TRBS 1115 Teil 1: neue Pflichten zum Schutz vor Cyberrisiken
Die TRBS 1115 Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR)“ konkretisiert die Betriebssicherheitsverordnung hinsichtlich der Cybersicherheit. Sie wurde im Januar 2026 aktualisiert und bringt für Unternehmer erweiterte Betreiberpflichten. Die neuen Vorschriften erfordern eine intensivere Zusammenarbeit der Akteure der IT mit den Akteuren der Arbeitssicherheit. Für Unternehmer ohne eigenes Cybersecurity-Know-how enthält die neue Anlage 2 Praxisbeispiele.
Zuletzt aktualisiert am: 10. Februar 2026
Unternehmer, die digitale Steuerungsanlagen betreiben, müssen laut aktualisierter TRBS 1115 Teil 1 seit dem 15.01.2026 neue Betreiberpflichten hinsichtlich der Cybersicherheit erfüllen:
Verknüpfung von IT und Arbeitssicherheit
Gemäß der aktualisierten TRBS 1115 Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR)“ müssen Unternehmer in den Gefährdungsbeurteilungen die Gefahr von Cyberangriffen berücksichtigen. Damit werden die IT und die Arbeitssicherheit bei MSR-Systemen wie z.B. Druckreglern oder Not-Aus-Systemen verknüpft. Maßnahmen, die dem aktuellen Stand der Technik entsprechen, sind von den unterschiedlichen Akteuren gemeinsam zu planen und umzusetzen.
Umsetzung der neuen Pflichten
Zu berücksichtigen sind mögliche Cyberangriffe als erhebliche Betriebsgefahr über den gesamten Lebenszyklus einer Anlage hinweg – von der Installation über den laufenden Betrieb bis zur Stilllegung. Zu beurteilen sind z.B. Gefahren durch unbefugten Zugang, durch Manipulationen der Steuerlogik oder durch Überlastungsangriffe (Denial-of-Service-Attacken). Umgesetzte Schutzmaßnahmen sind regelmäßig zu überprüfen und zu aktualisieren. Die Konzepte und die Schutzmaßnahmen sind zu dokumentieren.
Neuer Anhang unterstützt die Umsetzung
Als Umsetzungshilfe hat das BMAS einen neuen Anhang 2 mit Praxishilfen eingefügt. Er enthält Beispiele für technische und organisatorische Maßnahmen mit dem Ziel, Unternehmer ohne eigenes Cybersecurity-Know-how zu unterstützen. Dabei werden keine bestimmten Technologien gefordert. Allerdings legen die Beispiele mehrschichtige Sicherheitskonzepte (Defense in Depth) nahe.
Prüfungen durch zugelassene Überwachungsstellen (ZÜS)
Zugelassene Überwachungsstellen (ZÜS) werden in Zukunft explizit prüfen, ob Gefährdungsbeurteilungen auch Cyberrisiken berücksichtigen und technische und organisatorische Schutzmaßnahmen geplant und umgesetzt wurden. Neben Installation, Betrieb und Stilllegung wird insbesondere bei Änderungen geprüft, ob neue Gefährdungen durch Cyberrisiken beurteilt wurden.
