Beitrag

datenschutz cert auf der E-world Fr 03.02.2017

IT-Sicherheitskatalog: aktueller Stand UPDATE

Die Anforderungen des IT-Sicherheitskatalogs für Netzbetreiber und ihre Umsetzung. Das wird auf der diesjährigen E-world ein zentrales Thema sein. Aber vor allem: Wer ist akkreditierte Zertifizierungsstelle?

Bekanntlich fordert der „IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG“ von Netzbetreibern bis zum 31.01.2018 ein Zertifikat einer akkreditierten Zertifizierungsstelle, das belegt, dass die Anforderungen dieses Sicherheitskatalogs umgesetzt werden. Gefordert wird insbesondere ein Informationssicherheits-Managementsystem gem. ISO/IEC 27001 i.V.m. ISO/IEC 27019 für den Bereich des Netzbetriebs.

Auch wenn bis dato (03.02.2017) noch keine Zertifizierungsstelle bei der DAkkS akkreditiert ist, so lassen sich schon heute zentrale Punkte klären:

Für wen gilt der IT-Sicherheitskatalog?

Der IT-Sicherheitskatalog gilt für so ziemlich alle Betreiber eines Energieversorgungsnetzes in den Bereichen Strom und Gas; ausgenommen sind nur sehr kleine Betreiber.
Im Fokus stehen die TK- und IT-Systeme, die für den sicheren Netzbetrieb notwendig sind. Der Netzbetreiber bleibt verantwortlich, auch wenn er Teilaspekte als Outsourcing in Anspruch nimmt.

Welche Anforderungen sind zu beachten?

Geltungsbereich: Der Scope muss alle Anwendungen, Systeme und Komponenten enthalten, die für einen sicheren Netzbetrieb notwendig sind. Damit sind insbesondere alle Systeme des Netzbetreibers im Scope erfasst, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss auf die Netzfahrweise nehmen.

  • ISMS: Ein Informationssicherheits-Managementsystems (ISMS) muss eingeführt werden. Zu berücksichtigen ist neben der ISO/IEC 27001 die branchenspezifische Norm ISO/IEC 27019. Übrigens wird ein ISMS immer gem. ISO/IEC 27001 zertifiziert, nicht nach ISO/IEC 27019.
  • Risikoanalyse: Die Risikoanalyse muss besondere Aspekte zu Schutzzielen und deren Einstufung berücksichtigen sowie besondere Schadensszenarien beachten.
  • Netzstrukturplan: Der Netzstrukturplan muss alle Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen, als relevante Aspekte berücksichtigen.
  • Ansprechpartner IT-Sicherheit: Der BNetzA muss ein Ansprechpartner gemeldet werden.
  • Auditierung und Zertifizierung: Das ISMS muss auditiert und zertifiziert werden. Das Zertifikat muss der BNetzA bis zum 31.01.2018 übermittelt werden.

Akkreditierung der datenschutz cert

Die datenschutz cert GmbH ist seit 2009 als Zertifizierungsstelle für ISO/IEC 27001 akkreditiert. Derzeit erweitern wir unsere Akkreditierung auf den Bereich des IT-Sicherheitskatalogs, um Netzbetreiber zertifizieren zu dürfen. Und zwar für die beiden Sparten Strom und Gas.

Aktueller Stand: Nachdem wir den Antrag gestellt haben, das Geschäftsstellenaudit erfolgt und das Witness-Audit absolviert ist, liegt unser Verfahren beim Akkreditierungsausschuss. Damit dürften wir zu den Zertifizierungsstellen gehören, die die DAkkS in ihrer Meldung vom 27.01.2017  genannt hat.

Sobald unsere Akkreditierung für diesen Bereich bestätigt und ausgesprochen wird, kann unser Zertifizierungsausschuss die ersten Verfahren für Netzbetreiber finalisieren und die Zertifikate ausstellen.

Denn: Nur Zertifikate von akkreditierten Stellen werden von der Bundesnetzagentur anerkannt.

Deshalb werden wir auch erst dann die Netzbetreiber zertifizieren, wenn wir unsere Akkreditierung dazu erhalten haben.

Wir, als Zertifizierungsstelle, sind vorbereitet!

Haben Sie Fragen? Zögern Sie nicht!  Wir stehen Ihnen für Ihre Fragen zur Verfügung.
Besuchen sie uns auch gerne auf der E-world in Essen, vom 07. bis 09. Februar 2017, Stand 6-211 in Halle 6.

Von Dr. Sönke Maseberg in der Rubrik cert News, Smart Meter