Informationssicherheit für Energienetzbetreiber und Energieerzeuger
Anerkannter Nachweis über die Wirksamkeit der Sicherheitsverfahren
Systematische Sicherung der Schutzziele von Informationen
Stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
Fortlaufende Verbesserung des Sicherheitsniveaus
KRITIS Sektor Energie – gesetzliche Grundlagen
Die Anforderungen an das Informationssicherheits-Managementsystems (ISMS) werden durch die des IT-Sicherheitskatalogs (IT-SiKat) erweitert. Hinzu kommen Anforderungen von ISO/IEC 27019, die sich auf spezifische Besonderheiten des KRITIS Sektors Energie beziehen.
Mit der neuen KRITIS-Verordnung von 2021 hat der Gesetzgeber verschiedene Schwellwerte angepasst, ab denen eine Anlage zu den kritischen Infrastrukturen (KRITIS) gezählt werden muss. Im Zuge dessen werden weitere Anlagen in die Kategorie der kritischen Infrastrukturen fallen.
Informationen zum Regelwerk ISO 27019
ISO 27019 unterstützt Sie dabei, Ihre elektronischen Prozesssteuerungssysteme zu sichern, die zur Steuerung und Überwachung der Produktion, Übertragung, Speicherung und Verteilung von elektrischer Energie, Gas, Öl und Wärme sowie zur Steuerung der damit verbundenen unterstützenden Prozesse verwendet werden.
Die aktuelle, deutsche Version stammt aus dem Jahr 2020: DIN EN ISO/IEC 27019:2020-08 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung.
Die Normen ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC 27019 gehören zur ISO 2700x-Reihe, den Standards für Informationssicherheit. Hierbei handelt es sich um eine internationale Normenfamilie zur IT-Sicherheit und Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Alle Normen sind beim Beuth Verlag erhältlich.
Was gilt für Netzbetreiber und Energieanlagenbetreiber?
Für Netzbetreiber gilt:
Die Anforderungen an das ISMS müssen zusammen mit den Anforderungen des IT-Sicherheitskatalogs und dem Standard ISO 27019 (hier: mit Bezug auf sektorspezifische Besonderheiten) erfüllt werden.
Bis zum 31. Januar 2018 mussten Netzbetreiber eine Zertifizierung gemäß dieser „Trilogie“ durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur (BNetzA) nachweisen.
Ein Konformitätsbewertungsprogramm für Netzbetreiber liegt vor.
Für Betreiber von Energieanlagen (Sparten: Strom und Gas) gilt:
Wenn die Schwellenwerte der BSI-KritisV erreicht bzw. überschritten werden, dann müssen Energieanlagen-Betreiber die Anforderungen des Sicherheitskatalogs II als Minimalanforderungen umsetzen.
Danach ist ein ISMS nach ISO/IEC 27001 aufzubauen und zu betreiben, welches zertifiziert werden muss und gegenüber der BNetzA nachzuweisen ist.
Die aktuellen Schwellenwerte sind in der BSI-KritisV (Anhang 1, Teil 3) festgelegt. Der Nachweis in Bezug auf die Umsetzung der Anforderungen aus dem Sicherheitskatalog II musste bis zum 31.03.2021 erfolgen.
Ein Konformitätsbewertungsprogramm für Energieanlagenbetreiber liegt noch nicht vor. Eine Anforderung wird die Umsetzung eines wirksamen ISMS nach dem internationalen Standard ISO 27001 sein. Nutzen Sie die Zeit, um sich als Unternehmen darauf vorzubereiten.
Warum ist eine IT-Sicherheitskatalog Zertifizierung sinnvoll?
Weitere Vorteile sind:
- Systematische Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen
- Fortlaufende Verbesserung des Sicherheitsniveaus und der Widerstandsfähig gegen ungewollte Zugriffe innerhalb Ihrer Prozesse
- Stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
- Mehr Handlungs- und Rechtssicherheit und die Einhaltung relevanter Compliance-Anforderungen
- Ein hohes Maß an Vertrauen und Loyalität bei allen interessierten Parteien
Wer darf eine Zertifizierung nach dem IT-Sicherheitskatalog durchführen?
Mit unserer Erfahrung aus mehr als 20 Jahren in der Zertifizierung von Informationssicherheits-Managementsystemen sind wir Ihr kompetenter Partner. Wir liefern Antworten auf alle Fragen rund um die Zertifizierung nach dem IT-Sicherheitskatalog gemäß §11 Absatz 1a Energiewirtschaftsgesetz sowie §11 Absatz 1b EnWG.
Die Akkreditierung für BS 7799-2, dem Vorläufer der internationalen Norm ISO/IEC 27001, erhielt die DQS als erste deutsche Zertifizierungsstelle im Dezember 2000.
Zur Revision von ISO 27019
Wie läuft eine IT-Sicherheitskatalog Zertifizierung ab?
Die Zertifizierung wird auf Basis der Norm ISO 27001 in Umsetzung von ISO 27019 und den erweiterten Anforderungen des jeweiligen IT-Sicherheitskatalogs vorgenommen. Und: Sie muss durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur nachgewiesen werden (Zertifikatsvorlage durch den Netzbetreiber und Meldepflicht des Zertifizierers).
Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer IT-Sicherheitskatalog Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens und ihrer Anlagen zugeschnittenes Angebot.
Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.
Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.
Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der „Trilogie“ erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.
Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie ein international anerkanntes Zertifikat.
Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Zertifizierungsaudit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.
Das Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.
Was kostet eine IT-Sicherheitskatalog Zertifizierung?
Das können Sie von uns erwarten
- Persönliche reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
- Aussagekräftige Auditberichte einschließlich Handlungsempfehlungen