Für Strom- und Gasnetzbetreiber ist eine Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur seit dem 31. Januar 2018 Pflicht. Speziell vor dem Hintergrund von immer mehr dezentralen Stromerzeugern ist die digitale Netzsteuerung auf intakte Informations- und Kommunikationstechnologie angewiesen,– denn sonst gehen die Lichter aus. Die BNetzA hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) erarbeitet. Er soll dafür sorgen, dass unsere Energieversorgung sicher bleibt. Die Vorgaben basieren aber nicht nur auf einer, sondern auf verschiedenen Normen, das macht es den Netzbetreibern nicht leicht. Mit TÜV SÜD als Ihr Zertifizierungspartner entscheiden Sie sich nicht nur für ein weltweit renommiertes Prüfsiegel. Wir stehen Ihnen bereits in der Vorbereitung des Audits als Partner zur Seite. Das vereinfacht den Prozess für Sie.
Der IT-Sicherheitskatalog fordert von allen Strom- und Gasnetzbetreibern, dass sie ein Informationssicherheits-Managementsystem (ISMS) auf Basis der um spezifische Aspekte aus der Netzsteuerung erweiterten ISO/IEC 27001 betreiben und zertifizieren lassen. Die aktuelle Fassung des IT-Sicherheitskatalogs hat die Bundesnetzagentur (BNetzA) am 12. August 2015 veröffentlicht. Sie ergänzt das IT-Sicherheitsgesetz in dem Sinne, als das sie Standards für Telekommunikations- und elektronische Datenverarbeitungssysteme für Energieversorgungsnetze festlegt. Seit dem 31.01.2018 müssen alle Energienetzbetreiber in Deutschland eine gültige Zertifizierung nachweisen.
Hier gibt es den IT-Sicherheitskatalog zum Herunterladen
Aufgrund dieser Mitteilung und der Anpassung bei der Nachweispflicht der Zertifizierung im Falle der Betriebsführung durch einen Dritten kann es Netzbetreiber geben, welche bisher nicht zur Zertifizierung Ihres Unternehmens verpflichtet waren, die fortan die Umsetzung des IT-Sicherheitskatalogs durch Vorlage eines eigenen Zertifikats nachweisen müssen. Der Bundesnetzagentur ist bewusst, dass die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach IT-Sicherheitskatalog und dessen Zertifizierung einen hohen zeitlichen und personellen Aufwand verursacht. Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskatalogs umgesetzt wurden, haben die neu zu zertifizierenden Netzbetreiber der Bundesnetzagentur bis zum 30.11.2022 den Abschluss des Zertifizierungsverfahrens durch Vorlage einer Kopie des Zertifikats mitzuteilen.
Neben den Vorgaben an die Energienetzbetreiber im IT-Sicherheitskatalog, gibt es im zugehörigen sogenannten Konformitätsbewertungsprogramm ergänzende Anforderungen. Diese richten sich zwar an die Zertifizierungsstellen, haben jedoch indirekt Auswirkungen auf die Energienetzbetreiber. Das Konformitätsbewertungsprogramm ist die Grundlage für die Akkreditierung der Zertifizierungsstelle bei der deutschen Akkreditierungsstelle (DAkkS). Es zeigt Netzbetreibern allerdings, dass die Zertifizierung auf bereits etablierten Standards beruht. Das erleichtert Ihnen die Umsetzung, denn hier bieten bewährte Verfahren und best Practices Orientierung. Die wichtigsten Standards für ein ISMS nach dem IT-Sicherheitskatalog sind:
• DIN ISO/IEC 27001 für die Umsetzung eines geeigneten ISMS
• ISO/IEC 27019 für den spezifischen Maßnahmenkatalog im Bereich Energienetze
Die Energieversorgung wird allerdings nicht nur von den Strom- und Gasnetzbetreibern gewährleistet, genauso wichtig ist die Summe der einzelnen Energieanlagen. Und auch sie sind von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Zwar sind die Energieanlagen dezentral verteilt, aber der Gesetzgeber geht davon aus, dass sich mögliche Cyberangriffe gegen mehrere von ihnen gleichzeitig richten könnten. Bei einer solchen Attacke wäre es kaum möglich, ausgefallene Energieanlagen durch andere zu ersetzen. Deshalb hat der Gesetzgeber mit Absatz 1b eine Vorschrift in § 11 EnWG ergänzt, die sich an alle Betreiber von Energieanlagen richtet, die zur Kritischen Infrastruktur (KRITIS) zählen und die an ein Energieversorgungsnetz angeschlossen sind. Sie sind verpflichtet, Schutzstandards zu etablieren und Sicherheitsmaßnahmen zu ergreifen, die den Netzbetrieb sicherstellen. Gleichzeitig sollen sie auch künftig in der Lage sein, die Vorteile moderner IKT sicher nutzen können.
Die konkreten Anforderungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Sicherheitskatalog für Energieanlagen erarbeitet und im Dezember 2018 veröffentlicht. Ziel ist es, die Telekommunikations- und elektronischen Datenverarbeitungssysteme der Energieanlagenbetreiber zu schützen sowie die Vertraulichkeit der verarbeiteten Informationen zu gewährleisten. Der IT-Sicherheitskatalog verpflichtet Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards und fordert nicht zuletzt ein Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001.
Hinweis: Für Anlagen nach § 7 Absatz 1 des Atomgesetzes im Geltungsbereich des IT-Sicherheitskatalogs gelten abweichende Regelungen.
Zum Nachweis der Umsetzung hatten Betreiber von Energieanlagen bis zum 31. März 2021 den Abschluss des vorgeschriebenen Zertifizierungsverfahrens anzuzeigen.
Es gab aber eine neue Regelung zur Vorlage des Nachweises zur Umsetzung des IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG im Zusammenhang mit der Ausbreitung von SARS-CoV-2:
Durch die Coronavirus-Pandemie ist allerdings eine Ausnahmesituation entstanden, deren Auswirkungen alle am Verfahren beteiligten Akteure vor besondere Herausforderungen stellen. So erreichten die Bundesnetzagentur vermehrt Anfragen von Energieanlagenbetreibern, die darauf hinwiesen, dass sie aufgrund der aktuellen Situation ihrer Verpflichtung zur rechtzeitigen Zertifizierung der Einführung eines Informationssicherheitsmanagementsystems (ISMS) gemäß IT-Sicherheitskatalog nicht im vollen Umfang nachkommen können. Trotzdem ist die Stärkung der IT-Sicherheit von höchster Priorität und es müssen weiterhin alle möglichen Ressourcen für eine fristgerechte Einführung aufgewendet werden. Das Erreichen der Zertifizierungsreife, also die ordnungsgemäße Umsetzung der Anforderungen des IT-Sicherheitskatalogs, sollte auch unter den derzeitigen erschwerten Bedingungen innerhalb der gesetzten Frist zu erreichen sein, da es sich um überwiegend interne Prozesse handelt.
Um auf die berechtigterweise vorgetragenen Schwierigkeiten angemessen zu reagieren, hatte die Bundesnetzagentur zum Ablauf der Frist am 31. März 2021 vor diesem Hintergrund lediglich das Erreichen der Zertifizierungsreife, nicht jedoch den Abschluss des geforderten Zertifizierungsverfahrens verlangt. Es war daher ausreichend, wenn Betreiber von Energieanlagen der Bundesnetzagentur zum genannten Stichtag eine schriftliche Erklärung abgegeben haben, aus der hervorgeht, dass Sie die Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1b EnWG in Ihrem Haus vollständig umgesetzt haben.
Dieser Erklärung war ein Nachweis über die Beauftragung einer Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits spätestens bis zum 30.06.2021 beizufügen. Das Zertifizierungsverfahren selbst muss schnellstmöglich nach Rücksprache mit der beauftragten Zertifizierungsstelle abgeschlossen werden.
Energieanlagenbetreiber sind Teil der kritischen Infrastruktur und müssen nachweisen, dass sie die Anforderungen des IT-Sicherheitskatalogs erfüllen. Aufgrund von Corona wurden die Fristen dafür nun erneut verlängert.
Vor allem wegen der Pandemie gibt es bisher keinen Prüfdienstleister, der die erweiterte Akkreditierung für die Zertifizierung nach IT-Sicherheitskatalog besitzt. Somit können Energieanlagenbetreiber auch kein Zertifikat erhalten und einreichen. Dem trägt die Bundesnetzagentur (BNetzA) Rechnung und hatte die Fristen erneut verlängert: Anstatt bis zum 30. Juni 2021 mussten betroffene Energieanlagenbetreiber den Nachweis über die Beauftragung einer Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits bis zum 31. Oktober 2021 erbracht haben – und der BNetzA zukommen lassen. Anschließend soll die Zertifizierung so schnell wie möglich abgeschlossen werden. Zertifizierungsreife mussten die Energieanlagenbetreiber bereits bis zum 31. März gemeldet haben.
Sobald die angestrebte Akkreditierung durch die DAkkS erfolgt ist, gehört auch TÜV SÜD zu den akkreditierten Stellen zur Zertifizierung des IT-Sicherheitskatalogs.
AKTUELLER STAND
Die Zertifizierung hat bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten unabhängigen Zertifizierungsstelle stattzufinden. TÜV SÜD befindet sich bereits in der Akkreditierungsphase auf Grundlage des Konformitätsbewertungsprogramms der Bundesnetzagentur und der DAkkS und können Ihnen die passenden Audits anbieten. Wenden Sie sich jederzeit gerne an uns, damit wir Ihre Zertifizierung gemeinsam planen können.
Wir informieren Interessierte über neue Entwicklungen hier auf der Webseite und natürlich in unserem Value Newsletter.
Den IT-Sicherheitskatalog für Energieanlagenbetreiber gibt es hier zum Download
Der erste Schritt ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach den spezifischen Anforderungen des IT-Sicherheitskatalogs. Als Basis dient eine individuelle Risikoanalyse. Beginnen Sie mit einer Bestandsaufnahme aller sicherheitsrelevanten Werte, für die Sie dann mögliche Risiken identifizieren. Hieraus gilt es, geeignete Maßnahmen abzuleiten. Klar definierte Zuständigkeiten, Schulungen und Notfallpläne stellen sicher, dass jeder Mitarbeiter weiß, was wann zu tun ist. Wichtig hierbei: Sie müssen Ihre Auswahl der Maßnahmen auch begründen.
Für die Zertifizierung genügt es allerdings nicht, ein ISMS einzuführen. Sie müssen auch nachweisen, dass die ausgewählten Maßnahmen wirksam umgesetzt werden. Hierzu dient Schritt 2: die Durchführung interner Audits und Management Reviews. Sie bilden die Grundlage für die Auditierung durch die Zertifizierungsstelle. Die Anforderungen im Detail gibt es nachzulesen im IT-Sicherheitskatalog.
Profitieren Sie in diesem Prozess von unserer umfangreichen Erfahrung im Bereich Cyber-Security-Zertifizierungen und speziell in der Auditierung von ISMS. Denn wir sind auch als Zertifizierungsstelle nach ISO/IEC 27001 bei der DAkkS akkreditiert. Auf diesem Standard beruht ein ISMS nach dem IT-Sicherheitskatalog. Neben der reinen Zertifizierung bieten wir Ihnen zudem auch Unterstützung beim Vorab-Audit an: Erfahren Sie, ob und wo Ihr ISMS noch Lücken aufweist. So lassen sich Stolpersteine vorab aus dem Weg räumen. Und davon gibt es viele: fehlende Begründungen, unklare Zuständigkeiten oder auch ungeeignete Kennzahlen. Bauen Sie vor – mit unserer Hilfe. Denn so können Sie aufwendige Nachbesserungen vermeiden und die Zertifizierung beschleunigen.
Wir möchten, dass Ihre Zertifizierung ein voller Erfolg wird. Unser Webcast "Zertifizierung nach IT-Sicherheitskatalog" fasst in 48 Minuten alles Wissenswerte zu Vorbereitung und Auditierung für Sie zusammen.
Die meisten Netzbetreiber verfügen über zahlreiche Betriebsstätten, die nicht dauerhaft mit Personal besetzt sind. Solche Betriebsstätten lassen sich gemäß IT-Sicherheitskatalog in Gruppen einteilen. Wie diese Gruppen aussehen, richtet sich nach dem Standort und danach, wie sich die Anlage aus der Ferne steuern lässt. Im Audit werden diese stichprobenweise überprüft. Weitere Informationen rund um die zur Einstufung von Betriebsstätten finden Sie in unserem Fact Sheet "Zertifizierung gemäß IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG".
Der IT-Sicherheitskatalog ist nur eine der Maßnahmen, die der Bundestag beschlossen hat, um digitale Prozesse in kritischen Infrastrukturbereichen sicherer zu machen. Er ergänzt das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz. Dieses legt Mindestanforderungen für die IT-Sicherheit in Unternehmen fest, die für die Infrastruktur in Deutschland von großer Bedeutung sind. Mehr dazu erfahren Sie unter KRITIS – Nachweis über angemessene IT-Sicherheit.
Die internationalen Regelwerke, nach denen wir unsere Zertifizierungen durchführen, unterliegen einer ständigen Qualitätskontrolle und Überwachung durch die entsprechenden Gremien. Dies führte für ISO/IEC 27006, die für die Zertifizierung nach ISO/IEC 27001 relevante Akkreditierungsnorm, zur Veröffentlichung eines sogenannten Amendments im März 2020. Im Ergebnis führt dies dazu, dass die TÜV SÜD Management Service GmbH bis spätestens Ende März 2022 die Regelungen des Amendments umgesetzt haben muss und dies durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) bestätigt wurde.
Ein individuelles Angebot verschafft Ihnen einen Überblick über Vorgehen und Kosten. Geben Sie einfach Ihre Kontakt- und einige Eckdaten zum Unternehmen an und Sie erhalten weitere Informationen rund um Ihre Zertifizierung.
Betreiber von kritischen Infrastrukturen sind verpflichtet, ihre IT-Systeme optimal zu schützen.
Mehr lesen
Laden Sie sich den IT-Sicherheitskatalog der Bundesnetzagentur herunter.
Download
Erfahren Sie in unserem Video, wieso die ISO/IEC 27001 u.a. zur Risikominimierung wichtig ist.
Jetzt Video anschauen
Ihr unabhängiges Informationssicherheits-Assessment mit Risikobewertung für KMU
Mehr lesen
Die ISO / IEC 27001 spielt auch im Cloudumfeld die zentrale Rolle. Lesen Sie mehr in der neuen Cloud Security Studie von IDG Research Services.
Zum Download
Cybersecurity-Zertifizierungen: ISO/IEC 27001, TISAX®, KRITIS & more. Vertrauen schaffen bei der IT-Sicherheit Ihrer Projekte/Prozesse.
JETZT INFORMIEREN!
Unsere ISO/IEC 27001 Case Studies informieren über die Vorteile einer Zertifizierung.
Erfahren Sie mehr
Die Nachfrage nach Zertifizierungsdienstleistungen steigt. Daher erweitert TÜV SÜD laufend sein Netzwerk mit freien Auditor*innen.
Erfahren Sie mehr
