it-sicherheitskatalog-dqs-hochspannungstransformator und blauer himmel

IT-Si­cher­heits­ka­ta­log Zer­ti­fi­zie­rung

Ihre Anfrage


In­for­ma­ti­ons­si­cher­heit für En­er­gie­netz­be­trei­ber und En­er­gie­er­zeu­ger

Mit den Änderungen des En­er­gie­wirt­schafts­ge­set­zes (EnWG) und den Vorgaben des IT-Si­cher­heits­ka­ta­logs liegen konkrete ge­setz­li­che An­for­de­run­gen zur In­for­ma­ti­ons­si­cher­heit von kri­ti­schen Anlagen im En­er­gie­sek­tor vor. Es wird von den Be­trei­bern der Nachweis einer Zer­ti­fi­zie­rung auf Basis von ISO 27001, ergänzt um en­er­gie­spe­zi­fi­sche An­for­de­run­gen gemäß ISO 27019 und des IT-Si­cher­heits­ka­ta­logs ge­for­dert.

Anerkannter Nachweis über die Wirksamkeit der Sicherheitsverfahren

Systematische Sicherung der Schutzziele von Informationen

Stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften

Fortlaufende Verbesserung des Sicherheitsniveaus

Gesetze

KRITIS Sektor Energie – ge­setz­li­che Grund­la­gen

Um die Si­cher­heit in­for­ma­ti­ons­tech­ni­scher Systeme im En­er­gie­sek­tor zu erhöhen, veröffentlichte die Bun­des­netz­agen­tur (BNetzA) Mitte 2015 den IT-Si­cher­heits­ka­ta­log. Dieser fordert von Be­trei­bern, die unter die An­la­gen­ka­te­go­rien gemäß §11 EnWG fallen grundsätzlich die Um­set­zung eines vollumfänglichen In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems gemäß der in­ter­na­tio­na­len Norm ISO 27001.

Die An­for­de­run­gen an das In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS) werden durch die des IT-Si­cher­heits­ka­ta­logs (IT-Si­Kat) er­wei­tert. Hinzu kommen An­for­de­run­gen von ISO/IEC 27019, die sich auf spe­zi­fi­sche Be­son­der­hei­ten des KRITIS Sektors Energie be­zie­hen.

Mit der neuen KRI­TIS-Ver­ord­nung von 2021 hat der Ge­setz­ge­ber ver­schie­de­ne Schwell­wer­te an­ge­passt, ab denen eine Anlage zu den kri­ti­schen In­fra­struk­tu­ren (KRITIS) gezählt werden muss. Im Zuge dessen werden weitere Anlagen in die Ka­te­go­rie der kri­ti­schen In­fra­struk­tu­ren fal­len.

kritis-gesetzliche-grundlagen-dqs-grafische dar­stel­lung ge­setz­li­che grund­la­gen
mehr anzeigen
weniger anzeigen
Beschreibung Standard/Regelwerk

In­for­ma­tio­nen zum Re­gel­werk ISO 27019

ISO/IEC 27019 ist ein ver­pflich­ten­der Leit­fa­den für ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem von Steue­rungs­sys­te­men der En­er­gie­ver­sor­gung. Die Norm basiert auf dem Leit­fa­den für Informationssicherheitsmaßnahmen ISO/IEC 27002 und enthält ergänzende sek­tor­spe­zi­fi­sche An­for­de­run­gen, die über die all­ge­mei­nen Maßnahmen der ISO hin­aus­ge­hen.

ISO 27019 unterstützt Sie dabei, Ihre elek­tro­ni­schen Pro­zess­steue­rungs­sys­te­me zu sichern, die zur Steue­rung und Überwachung der Pro­duk­ti­on, Übertragung, Spei­che­rung und Ver­tei­lung von elek­tri­scher Energie, Gas, Öl und Wärme sowie zur Steue­rung der damit ver­bun­de­nen unterstützenden Prozesse ver­wen­det wer­den.

Die ak­tu­el­le, deutsche Version stammt aus dem Jahr 2020: DIN EN ISO/IEC 27019:2020-08 – Informationstechnik –  Sicherheitsverfahren –  Informationssicherheitsmaßnahmen für die En­er­gie­ver­sor­gung.

Die Normen ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC 27019 gehören zur ISO 2700x-Rei­he, den Stan­dards für In­for­ma­ti­ons­si­cher­heit. Hierbei handelt es sich um eine in­ter­na­tio­na­le Nor­men­fa­mi­lie zur IT-Si­cher­heit und In­for­ma­ti­ons­si­cher­heit in pri­va­ten, öffentlichen oder gemeinnützigen Or­ga­ni­sa­tio­nen. Alle Normen sind bei DIN Media erhältlich.

mehr anzeigen
weniger anzeigen
Anforderungen

Was gilt für Netz­be­trei­ber und En­er­gie­an­la­gen­be­trei­ber?

Das En­er­gie­wirt­schafts­ge­setz (Gesetz über die Elektrizitäts- und Gas­ver­sor­gung – EnWG) wendet sich in Absatz 1a an Be­trei­ber von Gas-, Öl- und En­er­gie­ver­sor­gungs­net­zen und mit Absatz 1b an Be­trei­ber von En­er­gie­er­zeu­gungs­an­la­gen. Dabei gelten un­ter­schied­li­che An­for­de­run­gen an das In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem (ISMS).

Für Netz­be­trei­ber gilt:

Die An­for­de­run­gen an das ISMS müssen zusammen mit den An­for­de­run­gen des IT-Si­cher­heits­ka­ta­logs und dem Standard ISO 27019 (hier: mit Bezug auf sek­tor­spe­zi­fi­sche Be­son­der­hei­ten) erfüllt wer­den.

Bis zum 31. Januar 2018 mussten Netz­be­trei­ber eine Zer­ti­fi­zie­rung gemäß dieser „Trilogie“ durch eine von der DAkkS ak­kre­di­tier­te Zer­ti­fi­zie­rungs­stel­le gegenüber der Bun­des­netz­agen­tur (BNetzA) nach­wei­sen.

Ein Konformitätsbewertungsprogramm für Netz­be­trei­ber liegt vor. 

Für Be­trei­ber von En­er­gie­an­la­gen (Spar­ten: Strom und Gas) gilt:

Wenn die Schwel­len­wer­te der BSI-Kri­tisV erreicht bzw. überschritten werden, dann müssen Energieanlagen-Betreiber die An­for­de­run­gen des Si­cher­heits­ka­ta­logs II als Mi­ni­mal­an­for­de­run­gen um­set­zen.

Da­nach ist ein ISMS nach ISO/IEC 27001 auf­zu­bau­en und zu be­trei­ben, welches zer­ti­fi­ziert werden muss und gegenüber der BNetzA nach­zu­wei­sen ist.

Die ak­tu­el­len Schwel­len­wer­te sind in der BSI-Kri­tisV (Anhang 1, Teil 3) fest­ge­legt. Der Nachweis in Bezug auf die Um­set­zung der An­for­de­run­gen aus dem Si­cher­heits­ka­ta­log II musste bis zum 31.03.2021 erfolgen.

Ein Konformitätsbewertungsprogramm für En­er­gie­an­la­gen­be­trei­ber liegt noch nicht vor. Eine An­for­de­rung wird die Um­set­zung eines wirk­sa­men ISMS nach dem in­ter­na­tio­na­len Standard ISO 27001 sein. Nutzen Sie die Zeit, um sich als Un­ter­neh­men darauf vor­zu­be­rei­ten.

mehr anzeigen
weniger anzeigen
Mehrwert

Warum ist eine IT-Si­cher­heits­ka­ta­log Zer­ti­fi­zie­rung sinn­voll?

Zusätzlich zu den ge­setz­li­chen An­for­de­run­gen an Un­ter­neh­men des En­er­gie­sek­tors bringt eine Zer­ti­fi­zie­rung nach dem auch als „Trilogie“ be­zeich­ne­ten An­for­de­rungs­ka­ta­log eine Reihe von Vor­tei­len mit sich. Vor allem aber ist es ein an­er­kann­ter Nachweis über die Wirk­sam­keit Ihrer Sicherheitsmaßnahmen in­ner­halb Ihres Un­ter­neh­mens.

Wei­te­re Vorteile sind:

  • Sys­te­ma­ti­sche Si­che­rung der Schutz­zie­le Ver­trau­lich­keit, Verfügbarkeit, Integrität, Authentizität und Ver­bind­lich­keit von In­for­ma­tio­nen
  • Fort­lau­fen­de Ver­bes­se­rung des Si­cher­heits­ni­veaus und der Widerstandsfähig gegen un­ge­woll­te Zugriffe in­ner­halb Ihrer Prozesse
  • Stärkeres Si­cher­heits­be­wusst­sein von Mit­ar­bei­tern und Führungskräften
  • Mehr Hand­lungs- und Rechts­si­cher­heit und die Ein­hal­tung re­le­van­ter Com­pli­ance-An­for­de­run­gen
  • Ein hohes Maß an Ver­trau­en und Loyalität bei allen in­ter­es­sier­ten Par­tei­en
mehr anzeigen
weniger anzeigen
Wer darf zertifizieren

Wer darf eine Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log durch­füh­ren?

Die Zer­ti­fi­zie­rung darf nur durch eine von der Deut­schen Ak­kre­di­tie­rungs­stel­le GmbH (DAkkS) ak­kre­di­tier­te Zer­ti­fi­zie­rungs­stel­le, wie der DQS, erbracht werden. Die DQS ist für Anlagen gemäß §11 EnWG Absatz 1a durch die DAkkS ak­kre­di­tiert und strebt dies für das gesamte An­la­gen­spek­trum des IT-Si­cher­heits­ka­ta­logs an. Ergänzend bietet die DQS auch die Abnahme von Smart Meter Gateways nach den Vorgaben des BSI.

Mit unserer Er­fah­rung aus mehr als 20 Jahren in der Zer­ti­fi­zie­rung von In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­te­men sind wir Ihr kom­pe­ten­ter Partner. Wir liefern Ant­wor­ten auf alle Fragen rund um die Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log gemäß §11 Absatz 1a En­er­gie­wirt­schafts­ge­setz sowie §11 Absatz 1b EnWG.

Die Ak­kre­di­tie­rung für BS 7799-2, dem Vorläufer der in­ter­na­tio­na­len Norm ISO/IEC 27001, erhielt die DQS als erste deutsche Zer­ti­fi­zie­rungs­stel­le im Dezember 2000.

mehr anzeigen
weniger anzeigen
Qualität

Zur Revision von ISO 27019

Die aktuelle Norm DIN EN ISO/IEC 27019 wurde im August 2020 veröffentlicht. Sie enthält vor allem Er­wei­te­run­gen für Informationssicherheitsmaßnahmen auf der Grund­la­ge von ISO/IEC 27002 für Pro­zess­leit­sys­te­me, die von der En­er­gie­ver­sor­gungs­in­dus­trie zur Steue­rung und Überwachung zugehöriger Prozesse ver­wen­det werden. Gegenüber der Vorgängerversion DIN ISO/IEC TR 27019 aus dem Jahr 2015 umfasst der An­wen­dungs­be­reich nun auch den Öl-basierenden En­er­gie­sek­tor.

Business28.png

Wie läuft eine IT-Si­cher­heits­ka­ta­log Zer­ti­fi­zie­rung ab?

Die Zertifizierung wird auf Basis der Norm ISO 27001 in Umsetzung von ISO 27019 und den erweiterten Anforderungen des jeweiligen IT-Sicherheitskatalogs vorgenommen. Und: Sie muss durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur nachgewiesen werden (Zertifikatsvorlage durch den Netzbetreiber und Meldepflicht des Zertifizierers).

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer IT-Sicherheitskatalog Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens und ihrer Anlagen zugeschnittenes Angebot.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der „Trilogie“ erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie ein international anerkanntes Zertifikat.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Zertifizierungsaudit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Das Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.

Banking13.png

Was kostet eine IT-Si­cher­heits­ka­ta­log Zer­ti­fi­zie­rung?

Wie hoch die Kosten für eine IT-Si­cher­heits­ka­ta­log Zer­ti­fi­zie­rung aus­fal­len, hängt von ver­schie­de­nen Faktoren ab. So spielt es zum Beispiel eine wichtige Rolle, ob bereits ein zer­ti­fi­zier­tes Ma­nage­ment­sys­tem eingeführt wurde. Darüber hinaus haben die Größe Ihres Un­ter­neh­mens sowie die Komplexität und Steue­rung der Maßnahmen Einfluss auf die Dauer des Audits und den Preis. Aus diesen Gründen lassen sich die Kosten für die Zer­ti­fi­zie­rung nach IT-Si­cher­heits­ka­ta­log nicht pauschal be­nen­nen. Wir machen Ihnen aber gerne ein in­di­vi­du­el­les Angebot für Ihr Un­ter­neh­men.

Business2.png

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Managementsystemen und Pro­zes­sen
  • Bran­chen­er­fah­re­ne Auditoren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Ein­bli­cke in die In­for­ma­ti­ons­si­cher­heit Ihres Un­ter­neh­mens
  • Ak­kre­di­tier­te Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Ak­zep­tanz
  • Persönliche rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kosten
  • Aussagekräftige Au­dit­be­rich­te einschließlich Hand­lungs­emp­feh­lun­gen
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für die ISO 27019 Zertifizierung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns