IT-Sicherheitskatalog: Frist für neu zu zertifizierende Netzbetreiber

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

IT-Sicherheitskatalog: Frist für neu zu zertifizierende Netzbetreiber

Betreiber von Energieversorgungsnetzen zählen in Deutschland zur kritischen Infrastruktur und müssen deshalb die Anforderungen des IT-Sicherheitskatalogs erfüllen. Für einige heißt das, sie haben ihren Nachweis noch in diesem Jahr zu erbringen.

Das Thema stabile Energieversorgung war schon immer wichtig, ist heute aber aktueller denn je. Die Bedeutung von ausreichend Strom & Gas für den wirtschaftlichen Alltag erleben derzeit nicht nur Verbraucherinnen und Verbraucher, sondern vor allem viele Unternehmen. Einerseits ist genügend Rohstoff nötig, andererseits muss die Netzsteuerung funktionieren. Die Basis dafür ist eine intakte Informations- und Kommunikationstechnologie. Betreiber von Strom- und Gasnetzen, die zur kritischen Infrastruktur (KRITIS) zählen, sind deshalb zum besonderen Schutz ihrer IT-Systeme und zum Etablieren von Standards und Sicherheitsmaßnahmen verpflichtet. Das fordert § 11 Absatz 1a EnWG. Die BNetzA hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Sicherheitskatalog entwickelt, nach dem sich solche Unternehmen zertifizieren lassen müssen. Wichtig ist dabei unter anderem der Betrieb eines von einer akkreditierten Stelle geprüften Informationssicherheits-Managementsystems (ISMS), das die Vorgaben der DIN EN ISO/IEC 27001 vollumfänglich erfüllt.

Kommende Frist

Die Corona-Pandemie hat verschiedene Stichtage rund um den IT-Sicherheitskatalog bereits mehrfach durcheinandergewirbelt. Im vergangenen Jahr hat die BNetzA eine Mitteilung herausgegeben, aus der sich eine weitere Frist ergibt. Es geht um die Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte. Der Hintergrund: Aufgrund dieser Mitteilung und der Anpassung bei der Nachweispflicht der Zertifizierung im Falle der Betriebsführung durch einen Dritten kann es Netzbetreiber geben, die bisher nicht zur Zertifizierung ihres Unternehmens verpflichtet waren – die künftig aber die Umsetzung des IT-Sicherheitskatalogs durch Vorlage eines eigenen Zertifikats nachweisen müssen. Der Aufbau und die Einführung eines ISMS nach dem IT-Sicherheitskatalog und die anschließende Zertifizierung bedürfen eines nicht zu unterschätzenden Ressourceneinsatzes. Das ist der BNetzA durchaus bewusst. Deshalb müssen neu zu zertifizierende Netzbetreiber der Bundesnetzagentur bis zum 30.11.2022 den Abschluss des Zertifizierungsverfahrens durch Vorlage einer Kopie des Zertifikats mitteilen.

Unser Tipp: Wenden Sie sich zeitnah an die TÜV SÜD Management Service, damit wir Ihre Zertifizierung gemeinsam planen können.

Weitere Informationen rund um den IT-Sicherheitskatalog

Ansprechpartner: Thomas Janz, Product Compliance Manager, TÜV SÜD Management Service


Next steps

WORLDWIDE

Germany

German