IT-Sicherheitskatalog: Zertifizierte Sicherheit für Netzbetreiber

Zertifizierung nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG

Der „IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG" der Bundesnetzagentur stellt Anforderungen an Netzbetreiber, wie z.B. Stadtwerke. Gefordert wird die Einführung eines Informationssicherheits-Managementsystems (ISMS) für den sicheren Netzbetrieb, sowie dessen Zertifizierung. 

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) gemäß IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG akkreditiert. Damit kann die datenschutz cert GmbH als akkreditierte Zertifizierungsstelle Ihr ISMS für den sicheren Netzbetrieb  für die beiden Sparten Strom und Gas zertifizieren.

Einführung eines ISMS für den sicheren Netzbetrieb

Bei der Einführung des Informationssicherheits-Managementsystems (ISMS) ist neben der ISO/IEC 27001 die branchenspezifische Norm ISO/IEC 27019 zur IT-Sicherheit bei Steuerungssystemen der Energieversorgung zu berücksichtigen.

Was gehört zum Geltungsbereich (Scope) des ISMS für den sicheren Netzbetrieb?

Der Scope muss alle Anwendungen, Systeme und Komponenten enthalten, die für einen sicheren Netzbetrieb notwendig sind. Damit sind insbesondere alle Systeme des Netzbetreibers im Scope erfasst, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss auf die Netzfahrweise nehmen.

Was muss die Risikoanalyse des Netzbetreibers enthalten?

  • Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit 
  • Schadenskategorien: „kritisch“, „hoch“, „mäßig“
  • Einstufung: Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, als mindestens „hoch“
  • Beachtung besonderer Schadensszenarien

Was muss im Netzstrukturplan enthalten sein?

  • alle Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen.
  • insbesondere „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“.

Ansprechpartner IT-Sicherheit beim Netzbetreiber

Der Bundesnetzagentur (BNetzA) muss ein Ansprechpartner gemeldet werden.

Auditierung und Zertifizierung des ISMS für den sicheren Netzbetrieb

Das ISMS muss von einer für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz akkreditierten Zertifizierungsstelle auditiert und zertifiziert werden. Das Zertifikat muss bis zum 31.01.2018 der BNetzA übermittelt werden.

Bezug zu ISO 9001, ISO 14001 & ISO 50001

Über unseren Kooperationspartner, die Intertek Certification GmbH, bieten wir die Regelwerke: Qualitätsmanagement gem. ISO 9001, Energiemanagement gem. ISO 14001 und Umweltmanagement gem. ISO 50001 an.
Hintergrund dieser Kooperation ist die zunehmende Herausforderung, verschiedene Standards und Regelwerke über ein integriertes Managementsystem zu verwalten. Zum Beispiel, wenn neben ISO/IEC 27001 für die Informationssicherheit ein Managementsystem für Qualität (ISO 9001), Energie (ISO 14001) oder Umwelt (ISO 50001) aufrechterhalten und deren Umsetzung durch ein Zertifikat nachgewiesen werden muss. Diesen Ansatz unterstützen die Managementsysteme schon durch die Norm, weil diese ISO-Normen einen vereinheitlichten Prozessansatz in den Normkapiteln 4 bis 10 unterstützen.
Welche Vorteile bringt Ihnen das? Wenn Sie mehrere Standards und Regelwerke umsetzen und nachweisen müssen, spart Ihnen ein integriertes Managementsystem unnötigen Aufwand: einerseits bei Regelungen und Prozessen, andererseits bei der Auditierung. Wenn wir zusammen mit unserem Kooperationspartner die verschiedenen Regelwerke zusammen auditieren, nutzen wir Synergien und vermeiden doppelte Audittätigkeiten. Ihr Vorteil: Ein zentraler Ansprechpartner, geringere Kosten und ein möglichst geringer Auditaufwand.

IT-Sicherheitskatalog gem. §11 Abs. 1b EnWG für Betreiber von Energieanlagen

Neben dem oben erwähnten IT-Sicherheitskatalog für Netzbetreiber wird derzeit ein zweiter IT-Sicherheitskatalog vorbereitet – dieser gilt für Betreiber von Energieanlagen, die als Kritische Infrastruktur gem. BSI-Gesetz eingestuft wurden.

Inhaltlicher Schwerpunkt ist auch ein Informationssicherheits-Management (ISMS) gem. ISO/IEC 27001. Wie auch beim ersten IT-Sicherheitskatalog macht die BNetzA hierbei Vorgaben zum Geltungsbereich (Scope) und zur Risikoanalyse. Darüber hinaus sind Anforderungen der ISO/IEC 27019 und des VGB-Standards „IT-Sicherheit für Erzeugungsanlagen“ bei der ISMS-Sicherheitskonzeption zu berücksichtigen.

Das Setting rund um das Thema Zertifizierung und Akkreditierung ist sehr ähnlich: Ein ISMS eines Betreibers für Energieanlagen muss auditiert und zertifiziert werden. Ferner wird ein eigenes Konformitätsbewertungsprogramm erstellt werden, auf dessen Grundlagen sich Zertifizierungsstellen bei der DAkkS akkreditieren lassen können; diese Zertifizierungsstellen werden dann die Zertifikate gem. §11 Abs. 1b EnWG erstellen dürfen.

Lt. Entwurf des IT-Sicherheitskatalogs 2 erwartet die BNetzA die Vorlage eines entsprechenden Zertifikates 1,5 Jahre nach Inkrafttreten.   

Ihr Weg zur Zertifizierung Ihres ISMS gemäß IT-Sicherheitskatalog

Wenn Sie direkt mit einer Zertifizierung starten möchten, füllen Sie bitte unser Anfrageformular aus und schicken es an office@remove-this.datenschutz-cert.de. Sie erhalten dann von uns ein unverbindliches detailliertes Angebot für die Auditierung und Zertifizierung Ihres ISMS. 

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) gemäß IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG akkreditiert. Damit kann die datenschutz cert GmbH als akkreditierte Zertifizierungsstelle Ihr ISMS für den sicheren Netzbetrieb zertifizieren für die beiden Sparten Strom und Gas.

Wenn Sie in Ihrem Unternehmen bereits andere Managementsystemnormen unterstützen – wie etwa ein Qualitätsmanagementsystem gem. ISO 9001, ein Energiemanagementsystem gem. ISO 14001 oder ein Umweltmanagementsystem gem. ISO 50001, könnte der Ansatz eines integrierten Managementsystems für Sie Vorteile bieten. Weitere Details zur gemeinsamen Auditierung finden Sie hier

Rufen Sie uns gerne an, wenn Sie noch Fragen haben!

Ansprechpartner

Dipl. Betriebswirt (FH)

Thomas Heinemann

Informationssicherheitsexperte

Audits/Zertifizierungen

Telefon: +49 (0) 421 69 66 32-520

theinemann@datenschutz-cert.de