZÜSen im Rahmen ihrer Prüfungen vorgelegt werden müssen – an einem Beispiel konkretisiert das der BA-017 im Anhang. Das ist für die Betreiber tatsächlich nützlich.

Diese Komponenten muss der Betreiber anschauen

Dort findet man auch vier Schritte für den Prozess:
1. Ermittlung der für die Sicherheit der Anlage relevanten Einrichtungen,
2. Beurteilung der Auswirkungen von Cyberbedrohungen,
3. Festlegung von Cybersicherheitsmaßnahmen sowie
4. Umsetzung und Aufrechterhaltung der Cybersicherheitsmaßnahmen.

Wichtig zu beachten ist, dass die Dokumentation konkret der zu prüfenden Anlage zugeordnet werden kann.

Das heißt: Der Betreiber muss sich in seinem Prozess zur Planung und Realisierung der Cybersicherheitsmaßnahmen diese Komponenten anschauen:
• Sicherheitsrelevante MSR-Einrichtungen
• Zwei-Wege-Kommunikationssysteme („Notrufsystem“)
• Schutzbedürftige IT-/OT-Umgebung (OT = Operational Technology)
• Weitere Bauteile gem. ISO 8102-20, sofern digital und cyberrelevant/schutzbedürftig
• PESSRAL-Komponenten
• Frequenzumrichter mit sicherheitsrelevanter Funktion

Fachkundige Hilfe holen

Hierbei ist zu berücksichtigen, dass die Herstellerbescheinungen für einzelne Komponenten als Nachweis für eine vollständige Anlagendokumentation im Sinne der Anforderungen der TRBS 1115 Teil 1 nicht ausreichen.

Diese können jedoch in die Dokumentation für die Gefährdungsbeurteilung (GBU) des Betreibers einfließen, sie sind aber nur eine Art Geländer für den Betreiber, um die GBU zu erstellen – häufig wird er sich dafür aber fachkundige Hilfe holen müssen.

Stufe 3 wird die Prüfung der Funktionsfähigkeit der Cybersicherheits-Maßnahmen im geeigneten Umfang sein, diese erfolgt zu einem noch nicht bekannten späteren Zeitpunkt und wird voraussichtlich eine Prüfung auf Wirksamkeit beinhalten.

Der Autor gehört zur Geschäftsführung von Dauer Aufzüge GmbH und ist Mitglied des LIFTjournal-Beirats.

Weitere Informationen: Prüfungen zur Cybersicherheit in Stufe 2 nach EK ZÜS-Beschluss B-002 (aktuelle Fassung) bei Aufzugsanlagen https://mitglieder.tuev-verband.de/archiv/themen/anlagensicherheit/erfahrungsaustausch_zues/ek_zues_beschluesse/dok_view?oid=1253046&vater=98166

ZÜS-BA-017: Prüfungen zur Cybersicherheit in Stufe 2 nach EK ZÜS-Beschluss B-002 (aktuelle Fassung) bei Aufzugsanlagen https://mitglieder.tuev-verband.de/archiv/themen/anlagensicherheit/erfahrungsaustausch_zues/ek_zues_beschluesse/dok_view?oid=1253046&vater=98166