ISO 27001 für Netzbetreiber

News

ISO 27001 für Netzbetreiber

Jul. 2 2020

Das erforderliche Informationssicherheitsmanagementsystem gemäß dem Energiewirtschaftsgesetz

Die fortschreitende Digitalisierung macht auch vor der Energiebranche nicht halt – im Gegenteil. Insbesondere im Kontext der Energiewende und der zunehmend dezentralen Stromerzeugung stiegen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese wiederum ist maßgeblich von einer hochwertigen Informations- und Kommunikationstechnologie (IKT) abhängig: Schließlich handelt es sich bei Energienetzen um sogenannte „kritische Infrastrukturen“, die eines besonderen Schutzes bedürfen. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden.

Um diesen erheblichen Schutzbedarf juristisch zu postulieren und den resultierenden Herausforderungen adäquat begegnen zu können,  publizierte die Bundesnetzagentur (BNetzA) bereits im Jahr 2018 eine entsprechende Erweiterung des Energiewirtschaftsgesetzes (EnWG). Basierend auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 stellt die Einführung und Zertifizierung  eines Informationssicherheits-Managementsystems (ISMS) dabei die Kernanforderung dar.

ACHTUNG:

Bis zum 31.03.2021 müssen nach  § 11 Absatz 1b Energiewirtschaftsgesetz auch Betreiber von Energieanlagen, also Erzeugungsanlagen, Speicheranlagen, Gasförderanlagen und Gasspeichern, den Nachweis einer ISO 27001-Zertifizierung erbringen! Wir empfehlen, sich so früh wie möglich mit dem mit dem Thema zu befassen, um rechtlichen und finanziellen Risiken vorzubeugen.

Gemäß Mitteilung der Bundesnetzagentur vom 18. Mai 2020 ist aufgrund der COVID 19-Pandemie bis zum 31. März 2021 lediglich das Erreichen der Zertifizierungsreife, nicht jedoch der Abschluss des geforderten Zertifizierungsverfahrens nachzuweisen.  Es ist daher ausreichend, wenn Betreiber von Energieanlagen der Bundesnetzagentur zum Stichtag eine schriftliche Erklärung abgeben, aus der hervorgeht, dass sie die Anforderungen des IT-Sicherheitskatalogs vollständig umgesetzt haben. Dieser Erklärung ist ein Nachweis über die Beauftragung einer für diesen Bereich akkreditierten Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits beizufügen. Das Zertifizierungsverfahren selbst kann auch, sofern nicht anders möglich, in einem angemessenen Zeitraum nach dem 31. März 2021 abgeschlossen werden.

Nehmen Sie Kontakt mit uns auf, unsere Experten stehen Ihnen gerne zur Verfügung und beantworten Ihre Fragen bezüglich der Regelungen zur Vorlage des Bachweises zur Umsetzung des IT-Sicherheitskatalogs.

Einführung und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS)

Während ein Unternehmen sein ISMS eigenständig konzipieren muss, ist für die Zertifizierung in jedem Fall eine unabhängige akkreditierte Stelle zu konsultieren. Bureau Veritas befindet sich momentan noch im Akkreditierungsprozess.

Durch eine klare Identifikation und Klassifizierung der Risiken, deren systematische Bewertung und Offenlegung potenzieller Schwachstellen können geeignete Maßmaßnahmen ergriffen und Sicherheitsrisiken minimiert werden. Dies erfolgt auf Basis des sogenannten „Plan-Do-Check-Act-Zyklus“ (PDCA),  dessen fortwährende Anwendung nachhaltig dafür sorgt, die unternehmenseigene Informationssicherheit zu gewährleisten und gegebenenfalls auf den neusten Stand zu bringen.

  • Plan: Planung und Zielsetzung von IT-relevanten Maßnahmen (z.B. Festlegung von ISMS-Kennzahlen, Planung eines Rechenzentrums)
  • Do: Ausführung & Umsetzung der geplanten Prozesse (z.B. Umsetzung eines ISMS, Bau eines Rechenzentrums)
  • Check: Überwachung der vorgenommenen Ziele (z.B. Messung und Analyse der ISMS-Kennzahlen, Bauüberwachung)
  • Act: Handeln, eventuelle Erneuerungen oder Verbesserungen

Das PDCA-Modell dient seit einigen Jahren im Zuge der strukturellen Standardisierung gängiger Managementsysteme als universelles Tool zur Risikominimierung. Unternehmen und Organisationen, die bereits gemäß ISO 45001, ISO 14001 oder ISO 9001 zertifiziert sind, können dank der identischen Struktur auf die Verfahren der vorhandenen Managementsystems aufsetzen und so von Synergien profitieren.

Sie benötigen weitere Informationen?