IT-Sicherheitskatalog – IT-Sicherheit im Energiesektor I DQS

Informationssicherheit für Energienetzbetreiber und Energieerzeuger

Mit den Änderungen des Energiewirtschaftsgesetzes (EnWG) und den Vorgaben des IT-Sicherheitskatalogs liegen konkrete gesetzliche Anforderungen zur Informationssicherheit von kritischen Anlagen im Energiesektor vor. Es wird von den Betreibern der Nachweis einer Zertifizierung auf Basis von ISO 27001, ergänzt um energiespezifische Anforderungen gemäß ISO 27019 und des IT-Sicherheitskatalogs gefordert.

KRITIS Sektor Energie – gesetzliche Grundlagen

Um die Sicherheit informationstechnischer Systeme im Energiesektor zu erhöhen, veröffentlichte die Bundesnetzagentur (BNetzA) Mitte 2015 den IT-Sicherheitskatalog. Dieser fordert von Betreibern, die unter die Anlagenkategorien gemäß §11 EnWG fallen grundsätzlich die Umsetzung eines vollumfänglichen Informationssicherheits-Managementsystems gemäß der internationalen Norm ISO 27001.

Die Anforderungen an das Informationssicherheits-Managementsystems (ISMS) werden durch die des IT-Sicherheitskatalogs (IT-SiKat) erweitert. Hinzu kommen Anforderungen von ISO/IEC 27019, die sich auf spezifische Besonderheiten des KRITIS Sektors Energie beziehen.

Mit der neuen KRITIS-Verordnung von 2021 hat der Gesetzgeber verschiedene Schwellwerte angepasst, ab denen eine Anlage zu den kritischen Infrastrukturen (KRITIS) gezählt werden muss. Im Zuge dessen werden weitere Anlagen in die Kategorie der kritischen Infrastrukturen fallen.

weniger anzeigen

Informationen zum Regelwerk ISO 27019

ISO/IEC 27019 ist ein verpflichtender Leitfaden für ein Informationssicherheits-Managementsystem von Steuerungssystemen der Energieversorgung. Die Norm basiert auf dem Leitfaden für Informationssicherheitsmaßnahmen ISO/IEC 27002 und enthält ergänzende sektorspezifische Anforderungen, die über die allgemeinen Maßnahmen der ISO hinausgehen.

ISO 27019 unterstützt Sie dabei, Ihre elektronischen Prozesssteuerungssysteme zu sichern, die zur Steuerung und Überwachung der Produktion, Übertragung, Speicherung und Verteilung von elektrischer Energie, Gas, Öl und Wärme sowie zur Steuerung der damit verbundenen unterstützenden Prozesse verwendet werden.

Die aktuelle, deutsche Version stammt aus dem Jahr 2020: DIN EN ISO/IEC 27019:2020-08 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmaßnahmen für die Energieversorgung.

Die Normen ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC 27019 gehören zur ISO 2700x-Reihe, den Standards für Informationssicherheit. Hierbei handelt es sich um eine internationale Normenfamilie zur IT-Sicherheit und Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Alle Normen sind beim Beuth Verlag erhältlich.

weniger anzeigen

Was gilt für Netzbetreiber und Energieanlagenbetreiber?

Das Energiewirtschaftsgesetz (Gesetz über die Elektrizitäts- und Gasversorgung – EnWG) wendet sich in Absatz 1a an Betreiber von Gas-, Öl- und Energieversorgungsnetzen und mit Absatz 1b an Betreiber von Energieerzeugungsanlagen. Dabei gelten unterschiedliche Anforderungen an das Informationssicherheits-Managementsystem (ISMS).

Für Netzbetreiber gilt:

Die Anforderungen an das ISMS müssen zusammen mit den Anforderungen des IT-Sicherheitskatalogs und dem Standard ISO 27019 (hier: mit Bezug auf sektorspezifische Besonderheiten) erfüllt werden.

Bis zum 31. Januar 2018 mussten Netzbetreiber eine Zertifizierung gemäß dieser „Trilogie“ durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur (BNetzA) nachweisen.

Ein Konformitätsbewertungsprogramm für Netzbetreiber liegt vor.

Für Betreiber von Energieanlagen (Sparten: Strom und Gas) gilt:

Wenn die Schwellenwerte der BSI-KritisV erreicht bzw. überschritten werden, dann müssen Energieanlagen-Betreiber die Anforderungen des Sicherheitskatalogs II als Minimalanforderungen umsetzen.

Danach ist ein ISMS nach ISO/IEC 27001 aufzubauen und zu betreiben, welches zertifiziert werden muss und gegenüber der BNetzA nachzuweisen ist.

Die aktuellen Schwellenwerte sind in der BSI-KritisV (Anhang 1, Teil 3) festgelegt. Der Nachweis in Bezug auf die Umsetzung der Anforderungen aus dem Sicherheitskatalog II musste bis zum 31.03.2021 erfolgen.

Ein Konformitätsbewertungsprogramm für Energieanlagenbetreiber liegt noch nicht vor. Eine Anforderung wird die Umsetzung eines wirksamen ISMS nach dem internationalen Standard ISO 27001 sein. Nutzen Sie die Zeit, um sich als Unternehmen darauf vorzubereiten.

weniger anzeigen

Warum ist eine IT-Sicherheitskatalog Zertifizierung sinnvoll?

Zusätzlich zu den gesetzlichen Anforderungen an Unternehmen des Energiesektors bringt eine Zertifizierung nach dem auch als „Trilogie“ bezeichneten Anforderungskatalog eine Reihe von Vorteilen mit sich. Vor allem aber ist es ein anerkannter Nachweis über die Wirksamkeit Ihrer Sicherheitsmaßnahmen innerhalb Ihres Unternehmens.

Weitere Vorteile sind:

Systematische Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen
Fortlaufende Verbesserung des Sicherheitsniveaus und der Widerstandsfähig gegen ungewollte Zugriffe innerhalb Ihrer Prozesse
Stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
Mehr Handlungs- und Rechtssicherheit und die Einhaltung relevanter Compliance-Anforderungen
Ein hohes Maß an Vertrauen und Loyalität bei allen interessierten Parteien

weniger anzeigen

Wer darf eine Zertifizierung nach dem IT-Sicherheitskatalog durchführen?

Die Zertifizierung darf nur durch eine von der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditierte Zertifizierungsstelle, wie der DQS, erbracht werden. Die DQS ist für Anlagen gemäß §11 EnWG Absatz 1a durch die DAkkS akkreditiert und strebt dies für das gesamte Anlagenspektrum des IT-Sicherheitskatalogs an. Ergänzend bietet die DQS auch die Abnahme von Smart Meter Gateways nach den Vorgaben des BSI.

Mit unserer Erfahrung aus mehr als 20 Jahren in der Zertifizierung von Informationssicherheits-Managementsystemen sind wir Ihr kompetenter Partner. Wir liefern Antworten auf alle Fragen rund um die Zertifizierung nach dem IT-Sicherheitskatalog gemäß §11 Absatz 1a Energiewirtschaftsgesetz sowie §11 Absatz 1b EnWG.

Die Akkreditierung für BS 7799-2, dem Vorläufer der internationalen Norm ISO/IEC 27001, erhielt die DQS als erste deutsche Zertifizierungsstelle im Dezember 2000.

weniger anzeigen

Zur Revision von ISO 27019

Die aktuelle Norm DIN EN ISO/IEC 27019 wurde im August 2020 veröffentlicht. Sie enthält vor allem Erweiterungen für Informationssicherheitsmaßnahmen auf der Grundlage von ISO/IEC 27002 für Prozessleitsysteme, die von der Energieversorgungsindustrie zur Steuerung und Überwachung zugehöriger Prozesse verwendet werden. Gegenüber der Vorgängerversion DIN ISO/IEC TR 27019 aus dem Jahr 2015 umfasst der Anwendungsbereich nun auch den Öl-basierenden Energiesektor.

Wie läuft eine IT-Sicherheitskatalog Zertifizierung ab?

Die Zertifizierung wird auf Basis der Norm ISO 27001 in Umsetzung von ISO 27019 und den erweiterten Anforderungen des jeweiligen IT-Sicherheitskatalogs vorgenommen. Und: Sie muss durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur nachgewiesen werden (Zertifikatsvorlage durch den Netzbetreiber und Meldepflicht des Zertifizierers).

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen, Ihr derzeitige Informationssicherheit und die Ziele einer IT-Sicherheitskatalog Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens und ihrer Anlagen zugeschnittenes Angebot.

Gerade bei größeren Zertifizierungsprojekten ist ein Planungsmeeting eine wertvolle Gelegenheit, um Ihren Auditor kennenzulernen sowie ein individuelles Auditprogramm für alle involvierten Bereiche und Standorte zu entwickeln. Ein Voraudit bietet zudem die Möglichkeit, bereits im Vorfeld Verbesserungspotenzial, aber auch Stärken Ihres Managementsystems zu ermitteln. Beide Dienstleistungen sind optional.

Das Zertifizierungsaudit startet mit einer Systemanalyse (Audit Stufe 1) und der Bewertung Ihrer Dokumentation, der Ziele, der Ergebnisse Ihrer Managementbewertung, die Prüfung des Geltungsbereiches und der internen Audits. Dabei stellen wir fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse und ob Sie alle Anforderungen der „Trilogie“ erfüllen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Pläne für konkrete Maßnahmen vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Sie erhalten einen Auditbericht, der die Auditergebnisse dokumentiert. Sind alle Normanforderungen erfüllt, erhalten Sie ein international anerkanntes Zertifikat.

Um sicherzustellen, dass Ihr Unternehmen alle wichtigen Anforderungen auch nach dem Zertifizierungsaudit erfüllt, führen wir in einem jährlichen Turnus Überwachungsaudits durch. So wird die kontinuierliche Verbesserung Ihres Informationssicherheits-Managementsystems und Ihrer Geschäftsprozesse kompetent begleitet.

Das Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen des IT-Sicherheitskatalogs zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.

Was kostet eine IT-Sicherheitskatalog Zertifizierung?

Wie hoch die Kosten für eine IT-Sicherheitskatalog Zertifizierung ausfallen, hängt von verschiedenen Faktoren ab. So spielt es zum Beispiel eine wichtige Rolle, ob bereits ein zertifiziertes Managementsystem eingeführt wurde. Darüber hinaus haben die Größe Ihres Unternehmens sowie die Komplexität und Steuerung der Maßnahmen Einfluss auf die Dauer des Audits und den Preis. Aus diesen Gründen lassen sich die Kosten für die Zertifizierung nach IT-Sicherheitskatalog nicht pauschal benennen. Wir machen Ihnen aber gerne ein individuelles Angebot für Ihr Unternehmen.

Das können Sie von uns erwarten

Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
Branchenerfahrene Auditoren und Experten mit ausgeprägter Fachkenntnis
Wertschöpfende Einblicke in die Informationssicherheit Ihres Unternehmens
Akkreditierte Zertifikate mit internationaler Akzeptanz

Persönliche reibungslose Betreuung durch unsere Spezialisten – regional, national und international
Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
Aussagekräftige Auditberichte einschließlich Handlungsempfehlungen

weniger anzeigen

Wählen Sie Ihr Land oder Sprache

IT-Sicherheitskatalog Zertifizierung