Anlagensicherheit gegen Cyberangriffe Überwachungsbedürftige Anlagen: Darauf musst du achten

Elektrosicherheit ist ein wichtiges Thema in Unternehmen. Viele Anlagen oder Einrichtungen sind potenziell gefährlich für dich und deine Mitarbeitenden, sollte es zu einer Fehlfunktion kommen. Da kommt das Betriebssicherheitsgesetz ins Spiel. Dabei geht es um die Anlagensicherheit aller gefährlichen Maschinen oder Einrichtungen im Betrieb. Welche alle dazu zählen und warum auch die Cybersicherheit dabei mittlerweile eine große Rolle spielt, das erklären wir dir jetzt.

Das erfährst du in diesem Beitrag:

Was sind überwachungsbedürftige Anlagen?

Bei überwachungsbedürftigen Anlagen handelt es sich um alle Anlagen oder Einrichtungen in deinem Unternehmen, bei denen potenziell Gefahr im Verzug ist. Sei es eine Gefährdung für Mitarbeitende, Umwelt oder Sachwerte: Diese Anlagen unterliegen besonderen, gesetzlichen und behördlichen Überwachungs- und Prüfungsvorschriften. Zu den überwachungsbedürftigen Anlagen zählen unter anderem:

• Druckbehälter und Dampfkessel:
  Diese Anlagen stehen unter hohem Druck und können im Falle eines Defekts zu schweren Unfällen führen.
• Aufzugsanlagen:
  Aufzüge müssen regelmäßig gewartet und geprüft werden, um die Sicherheit von Personen zu gewährleisten.
• Elektrische Anlagen:
  Insbesondere in explosionsgefährdeten Bereichen müssen elektrische Anlagen regelmäßig auf ihre Elektrosicherheit überprüft werden.
• Kälte- und Klimaanlagen:
  Diese Anlagen können umweltschädliche Stoffe enthalten und müssen daher überwacht werden.
• Gasanlagen:
  Anlagen, die mit Gas betrieben werden, bergen ein hohes Risiko für Explosionen und Vergiftungen und erfordern deshalb regelmäßige Inspektionen.
• Druckluftbehälter und -anlagen:
  Ähnlich wie bei Druckbehältern müssen auch diese regelmäßig überprüft werden, da sonst Explosionsgefahr besteht.
• Lageranlagen für gefährliche Stoffe:
  Hierunter fallen z. B. Tankanlagen für Chemikalien oder Kraftstoffe, die besondere Sicherheitsanforderungen erfüllen müssen. Diese findest du auch im Gefahrstoffkataster.
• Anlagen zur Lagerung und Verarbeitung von explosionsgefährlichen Stoffen:
  Diese Anlagen müssen sehr strenge Sicherheitsvorschriften einhalten und regelmäßig überprüft werden.
  

Die Überprüfung dieser Anlagen erfolgt nur von zugelassenen Überwachungsstellen, wie beispielsweise dem TÜV, da je nach Anlage sehr spezielles Fachwissen vonnöten sein kann.

Wo sind überwachungsbedürftige Anlagen definiert?

Was alles zu überwachungsbedürftigen Anlagen zählt, wird in verschiedenen Gesetzen, Verordnung und technischen Regelwerken definiert. Die größten Mitspieler sind hierbei das Betriebssicherheitsgesetz (BetrSichG) und die Betriebssicherheitsverordnung (BetrSichV).

Das Betriebssicherheitsgesetz regelt die Sicherheit und Gesundheit deiner Mitarbeitenden, wenn sie mit überwachungsbedürftigen Anlagen oder Einrichtungen arbeitet. Es legt auch deine Pflichten als Arbeitgeber*in fest und welche Maßnahmen du zur Gewährleistung der Sicherheit ergreifen musst.

Die Betriebssicherheitsverordnung baut darauf auf und konkretisiert das BetrSichG. Es enthält spezifische Regelungen, die besonders zur Prüfung der Anlagensicherheit relevant werden. Zudem definiert es auch Einrichtungen, wie Druckgeräte, Aufzugsanlagen und viele andere als überwachungsbedürftige Anlagen.

Weitere spezifische Regelwerke wären:

• Druckgeräterichtlinie (2014/68/EU):
  Diese EU-Richtlinie legt Anforderungen an Druckgeräte und deren Inverkehrbringen fest.
• Maschinenrichtlinie (2006/42/EG):
  Diese EU-Richtlinie enthält Sicherheitsanforderungen für Maschinen und beschreibt deren Prüf- und Kennzeichnungspflichten.
• Landesbauordnungen:
  Diese enthalten spezifische Regelungen zur Überwachung bestimmter Anlagen, wie z.B. Aufzüge oder Feuerungsanlagen, die je nach Bundesland unterschiedlich sein können.

Sind alle KRITIS prüfpflichtige Anlagen?

Kritische Infrastrukturen (KRITIS) haben zwar einige Ähnlichkeiten mit überwachungsbedürftigen Anlagen, sind aber keine identischen Konzepte. Bei kritischen Infrastrukturen handelt es sich um Einrichtungen oder Anlagen, die eine hohe Bedeutung für das Gemeinwesen haben und deren Ausfall zu nachhaltigen Beeinträchtigungen oder Störungen der öffentlichen Sicherheit führen können. Bei überwachungspflichtigen Anlagen handelt es sich um Einrichtungen oder Anlagen, die ein hohes Gefährdungspotenzial aufweisen, ihre Bedeutung für das Gemeinwesen ist dabei erstmal nicht relevant.

Es gibt also Bereiche in denen Teile von KRITIS durchaus überwachungsbedürftig sind. Beispielsweise wenn ein Kraftwerk (eine kritische Infrastruktur im Energiesektor) überwachungsbedürftige Anlagen wie Druckbehälter oder Dampfkessel hat. Diese einzelnen Anlangen müssen dann entsprechend des Betriebssicherheitsgesetzes überprüft werden, nicht aber die ganze KRITIS-Anlage.

Zusammengefasst dienen beide Systeme der Sicherheit, aber mit unterschiedlichen Schwerpunkten und rechtlichen Grundlagen. Eine kritische Infrastruktur ist damit nicht automatisch eine überwachungsbedürftige Anlage, kann aber welche enthalten.

Wann müssen überwachungsbedürftige Anlagen geprüft werden?

Wie oft deine Anlagen überprüft werden müssen, ist in der Betriebssicherheitsverordnung festgelegt. Überwachungsbedürftige Anlagen müssen demnach regelmäßig einer so genannten wiederkehrenden Prüfung unterzogen werden. Für gewöhnlich bedeutet eine jährliche Durchführung. Die Gefährdungsbeurteilung durch eine qualifizierte Fachperson ist dabei ein zentraler Bestandteil der Prüfung.

In den Regelungen für Gefährdungsbeurteilung werden auch gesonderte Prüfungen geregelt, etwa bei neuen Anlagen, veränderten Arbeitsverfahren, wenn bestimmte, ortsgebundene Maschinen bewegt werden oder nach einen Cyberangriff, der die allgemeine Maschinensicherheit infrage stellt.

Warum ist Cybersicherheit bei prüfpflichtigen Anlagen entscheidend?

In der heutigen digitalen Welt, in der Unternehmen und Organisationen stark von Informationstechnologie (IT) abhängen, ist Cybersicherheit entscheidend für den Erfolg und das Überleben eines Unternehmens. Umfassende Cybersecurity hilft dabei, IT-Systeme und -Infrastrukturen zu schützen und Risiken zu minimieren.

Cybersicherheit ist aber nicht nur ein immer größeres Thema in der Unternehmenswelt. Immer mehr Gesetze und Vorschriften integrieren den Aspekt in ihre Verordnungen, um bei fortschreitender Digitalisierung weiterhin die Sicherheit in Betrieben zu gewährleisten. Das gilt jetzt auch für die Prüfung von überwachungsbedürftigen Anlagen.

Ein Hackerangriff oder auch ein einfacher Software-Fehler kann ausreichen, damit eine elektrische Anlage zur Gefahr für Mitarbeitende wird. Daher musst du im Rahmen der Gefährdungsbeurteilung auch mögliche Cyberbedrohungen dokumentieren und geeignete Maßnahmen ergreifen. Wird dann eine Überprüfung der überwachungspflichtigen Anlagen durchgeführt, achtet die Prüfstelle auch auf deine Dokumentation hinsichtlich der Cybersecurity.

Was ist die Gefährdungsbeurteilung IT- und Cybersicherheit?

Bei der Gefährdungsbeurteilung geht es darum, mögliche Gefährdungen und Sicherheitsprobleme in deinem Betrieb zu finden und geeignete organisatorische und technische Maßnahmen zu treffen.

Im IT-Bereich funktioniert das ganz ähnlich. Mit der Gefährdungsbeurteilung für IT- und Cybersicherheit überprüfst du dein Unternehmen, sowie deine Server und System auf Sicherheitslücken. Dabei geht es aber nicht nur um die Absicherung vor potenziellen Hackerangriffen, sondern auch um mögliche Software-Fehler und deren Folgen. Eine Gefährdungsbeurteilung für IT- und Cybersicherheit umfasst z. B. folgende Schritte:

• Überprüfung aller IT-Systeme und –Infrastrukturen,
• Identifizierung möglicher Schwachstellen im System mit anschließender Risikobewertung,
• Planung und Durchführung geeigneter Schutzmaßnahmen,
• Regelmäßige Überprüfung der Funktionalität der geleisteten Schutzmaßnahmen.

Wie bei einer normalen Gefährdungsbeurteilung des Unternehmens müsst ihr eine ausreichende Dokumentation über die festgestellten Sicherheitslücken und die durchgeführten Maßnahmen führen.

Was muss ich als Arbeitgeber*in konkret für ausreichende Anlagensicherheit unternehmen?

Als Arbeitgeber*in musst du im Rahmen der Gefährdungsbeurteilung potenzielle Cyberbedrohungen identifizieren und Maßnahmen ergreifen, wenn diese Bedrohungen zu Gefährdungen für Arbeitnehmende oder andere Personen führen können. Deine entsprechende Prüfstelle für überwachungspflichtige Anlangen muss im Rahmen der Prüfungen nach BetrSichV (vor Inbetriebnahme, nach prüfpflichtigen Änderungen und wiederkehrend) solche Cyberbedrohungen bei überwachungsbedürftigen Anlagen (wie Aufzugsanlagen, Anlagen in explosionsgefährdeten Bereichen und Druckanlagen) berücksichtigen.

Anlagen, deren Sicherheitsfunktionen rein mechanisch oder analog aufgebaut sind und bei denen betriebliche Einrichtungen nicht durch Cyberbedrohungen gefährdet werden können, sind von diesen Cybersecurity Anforderungen nicht betroffen. „Analog“ bedeutet in diesem Zusammenhang, dass es keine digitalen Bauteile gibt, die Daten verarbeiten oder umprogrammiert werden können, sodass der sichere Betrieb der Anlage durch Cyberangriffe nicht gefährdet ist.

Mehr Sicherheit und Compliance mit der Deutschen Mittelstandsschutz

Die vielen Vorschriften und Regelungen können ganz schön schwierig sein. Die Deutsche Mittelstandsschutz unterstützt dich bei allen wichtigen Punkten rund um Elektrosicherheit. Wir bieten dir verschiedene flexible Leistungen wie Beauftragte für Elektrosicherheit und regelmäßige Wartung deiner Anlagen. So bist du gesetzlich perfekt abgesichert.

Wir bieten dir auch die Möglichkeit mit unserer Plattform SMART CAMPUS die verpflichtende Gefährdungsbeurteilung schnell und einfach online durchzuführen. Auch viele wichtige Mitarbeiterschulungen findest du in unserem E-Learning Programm. Teste es am besten selbst. Lass dir jetzt von unserem Fachpersonal ein unverbindliches Angebot erstellen. Wir freuen uns auf deine Anfrage!

Beitragsbild: © Adobe Stock, industrieblick