Der Standard ISO/IEC 27019 ergänzt die Anforderungen an ein ISO/IEC 27001-konformes Informationssicherheits-Managementsystem (ISMS) in der Energiewirtschaft.
Die ISO/IEC 27019 ist verpflichtend anzuwenden für:
- Strom- und Gasnetzbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG
- Energieanlagenbetreiber gem. IT-Sicherheitskatalog gem. §11 Abs. 1b EnWG
Die zugehörigen Konformitätsbewertungsprogramme der Bundesnetzagentur geben auch die Übergangsfristen im Kapitel 7 vor:
„Der IT-Sicherheitskatalog […] verweist unter anderem auf die DIN EN ISO/IEC 27001, die DIN EN ISO/IEC 27002 und die DIN EN ISO/IEC 27019 in der jeweils geltenden Fassung. Soweit deutsche Übersetzungen der ISO/IEC-Normen in ihrer jeweils aktuellen Fassung noch nicht vorliegen, sind die jeweils aktuellen ISO/IEC-Normen selbst zu berücksichtigen.
Sofern die genannten Normen künftig aktualisiert werden, gilt für die Berücksichtigung der aktualisierten Fassungen im Rahmen der Zertifizierungsprozesse folgende Übergangsregelung:
Audits zur Erst- oder Rezertifizierung und Überwachungsaudits im Rahmen des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b EnWG haben spätestens nach Ablauf von zwei Jahren seit deren Veröffentlichung verpflichtend auf Basis der aktualisierten Fassungen zu erfolgen. Bei Audits zur Erst- oder Rezertifizierung und Überwachungsaudits können bis zu diesem Zeitpunkt daher alternativ auch die zuvor geltenden Fassungen berücksichtigt werden. Dies muss eindeutig aus dem Auditplan hervorgehen und mit dem Kunden schriftlich vereinbart worden sein.“
Mit Veröffentlichungsdatum Oktober 2024 ergibt sich damit folgende Frist:
- die Umstellungsfrist endet am 31.10.2027
Die Umstellung kann im Rahmen von Re-Zertifizierungs- oder Überwachungsaudits durchgeführt werden – oder als gesondertes Transitionsaudit. Sprechen Sie uns gerne an.
Zur Klarstellung:
- Der Passus, dass Audits „spätestens nach Ablauf von zwei Jahren seit deren Veröffentlichung verpflichtend auf Basis der aktualisierten Fassung zu erfolgen“ haben, meint also: Audits müssen spätestens nach dem 31.10.2026 auf Basis der ISO/IEC 27019:2024 erfolgen.