Beitrag

Gateway Administration auf E-world: Details zur 03109-6 Di 02.02.2016

Aktueller Stand zum IT-Sicherheitskatalog

Am 16. Februar 2016 öffnet die E-world in Essen ihre Tore. Ein Top-Thema dieser „Leitmesse der Energie- und Wasserwirtschaft“ wird sicherlich der IT-Sicherheitskatalog der Bundesnetzagentur und seine Auswirkungen für Netzbetreiber sein. In diesem Beitrag fassen wir den aktuellen Stand zusammen.

Dass Informationstechnik auf dem Vormarsch ist, ist eine Binsenweisheit. Zu beobachten seit vielen Jahren. Was wir aber auch seit einigen Jahren beobachten können, ist, dass vormals von der IT separierte Netze nun mit IT-Infrastrukturen verbunden und kombiniert werden. Daraus ergeben sich ganz neue Bedrohungen. Denn es zeigt sich, dass diese vormals separierten Netze völlig ungenügend auf die Bedrohungen eingestellt oder vorbereitet sind, die nun durch den Einzug der IT möglich sind. Beispiele dafür sind zur Genüge durch die Zeitungen gegangen. Weil dadurch auch die Versorgungssicherheit betroffen ist, ist der Gesetzgeber tätig geworden. Mit dem IT-Sicherheitsgesetz „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG) sind Vorgaben für Betreiber Kritischer Infrastrukturen (KRITIS) erlassen worden. Danach muss insbesondere die Informationssicherheit durch einen standardisierten Prozess regelmäßig auditiert und nachgewiesen werden.

Das IT-SiG gilt für Betreiber Kritischer Infrastrukturen, wozu auch die Energieversorgung zählt. Hierfür gibt es allerdings präzisierende Anforderungen: Für Netzbetreiber gilt der „IT-Sicherheitskatalog gemäß § 11 Abs. 1 a Energiewirtschaftsgesetz“ der Bundesnetzagentur (BNetzA). Hierin wird ein Informationssicherheits-Managementsystem (ISMS) gefordert, dass gemäß ISO/IEC 27001 zertifiziert sein muss und zusätzlich den Anforderungen des IT-Sicherheitskatalogs genügt. Für beide Bereiche sind enge Umsetzungsfristen definiert worden: zwei Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes bzw. bis zum 31.01.2018 beim IT-Sicherheitskatalog.

Soviel zu Einleitung. Was ist nun der aktuelle Stand?

Für Netzbetreiber ist klar, was als nächstes zu tun ist: Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001. Zusätzlich werden derzeit ergänzende Informationen bereitgestellt  -  etwa durch die FAQ-Liste der Bundesnetzagentur oder durch den „Praxisleitfaden IT-Sicherheitskatalog – Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen“ vom Digitalverband BITKOM und dem Verband Kommunaler Unternehmen e.V. (VKU), in dem wir unsere Vorstellungen aus Sicht einer Zertifizierungsstelle zum Scope  eines Informationssicherheits-Managementsystems dargestellt haben. Der Einführung eines ISMS beim Netzbetreiber steht also nichts im Wege.

Die nächsten Schritte für die benötigten Zertifizierungsstellen werden derzeit geebnet: Denn laut IT-Sicherheitskatalog sollen bei der Deutschen Akkreditierungsstelle (DAkkS) gelistete Zertifizierungsstellen die Zertifizierungen vornehmen, die sich speziell für diesen Bereich haben akkreditieren lassen. Diese ergänzenden Anforderungen an Zertifizierungsstellen werden derzeit erarbeitet. Wir – die datenschutz cert GmbH – stellen uns derzeit darauf ein, diese ergänzenden Anforderungen zu erfüllen und unsere ISO/IEC 27001-Akkreditierung zu erweitern. 

Haben Sie Fragen? Sprechen Sie uns gerne an!

Zum Beispiel auf der E-world in Essen: Wir sind dort vom 16. bis 18. Februar 2016 in Halle 4 mit eigenem Stand, 4-213 vertreten. Vereinbaren Sie schon jetzt Ihren Gesprächstermin. Gerne laden wir Sie dazu auch mit einem kostenlosen E-world-Messe-Ticket ein. Sprechen Sie uns einfach an. Wir freuen uns.

 

Von Sönke Maseberg in der Rubrik cert News, Smart Meter