Page 30 - BACnet_Europe-Journal_43
P. 30
BACnet Insight
Auch Betreiberpflichten stehen im Fokus: Sie sollen die BSI TR-03183 Cyber-Resilienz-Anforderungen
organisatorischen Voraussetzungen schaffen, um auf https://www.bsi.bund.de/DE/Themen/
sicherheitsrelevante Ereignisse reagieren zu können. Unternehmen-und-Organisationen/Standards-und-
Dabei orientiert sich der Leitfaden eng an etablierten Nor- Zertifizierung/Technische-Richtlinien/TR-nach-
men wie IEC 62443 und ISO 27001, bleibt aber bewusst Thema-sortiert/tr03183/TR-03183_node.html
anwendungsnah – insbesondere für kleine und mittlere
Unternehmen. Durch ergänzende Checklisten und praxis- 4 EU – Webseite RED
bezogene Hinweise bietet der Leitfaden eine pragmatische https://single-market-economy.ec.europa.eu/
Hilfestellung für die sichere Umsetzung von GA-Projekten sectors/electrical-and-electronic-engineering-
im Spannungsfeld zwischen technischer Komplexität und industries-eei/radio-equipment-directive-red_en
regulatorischer Verantwortung.
BSI Pressemeldung RED
Beide Dokumente – das VDMA-Einheitsblatt 24774 und https://www.bsi.bund.de/DE/Service-Navi/Presse/
der WG-FM-Leitfaden – leisten einen wichtigen Beitrag Pressemitteilungen/Presse2025/250130_RED_
dazu, Cybersicherheit in der Gebäudeautomation greifbar, Cybersicherheit.html
planbar und nachhaltig umsetzbar zu machen. 12
5 English not available
Fazit TRBS 1115 Teil 1
https://www.baua.de/DE/Angebote/Regelwerk/
Die gesetzlichen Rahmenbedingungen im Bereich TRBS/TRBS-1115-Teil-1
Cybersicherheit befinden sich im Wandel – mit
neuen Pflichten für Betreiber und Hersteller durch 6 English not available
europäische Regelwerke wie NIS-2, CER, CRA und INF.13 Technisches Gebäudemanagement
RED. Doch unabhängig von Fristen und Vorschriften https://www.bsi.bund.de/SharedDocs/Downloads/
gilt: Wer seine Gebäude und Systeme langfristig DE/BSI/Grundschutz/IT-GS-Kompendium_
rungen an die Informationssicherheit aus Normen wie IEC sicher betreiben will, sollte jetzt proaktiv handeln. Die Einzel_PDFs_2023/10_INF_Infrastruktur/
62443 praxisgerecht auf den Kontext der Gebäudeauto- Anforderungen an Cybersicherheit lassen sich nicht auf INF_13_Technisches_Gebaeudemanagement_
mation zu übertragen. Dabei führt das Einheitsblatt grund- einzelne Maßnahmen reduzieren, sondern verlangen Edition_2023.pdf
legende Rollen- und Begriffsmodelle ein, weist konkrete ein durchdachtes Zusammenspiel aus technischen
Verantwortlichkeiten zu und beschreibt Maßnahmen zur Lösungen, organisatorischen Prozessen und klaren 7 English Version of the IT-Grundschutz-
Risikoanalyse und Risikominimierung. Es werden typische Zuständigkeiten. Nur so können Betreiber und Hersteller Compendium Edition 2022
Gefährdungslagen wie unautorisierter Zugriff, Manipula- der Gebäudeautomation die zunehmenden Risiken https://www.bsi.bund.de/SharedDocs/Downloads/
tion oder Systemausfall skizziert, und es werden Sicher- wirksam kontrollieren – und gleichzeitig die Chancen der EN/BSI/Grundschutz/International/bsi_it_gs_
heitsmaßnahmen vorgestellt – unter anderem zur Netz- Digitalisierung verantwortungsvoll nutzen. comp_2022.pdf
werksegmentierung, Zugriffskontrolle, Absicherung von
Fernzugängen sowie zum Schwachstellen- und Patch- INF.14 Gebäudeautomation (Edition 2023)
management. Zentrales Element ist die Einführung eines 1 IEU directive https://www.bsi.bund.de/SharedDocs/Downloads/
Zonierungsmodells (Zonen und Conduits) zur strukturier- https://eur-lex.europa.eu/legal-content/EN/TXT/ DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_
ten Sicherheitsarchitektur analog zur IEC 62443. Das Ein- PDF/?uri=CELEX%3A32022L2555 PDFs_2023/10_INF_Infrastruktur/INF_14_
heitsblatt betont zudem, dass Cybersicherheit kein einma- Gebaeudeautomation_Edition_2023.pdf
liger Akt, sondern ein kontinuierlicher Prozess im Betrieb Richtlinien der EU
ist – inklusive regelmäßiger Prüfung, Dokumentation und https://eur-lex.europa.eu/legal-content/DE/TXT/ 8 security.txt: A Simple File with Big Value
Schulung. Damit bietet es eine wertvolle Brücke zwischen PDF/?uri=CELEX%3A32022L2555 https://www.cisa.gov/news-events/news/
internationalen Normen und der Umsetzung in der Pra- securitytxt-simple-file-big-value
xis – insbesondere für Betreiber und Systemintegratoren. Informationsportal des BSI zu NIS-2
11 https://www.bsi.bund.de/DE/Themen/Regulierte- security.txt: Standardised contact information for IT
Wirtschaft/regulierte-wirtschaft_node.html security disclosures
Ergänzend dazu wurde der WG-FM-Leitfaden „Sicher- https://www.dguv.de/ifa/fachinfos/industrial-
heit in der Gebäudeautomation“ durch die BIG-EU veröf- 2 BSI information portal on CRA: security/kontaktstandard-security-txt/index-2.jsp
fentlicht. Dabei wird deutlich: Sicherheit beginnt bereits in www.bsi.bund.de/dok/cra-en
der Planungsphase. Der Leitfaden empfiehlt, frühzeitig ein BSI CS-149 Sicherheitskontakte mit Hilfe einer
übergreifendes Sicherheitskonzept zu erstellen, das alle Informationsportal BSI zu CRA: security.txt nach RFC 9116 angeben
Beteiligten – von der Planung über die Inbetriebnahme www.bsi.bund.de/dok/cra https://www.allianz-fuer-cybersicherheit.de/
bis zum laufenden Betrieb – einbezieht. Technische Emp- SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/
fehlungen beinhalten u. a. die Segmentierung von Netz- 3 BSI TR-03183: Cyber Resilience Requirements for BSI-CS_149.html
werken, die Vermeidung direkter Internetexponierung von Manufacturers and Products
Automationssystemen, sichere Fernwartungslösungen https://www.bsi.bund.de/EN/Themen/ 9 Common Security Advisory Framework (CSAF)
sowie ein strukturiertes Schwachstellenmanagement. Unternehmen-und-Organisationen/Standards-und- https://www.bsi.bund.de/EN/Themen/
Zertifizierung/Technische-Richtlinien/TR-nach- Unternehmen-und-Organisationen/Informationen-
Thema-sortiert/tr03183/TR-03183_node.html und-Empfehlungen/Empfehlungen-nach-
30 BACnet Europe Journal 43 09/25