High voltage transformer with a blue sky background

Certificación del catálogo de seguridad informática

Su co­n­su­l­ta


Seguridad de la información para operadores de redes energéticas y productores de energía

Con las enmiendas a la Ley de la Industria Energética (EnWG) y las especificaciones del catálogo de seguridad informática, existen requisitos legales específicos para la seguridad de la información de los sistemas críticos en el sector energético. Los operadores están obligados a presentar pruebas de certificación basadas en la norma ISO 27001, complementadas con requisitos específicos para la energía de conformidad con la norma ISO 27019 y el catálogo de seguridad informática.

Prueba reconocida de la eficacia de los procedimientos de seguridad

Salvaguarda sistemática de los objetivos de protección de la información

Mayor concienciación de los empleados y directivos en materia de seguridad

Mejora continua del nivel de seguridad

Gesetze

Sector energético KRITIS - base jurídica

Con el fin de aumentar la seguridad de los sistemas informáticos en el sector energético, la Agencia Federal de Redes (BNetzA) publicó a mediados de 2015 el catálogo de seguridad informática. Este catálogo exige a los operadores incluidos en las categorías de sistemas con arreglo al artículo 11 de la Ley del Sector Energético (EnWG) que implanten un sistema integral de gestión de la seguridad de la información conforme a la norma internacional ISO 27001.

Los requisitos del sistema de gestión de la seguridad de la información (SGSI) se amplían con los del catálogo de seguridad informática (IT-SiKat). Además, existen requisitos de la norma ISO/IEC 27019 relacionados con las características específicas del sector energético KRITIS.

Con el nuevo Reglamento KRITIS de 2021, el legislador ha ajustado varios umbrales a partir de los cuales un sistema debe clasificarse como infraestructura crítica (KRITIS). Como resultado, más instalaciones entrarán en la categoría de infraestructuras críticas.

Graphical representation legal bases in German
Mostrar más
Mostrar menos
Beschreibung Standard/Regelwerk

Información sobre la norma ISO 27019

La norma ISO/IEC 27019 es una directriz obligatoria para un sistema de gestión de la seguridad de la información para los sistemas de control del suministro de energía. La norma se basa en la directriz ISO/IEC 27002 para las medidas de seguridad de la información y contiene requisitos adicionales específicos del sector que van más allá de las medidas generales de la ISO.

La norma ISO 27019 le ayuda a proteger sus sistemas electrónicos de control de procesos que se utilizan para controlar y supervisar la producción, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor, así como para controlar los procesos de apoyo asociados.

La versión alemana actual data de 2020: DIN EN ISO/IEC 27019:2020-08 - Tecnología de la información - Procedimientos de seguridad - Medidas de seguridad de la información para el suministro de energía.

Las normas ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27019 pertenecen a la serie ISO 2700x, las normas para la seguridad de la información. Se trata de una familia internacional de normas para la seguridad informática y la seguridad de la información en organizaciones privadas, públicas o sin ánimo de lucro. Todas las normas están disponibles en Beuth Verlag.

Mostrar más
Mostrar menos
Anforderungen

¿Qué se aplica a los operadores de red y a los operadores de sistemas energéticos?

El apartado 1a de la Ley de la Industria Energética (Ley de Suministro de Electricidad y Gas - EnWG) está dirigido a los operadores de redes de suministro de gas, petróleo y energía y el apartado 1b está dirigido a los operadores de plantas de generación de energía. Se aplican diferentes requisitos al sistema de gestión de la seguridad de la información (SGSI).

Lo siguiente se aplica a los gestores de redes:

Los requisitos para el SGSI deben cumplirse junto con los requisitos del catálogo de seguridad de TI y la norma ISO 27019 (aquí: con referencia a las características específicas del sector).

Antes del 31 de enero de 2018, los operadores de red debían presentar a la Agencia Federal de Redes (BNetzA) una prueba de certificación conforme a esta "trilogía" por parte de un organismo de certificación acreditado por la DAkkS.

Existe un programa de evaluación de la conformidad para operadores de redes.

Se aplica a los operadores de sistemas energéticos (sectores de la electricidad y el gas):

Si se alcanzan o superan los valores umbral de la BSI-KritisV, los operadores de sistemas energéticos deberán aplicar los requisitos del Catálogo de Seguridad II como requisitos mínimos.

En consecuencia, debe establecerse y ponerse en funcionamiento un SGSI conforme a la norma ISO/IEC 27001, que debe estar certificado y acreditarse ante la BNetzA.

Los valores umbral actuales se establecen en la BSI-KritisV (Anexo 1, Parte 3). La prueba de la aplicación de los requisitos del Catálogo de Seguridad II debe presentarse antes del 31.03.2021.

Aún no se dispone de un programa de evaluación de la conformidad para los operadores de sistemas de energía. Uno de los requisitos será la implantación de un SGSI eficaz conforme a la norma internacional ISO 27001. Aproveche el tiempo para prepararse como empresa.

Mostrar más
Mostrar menos
Mehrwert

¿Por qué es útil la certificación del catálogo de seguridad informática?

Además de los requisitos legales para las empresas del sector energético, la certificación de acuerdo con el catálogo de requisitos, también conocido como "trilogía", tiene una serie de ventajas. Pero, sobre todo, es una prueba reconocida de la eficacia de las medidas de seguridad de su empresa.

Otras ventajas son

  • Garantía sistemática de los objetivos de protección de confidencialidad, disponibilidad, integridad, autenticidad y carácter vinculante de la información
  • Mejora continua del nivel de seguridad y resistencia al acceso no autorizado en sus procesos.
  • Mayor concienciación de los empleados y directivos en materia de seguridad
  • Mayor seguridad operativa y jurídica y cumplimiento de los requisitos de conformidad pertinentes.
  • Un alto nivel de confianza y lealtad entre todas las partes interesadas
Mostrar más
Mostrar menos
Wer darf zertifizieren

¿Quién puede realizar la certificación conforme al catálogo de seguridad informática?

La certificación sólo puede realizarla un organismo de certificación acreditado por la Deutsche Akkreditierungsstelle GmbH (DAkkS), como DQS. DQS está acreditada por la DAkkS para sistemas de conformidad con el apartado 1a del artículo 11 de la EnWG y aspira a estar acreditada para toda la gama de sistemas del catálogo de seguridad informática. Además, DQS también ofrece la aceptación de pasarelas de contadores inteligentes de acuerdo con las especificaciones BSI.

Con más de 20 años de experiencia en la certificación de sistemas de gestión de la seguridad de la información, somos su socio competente. Damos respuesta a todas las preguntas relacionadas con la certificación de acuerdo con el catálogo de seguridad de TI según la Sección 11 (1a) de la Ley de la Industria Energética y la Sección 11 (1b) de la Ley de la Industria Energética.

DQS fue el primer organismo de certificación alemán en recibir la acreditación para la norma BS 7799-2, predecesora de la norma internacional ISO/IEC 27001, en diciembre de 2000.

Mostrar más
Mostrar menos
Qualität

Revisión de la norma ISO 27019

La norma actual DIN EN ISO/IEC 27019 se publicó en agosto de 2020. Contiene principalmente extensiones para las medidas de seguridad de la información basadas en ISO/IEC 27002 para los sistemas de control de procesos utilizados por la industria de suministro de energía para controlar y supervisar los procesos asociados. En comparación con la versión anterior DIN ISO/IEC TR 27019 de 2015, el ámbito de aplicación incluye ahora también el sector energético basado en el petróleo.

Business28.png

Cómo funciona la certificación del catálogo de seguridad informática?

La certificación se realiza sobre la base de la norma ISO 27001 en aplicación de la norma ISO 27019 y los requisitos ampliados del respectivo catálogo de seguridad TI. Y: Debe ser verificada ante la Agencia Federal de Redes por un organismo de certificación acreditado por la DAkkS (presentación del certificado por parte del operador de la red y obligación de informar por parte del certificador).

El primer paso es hablar con nosotros sobre su empresa, su seguridad de la información actual y los objetivos de la certificación del catálogo de seguridad informática. Sobre la base de estas conversaciones, recibirá una oferta personalizada adaptada a las necesidades de su empresa y sus sistemas.

La auditoría de certificación comienza con un análisis del sistema (fase de auditoría 1) y la evaluación de su documentación, objetivos, los resultados de su revisión de la gestión, la revisión del alcance y las auditorías internas. Determinamos si su sistema de gestión está suficientemente desarrollado y preparado para la certificación.

En el siguiente paso (fase 2 de la auditoría del sistema), su auditor evalúa la eficacia de todos los procesos de gestión in situ y si cumple todos los requisitos de la "trilogía". Los resultados se presentan en una reunión final y, si es necesario, se acuerdan planes de medidas específicas.

Tras la auditoría de certificación, los resultados son evaluados por el organismo de certificación independiente DQS. Recibirá un informe de auditoría que documenta los resultados de la auditoría. Si se cumplen todos los requisitos de la norma, recibirá un certificado reconocido internacionalmente.

Para garantizar que su empresa sigue cumpliendo todos los requisitos importantes después de la auditoría de certificación, realizamos auditorías de vigilancia anuales. Esto proporciona apoyo experto para la mejora continua de su sistema de gestión de la seguridad de la información y sus procesos empresariales.

El certificado tiene una validez máxima de tres años. La recertificación se realiza con tiempo suficiente antes de su vencimiento para garantizar el cumplimiento continuo de los requisitos estándar aplicables del catálogo de seguridad informática. Una vez cumplidos, se expide un nuevo certificado.

Banking13.png

¿Cuánto cuesta la certificación del catálogo de seguridad informática?

El coste de la certificación del catálogo de seguridad informática depende de varios factores. Por ejemplo, desempeña un papel importante el hecho de que ya se haya implantado un sistema de gestión certificado. Además, el tamaño de su empresa, así como la complejidad y el control de las medidas, influyen en la duración de la auditoría y en el precio. Por estas razones, los costes de la certificación según el catálogo de seguridad informática no pueden darse en términos generales. No obstante, estaremos encantados de facilitarle un presupuesto personalizado para su empresa.

Business2.png

Lo que puede esperar de nosotros

  • Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
  • Auditores con experiencia en el sector y expertos con profundos conocimientos técnicos
  • Información de valor añadido sobre la seguridad de la información de su empresa
  • Certificados acreditados con aceptación internacional
  • Asistencia personalizada y sin complicaciones de nuestros especialistas a escala regional, nacional e internacional
  • Ofertas personalizadas con condiciones contractuales flexibles y sin costes ocultos
  • Informes de auditoría significativos con recomendaciones de actuación
Mostrar más
Mostrar menos
philipp tesar-dqs-contact person

Solicitud de presupuesto

Su persona de contacto Philipp Tesar

"Estaremos encantados de hacerle una oferta personalizada para la certificación ISO 27019."

Contáctenos

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctenos