TRBS 1115: Cybersicherheit wird Pflicht für Betriebssicherheit

Deutsche Unternehmen müssen Cybersicherheit jetzt als festen Bestandteil ihrer Betriebssicherheit managen. Eine entscheidende Änderung der Technischen Regel für Betriebssicherheit (TRBS) 1115 Teil 1 schafft klare neue Pflichten. Sie betrifft alle Anlagen mit digitalen Steuerungssystemen.

Veröffentlicht wurde die Aktualisierung vom Bundesinstitut für Arbeitsschutz und Arbeitsmedizin (BAuA) am 15. Januar 2026. Sie konkretisiert die deutsche Betriebssicherheitsverordnung. Der Schritt unterstreicht einen großen regulatorischen Trend: Die klassische Arbeitssicherheit verschmilzt mit moderner IT-Sicherheit. Für Betriebe bedeutet das, dass die Abwehr digitaler Bedrohungen Teil ihres Kern-Compliance-Rahmenwerks wird.

Was die neue Regel konkret vorschreibt

Die überarbeitete TRBS 1115 Teil 1 trägt den Titel „Cybersicherheit für sicherheitsgerichtete Mess-, Steuer- und Regelungseinrichtungen“. Ihr Geltungsbereich ist weit gefasst. Er umfasst alle digitalen MSR-Systeme, die industrielle Prozesse überwachen und innerhalb sicherer Parameter halten. Dazu zählen Not-Aus-Systeme, Druckregler oder automatisierte Abschaltsequenzen.

Viele Unternehmen unterschätzen, wie umfassend die TRBS 1115 die Einbeziehung digitaler Risiken in die Gefährdungsbeurteilung fordert. Fehler wie unvollständige Risikoanalysen für MSR‑Anlagen, fehlende Dokumentation oder zu grobe Schutzmaßnahmen führen bei Kontrollen schnell zu Beanstandungen. Ein kostenloses Download‑Paket bietet prüfungssichere Vorlagen, Checklisten und eine Schritt‑für‑Schritt‑Anleitung, mit der Sie Ihre Gefährdungsbeurteilung an die neuen Anforderungen anpassen können. Gefährdungsbeurteilung-Vorlagen kostenlos herunterladen

Die Regel macht deutlich: Potenzielle Cyberangriffe sind als erhebliche Betriebsgefahren zu behandeln. Das betrifft unbefugten Zugang, die Manipulation von Steuerlogik oder Denial-of-Service-Attacken. Unternehmen müssen diese digitalen Risiken nun explizit in ihre gesetzlich vorgeschriebene Gefährdungsbeurteilung aufnehmen und bewerten. Es geht um den gesamten Lebenszyklus der Anlage – von der Installation über den Betrieb bis zur Stilllegung.

Von der Analyse zur Umsetzung: Neue Pflichten für Arbeitgeber

Auf Basis der Risikoanalyse sind Arbeitgeber verpflichtet, „stand der Technik“ entsprechende Maßnahmen umzusetzen. Die Regel gibt keine konkreten Technologien vor, legt aber einen mehrschichtigen Sicherheitsansatz nahe. Dazu können gehören:

• Netzsegmentierung, um kritische Steuerungssysteme zu isolieren.
• Strenge Zugangskontrollen mit minimalen Berechtigungen.
• Regelmäßiges Patch-Management und Beseitigung von Schwachstellen.
• Robuste Überwachungssysteme zur Erkennung anomaler Aktivitäten.

Cybersicherheit wird so zur Voraussetzung für den sicheren Betrieb moderner Industrieanlagen. Sie ist direkt mit der Fürsorgepflicht des Arbeitgebers verknüpft. Verstöße können bei Prüfungen durch zugelassene Überwachungsstellen (ZÜS) beanstandet werden.

Im Kontext von NIS2 und Cyber Resilience Act

Die Änderung der TRBS 1115 ist kein isolierter Schritt. Sie fügt sich nahtlos in die massive Überarbeitung der Cybersicherheitsgesetzgebung auf EU‑Ebene ein. Die Regel liefert den technischen Detailrahmen für umfassendere Richtlinien.

So hilft sie deutschen Unternehmen, ihre Pflichten aus der NIS2-Richtlinie zu erfüllen, die Deutschland Ende 2025 umgesetzt hat. NIS2 erweitert die Meldepflichten für IT‑Vorfälle für zehntausende „wesentliche“ und „wichtige“ Einrichtungen. Ergänzend wirkt der EU Cyber Resilience Act (CRA), der Sicherheitsanforderungen an Hersteller digitaler Produkte stellt. Während der CRA die Sicherheit „von der Stange“ regelt, governiert TRBS 1115 die sichere Implementierung und den Betrieb im deutschen Betrieb. Es entsteht eine lückenlose Verantwortungskette vom Hersteller bis zum Anwender.

Analyse: Die Lücke zwischen IT und OT schließt sich

Die Aktualisierung markiert einen Wendepunkt in der Industrieregulierung. Sie schließt formell die historische Lücke zwischen der Sicherheit der Informationstechnologie (IT) und der Betriebstechnologie (OT). Jahrzehntelang galten OT-Systeme in oft isolierten Netzwerken als immun gegen Cyberbedrohungen.

Durch Industrie 4.0 und die zunehmende Vernetzung ist diese „Luftlücke“ jedoch praktisch verschwunden. Kritische Sicherheitssysteme sind neuen Risiken ausgesetzt. Die Regel erzwingt daher einen kulturellen und organisatorischen Wandel in den Unternehmen. Sie verlangt die enge Zusammenarbeit von IT‑Sicherheitsexperten, Anlagenleitern und Fachkräften für Arbeitssicherheit – Bereiche, die traditionell oft getrennt agierten.

Die Verantwortung für die Abwehr cyber-physischer Risiken verlässt den Serverraum und verlagert sich in die Fertigungshalle. Experten erwarten, dass dieser Schritt Investitionen in industrielle Cybersicherheitslösungen befeuern und die Nachfrage nach Fachkräften mit IT‑ und OT‑Kenntnissen erhöhen wird. Die klare Verantwortung liegt letztlich beim Top-Management.

Ausblick: Ein neuer Standard für die Industrie

Für deutsche Unternehmen heißt es jetzt: handeln. Die oberste Priorität ist die Überprüfung und Aktualisierung bestehender Gefährdungsbeurteilungen. Die Integration einer gründlichen Cyber-Risikoanalyse für MSR-Anlagen ist keine Empfehlung mehr, sondern regulatorische Erwartung.

Der Markt für industrielle Cybersicherheitsberatung, Schulungen und Technologien dürfte stark wachsen. BAuA und andere Aufsichtsbehörden werden die Regeln voraussichtlich weiter anpassen, während sich Technologie und Bedrohungslage entwickeln. Die Botschaft an die deutsche Industrie ist eindeutig: In der digitalen Ära ist robuste Cybersicherheit nicht mehr nur zum Schutz von Daten essenziell. Sie ist ein fundamentaler und nicht verhandelbarer Bestandteil der Betriebssicherheit und rechtlichen Compliance.

PS: Handeln Sie jetzt und sichern Sie Ihre Anlagen vor Beanstandungen durch Aufsichtsbehörden. Praxisnahe Vorlagen und Checklisten erklären, wie Sie Cyber‑Risiken für MSR‑Systeme systematisch erfassen, bewerten und mit konkreten Maßnahmen im Regelbetrieb dokumentieren. Inklusive Musterformulierungen, die sich bewährt haben und die Vorbereitung auf Prüfungen durch ZÜS erleichtern. Jetzt GBU‑Checklisten & Muster sichern