Für Netzbetreiber, die ihre Betriebsführung durch Dritte durchführen lassen und deshalb kein eigenes Zertifikat gem. §11 Abs. 1a EnWG bei der Bundesnetzagentur eingereicht haben, gibt es Änderungen!
Hintergrund ist die Mitteilung der Bundesnetzagentur (BNetzA) vom 19.01.2021: „Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“.
In dieser Mitteilung ist das bisherige Vorgehen kurz erläutert; danach gibt es Netzbetreiber, die ihre für den sicheren Netzbetrieb relevanten Systeme, Komponenten und Anwendungen durch einen Dienstleister erbringen lassen, der dann wiederum sein ISMS gem. §11 Abs. 1a EnWG von einer akkreditierten Zertifizierungsstelle zertifizieren lässt. Dieses Zertifikat hat sodann der Netzbetreiber bei der BNetzA zur Erfüllung seiner Nachweispflicht gem. IT-Sicherheitskatalog eingereicht.
In der Mitteilung ist ausgeführt, dass die bisherige Praxis aus Akkreditierungsgründen nicht zulässig ist. Denn: Der Netzbetreiber hat keine Zertifizierungsvereinbarung mit der Zertifizierungsstelle und kein „Durchgriffsrecht“ auf das ISMS.
Ausgenommen sind übrigens Netzbetreiber, „in deren Netz keine Systeme, Anwendungen und Komponenten zum Einsatz kommen, die für einen sicheren Netzbetrieb notwendig sind“ und die unter die sogenannte „Nicht-Anwendbarkeit“ fallen.
Was tun?
Die BNetzA-Mitteilung skizziert verschiedene Lösungsmöglichkeiten:
Fall A: Der Netzbetreiber etabliert selber ein ISMS und lässt es zertifizieren – auch wenn wesentliche Systeme beim Dienstleister („Betriebsführer“) betrieben werden. Hier muss auf vertraglicher Ebene das Durchgriffsrecht realisiert werden. Ggf. kann der Betriebsführer auch selber gem. IT-Sicherheitskatalog zertifiziert sein. Wichtig beim ISMS des Netzbetreibers ist dann die Dienstleistersteuerung in ISO/IEC 27001 und ISO/IEC 27019, A.15.1.
Fall B: Der Netzbetreiber ist nicht zertifizierungsfähig. In diesem Fall wird der Betriebsführer zertifiziert, der sich dann von seinem Kunden – also dem Netzbetreiber – ein „vollumfängliches und organisatorisches Durchgriffsrecht auf die im Geltungsbereich der Zertifizierung befindlichen Assets des Netzbetreibers vertraglich zusichern lassen“ muss. Dieses Szenario der „Nicht-Zertifizierungsfähigkeit“ des Netzbetreibers setzt voraus, dass alle Assets beim Betriebsführer liegen und der Netzbetreiber kein Durchgriffsrecht auf Assets und keine Weisungsbefugnis auf Mitarbeiter des Betriebsführers besitzt.
Final werden Umsetzungsfristen genannt: Neu zu zertifizierende Netzbetreiber haben bis zum 30.11.2022 das Zertifikat der BNetzA einzureichen.
Autor: Thomas Heinemann