In der heutigen Zeit, in der es häufig darum geht, ein Stückchen der knappen Aufmerksamkeit des Publikums zu erhaschen, tauchen immer wieder reißerische, widersprüchliche oder die Neugier weckende Überschriften auf – so wie hier mit „1b-KBP aktualisiert“. Da wir Sie – werte Lesende– aber keinesfalls in die Irre führen wollen, sondern stets mit wertschöpfenden Informationen versorgen möchten, sind Sie hier völlig richtig, wenn Sie erfahren möchten, welche Änderungen es im „Konformitätsbewertungsprogramm gem. §11 Abs. 1b EnWG für Energieanlagenbetreiber“ gibt.
Aktualisierung des Konformitätsbewertungsprogramm für Energieanlagenbetreiber
Kurz zum Hintergrund: Der Gesetzgeber verpflichtet Betreiber von Energieanlagen, deren Anlage die in der KRITIS-VO festgelegten Schwellwerte übersteigt, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren und zertifizieren zu lassen. Das ISMS eines Energieanlagenbetreibers dürfen nur Stellen zertifizieren, die eigens hierfür von der DAkkS akkreditiert sind; Grundlage ist das „Konformitätsbewertungsprogramm gem. §11 Abs. 1b EnWG für Energieanlagenbetreiber“ (KBP) der Bundesnetzagentur.
Die erste Fassung des KBP aus September 2020 wurde nun mit Datum vom 30.03.2022 aktualisiert; die aktuelle Fassung ist hier verfügbar.
Im neuen 1b-KBP sind vor allem drei inhaltliche Änderungen vorgenommen worden, die Auswirkungen auf die Audits- und Zertifizierungen haben werden:
- Fachexperte*in: Der*die Fachexperte*in muss in allen Stufen des Erst-Zertifizierungsaudits (Stage 1 und Stage 2), beim Re-Zertifizierungsaudit und bei den Überwachungsaudits das Auditteam vor Ort beim Energieanlagenbetreiber die gesamte Zeit des Audits über begleiten.
Dies wird die Kosten entsprechend erhöhen. - Zertifikat – auch für Betriebsführer: Bislang konnte ein Zertifikat gem. IT-Sicherheitskatalog gem. §11 Abs. 1b EnWG nur für Betreiber einer Energieanlage erteilt werden, nun ist dies auch für Betriebsführer zulässig.
Zur Thematik Betreiber vs. Betriebsführer werden wir in einem eigenen Beitrag informieren. - Übergangsfristen: Das Konformitätsbewertungsprogramm sieht grundsätzlich vor, dass stets die aktuellsten Fassungen der ISO/IEC 27001, 27002 und 27019 zu nutzen sind – gleichwohl unter Berücksichtigung einer Übergangsfrist von 2 Jahren.
Diese Übergangsfrist wird jetzt greifen müssen, da die ISO/IEC 27002 in diesem Jahr neu veröffentlicht wurde und die Aktualisierung der ISO/IEC 27001 kurz bevorsteht.
Herausforderung hierbei ist, dass die ISO/IEC 27019 für besondere Anforderungen der Energiewirtschaft noch auf der alten ISO/IEC 27002 basiert und eine Anpassung erst 2024/2025 zu erwarten ist. Für die Übergangszeit wird die Bundesnetzagentur eine Mappingtabelle zur Verfügung stellen.
Zur Thematik der neuen ISO/IEC 27002:2022 werden wir in einem eigenen Beitrag informieren.
Bei Fragen sprechen Sie uns gerne an.
Autor: Dr. Sönke Maseberg