Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

IT-Sicherheitskatalog gem. §11 Abs. 1a und gem. §11 Abs. 1b EnWG

Zertifizierung nach dem IT-Sicherheitskatalog gem. §11 Abs. 1a und gem. Abs. 1b EnWG der Bundesnetzagentur (BNetzA)

Für Strom- und Gasnetzbetreiber: ZERTIFIZIERUNG NACH DEM IT-SICHERHEITSKATALOG GEM. §11 ABS. 1A

Für Strom- und Gasnetzbetreiber ist eine Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur seit dem 31. Januar 2018 Pflicht. Speziell vor dem Hintergrund von immer mehr dezentralen Stromerzeugern ist die digitale Netzsteuerung auf intakte Informations- und Kommunikationstechnologie angewiesen,– denn sonst gehen die Lichter aus. Die BNetzA hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) erarbeitet. Er soll dafür sorgen, dass unsere Energieversorgung sicher bleibt. Die Vorgaben basieren aber nicht nur auf einer, sondern auf verschiedenen Normen, das macht es den Netzbetreibern nicht leicht. Mit dem Zertifizierungspartner TÜV SÜD entscheiden Sie sich nicht nur für ein weltweit renommiertes Prüfsiegel. Wir stehen Ihnen bereits in der Vorbereitung des Audits als Partner zur Seite. Das vereinfacht den Prozess für Sie.

Was bedeutet der IT-Sicherheitskatalog für Netzbetreiber?

Der IT-Sicherheitskatalog fordert von allen Strom- und Gasnetzbetreibern, dass sie ein Informationssicherheits-Managementsystem (ISMS) auf Basis der um spezifische Aspekte aus der Netzsteuerung erweiterten ISO/IEC 27001 betreiben und zertifizieren lassen. Die aktuelle Fassung des IT-Sicherheitskatalogs hat die Bundesnetzagentur (BNetzA) am 12. August 2015 veröffentlicht. Sie ergänzt das IT-Sicherheitsgesetz in dem Sinne, als das sie Standards für Telekommunikations- und elektronische Datenverarbeitungssysteme für Energieversorgungsnetze festlegt. Seit dem 31.01.2018 müssen alle Energienetzbetreiber in Deutschlandeine gültige Zertifizierung nachweisen.

Hier gibt es den IT-Sicherheitskatalog zum Herunterladen


Wieso sich ein Blick in das Konformitätsbewertungsprogramm der BNetzA lohnt

Neben den Vorgaben an die Energienetzbetreiber im IT-Sicherheitskatalog, gibt es im zugehörigen sogenannten Konformitätsbewertungsprogramm ergänzende Anforderungen. Diese richten sich zwar an die Zertifizierungsstellen, haben jedoch indirekt Auswirkungen auf die Energienetzbetreiber. Das Konformitätsbewertungsprogramm ist die Grundlage für die Akkreditierung der Zertifizierungsstelle bei der deutschen Akkreditierungsstelle (DAkkS). Es zeigt Netzbetreibern allerdings, dass die Zertifizierung auf bereits etablierten Standards beruht. Das erleichtert Ihnen die Umsetzung, denn hier bieten bewährte Verfahren und best Practices Orientierung. Die wichtigsten Standards für ein ISMS nach dem IT-Sicherheitskatalog sind:

DIN ISO/IEC 27001 für die Umsetzung eines geeigneten ISMS

ISO/IEC 27019 für den spezifischen Maßnahmenkatalog im Bereich Energienetze


FÜR ENERGIEANLAGENBETREIBER: ZERTIFIZIERUNG NACH DEM IT-SICHERHEITSKATALOG GEM. §11 ABS. 1B ENWG DER BUNDESNETZAGENTUR (BNETZA)

Die Energieversorgung wird allerdings nicht nur von den Strom- und Gasnetzbetreibern gewährleistet, genauso wichtig ist die Summe der einzelnen Energieanlagen. Und auch sie sind von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Zwar sind die Energieanlagen dezentral verteilt, aber der Gesetzgeber geht davon aus, dass sich mögliche Cyberangriffe gegen mehrere von ihnen gleichzeitig richten könnten. Bei einer solchen Attacke wäre es kaum möglich, ausgefallene Energieanlagen durch andere zu ersetzen. Deshalb hat der Gesetzgeber mit Absatz 1b eine Vorschrift in § 11 EnWG ergänzt, die sich an alle Betreiber von Energieanlagen richtet, die zur Kritischen Infrastruktur (KRITIS) zählen und die an ein Energieversorgungsnetz angeschlossen sind. Sie sind verpflichtet, Schutzstandards zu etablieren und Sicherheitsmaßnahmen zu ergreifen, die den Netzbetrieb sicherstellen. Gleichzeitig sollen sie auch künftig in der Lage sein, die Vorteile moderner IKT sicher nutzen können.

IT-SICHERHEITSKATALOG FÜR ENERGIEANLAGENBETREIBER

Die konkreten Anforderungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Sicherheitskatalog für Energieanlagen erarbeitet und im Dezember 2018 veröffentlicht. Ziel ist es, die Telekommunikations- und elektronischen Datenverarbeitungssysteme der Energieanlagenbetreiber zu schützen sowie die Vertraulichkeit der verarbeiteten Informationen zu gewährleisten. Der IT-Sicherheitskatalog verpflichtet Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards und fordert nicht zuletzt ein Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001.

Hinweis: Für Anlagen nach § 7 Absatz 1 des Atomgesetzes im Geltungsbereich des IT-Sicherheitskatalogs gelten abweichende Regelungen.

FRISTEN

Energieanlagenbetreiber müssen die Mindestanforderungen aus dem IT-Sicherheitskatalog nicht nur umsetzen, sie müssen sie auch zertifizieren lassen und der Bundesnetzagentur eine Kopie des Zertifikats zu übermitteln. Die Frist dafür endet am 31. März 2021.

AKTUELLER STAND

Die Zertifizierung hat bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten unabhängigen Zertifizierungsstell stattzufinden. Derzeit erarbeitet die Bundesnetzagentur allerdings noch gemeinsam mit der DAkkS das sogenannte Konformitätsbewertungsprogramm. Sobald dieses veröffentlicht ist, plant die TÜV SÜD Management Service es zügig umzusetzen und sich akkreditieren zu lassen, um dann zeitnah Audits anbieten zu können.

Wir informieren Interessierte über neue Entwicklungen hier auf der Webseite und natürlich in unserem Value Newsletter.

Den IT-Sicherheitskatalog für Energieanlagenbetreiber gibt es hier zum Download


Wie bereiten Sie sich auf die Zertifizierung vor?

Der erste Schritt ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach den spezifischen Anforderungen des IT-Sicherheitskatalogs. Als Basis dient eine individuelle Risikoanalyse. Beginnen Sie mit einer Bestandsaufnahme aller sicherheitsrelevanten Werte, für die Sie dann mögliche Risiken identifizieren. Hieraus gilt es, geeignete Maßnahmen abzuleiten. Klar definierte Zuständigkeiten, Schulungen und Notfallpläne stellen sicher, dass jeder Mitarbeiter weiß, was wann zu tun ist. Wichtig hierbei: Sie müssen Ihre Auswahl der Maßnahmen auch begründen.

Für die Zertifizierung genügt es allerdings nicht, ein ISMS einzuführen. Sie müssen auch nachweisen, dass die ausgewählten Maßnahmen wirksam umgesetzt werden. Hierzu dient Schritt 2: die Durchführung interner Audits und Management Reviews. Sie bilden die Grundlage für die Auditierung durch die Zertifizierungsstelle. Die Anforderungen im Detail gibt es nachzulesen im IT-Sicherheitskatalog.

Profitieren Sie in diesem Prozess von unserer umfangreichen Erfahrung im Bereich Cyber-Security-Zertifizierungen und speziell in der Auditierung von ISMS. Denn wir sind auch als Zertifizierungsstelle nach ISO/IEC 27001 bei der DAkkS akkreditiert. Auf diesem Standard beruht ein ISMS nach dem IT-Sicherheitskatalog. Neben der reinen Zertifizierung bieten wir Ihnen zudem auch Unterstützung beim Vorab-Audit an: Erfahren Sie, ob und wo Ihr ISMS noch Lücken aufweist. So lassen sich Stolpersteine vorab aus dem Weg räumen. Und davon gibt es viele: fehlende Begründungen, unklare Zuständigkeiten oder auch ungeeignete Kennzahlen. Bauen Sie vor – mit unserer Hilfe. Denn so können Sie aufwendige Nachbesserungen vermeiden und die Zertifizierung beschleunigen.

Wir möchten, dass Ihre Zertifizierung ein voller Erfolg wird. Unser Webcast "Zertifizierung nach IT-Sicherheitskatalog" fasst in 48 Minuten alles Wissenswerte zu Vorbereitung und Auditierung für Sie zusammen. 

Der Auditumfang laut IT-Sicherheitskatalog

Die meisten Netzbetreiber verfügen über zahlreiche Betriebsstätten, die nicht dauerhaft mit Personal besetzt sind. Solche Betriebsstätten lassen sich gemäß IT-Sicherheitskatalog in Gruppen einteilen. Wie diese Gruppen aussehen, richtet sich nach dem Standort und danach, wie sich die Anlage aus der Ferne steuern lässt. Im Audit werden diese stichprobenweise überprüft. Weitere Informationen rund um die zur Einstufung von Betriebsstätten finden Sie in unserem Fact Sheet "Zertifizierung gemäß IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG".

Factsheet herunterladen

  • Die Zertifizierung erfolgt in mehreren Schritten
    • Sie definieren den Geltungsbereich des ISMS, erstellen einen Maßnahmenplan und setzen ihn um.
    • Sie führen ein internes Audit – dies kann auch mit externer Unterstützung geschehen – sowie das Management Review durch.
    • Anschließend findet die eigentliche Auditierung in 2 Stufen durch TÜV SÜD statt.
    • Nach erfolgreicher Prüfung erstellt TÜV SÜD den Prüfbericht und das freigegebene Zertifikat .
    • Sie erhalten das Zertifikat sowie unser Prüfsiegel. Das Zertifikat ist 3 Jahre gültig – sofern die jährlichen Überwachungsaudits durchgeführt werden.
  • Tipps zum IT-Sicherheitsgesetz

    Der IT-Sicherheitskatalog ist nur eine der Maßnahmen, die der Bundestag beschlossen hat, um digitale Prozesse in kritischen Infrastrukturbereichen sicherer zu machen. Er ergänzt das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz. Dieses legt Mindestanforderungen für die IT-Sicherheit in Unternehmen fest, die für die Infrastruktur in Deutschland von großer Bedeutung sind. Mehr dazu erfahren Sie unter KRITIS – Nachweis über angemessene IT-Sicherheit.

  • Informationen zum Amendment ISO/IEC 27006

    Die internationalen Regelwerke, nach denen wir unsere Zertifizierungen durchführen, unterliegen einer ständigen Qualitätskontrolle und Überwachung durch die entsprechenden Gremien. Dies führte für ISO/IEC 27006, die für die Zertifizierung nach ISO/IEC 27001 relevante Akkreditierungsnorm, zur Veröffentlichung eines sogenannten Amendments im März 2020. Im Ergebnis führt dies dazu, dass die TÜV SÜD Management Service GmbH bis spätestens Ende März 2022 die Regelungen des Amendments umgesetzt haben muss und dies durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) bestätigt wurde.

    Mehr lesen...


WARUM TÜV SÜD?

  • Ganz gleich, in welcher Branche Ihr Unternehmen tätig ist, können sie sich auf die Fachkenntnis der Auditoren von TÜV SÜD verlassen. Sie sind hochqualifiziert und erfahren in der Bewertung von IT-Service- und anderen Managementsystemen für die verschiedensten Industriezweige.
  • Dank unseres globalen Expertennetzwerks, können Sie Niederlassungen weltweit durch ein und dieselbe Prüfstelle zertifizieren lassen.
  • Um verschiedensten internationalen Standards gerecht zu werden, bietet Ihnen TÜV SÜD ganzheitlichen Service. So steht Ihnen ein breites Portfolio an IT-Tests und Cyber-Security-Zertifizierungen zur Verfügung.
  • Mit einem Prüfsiegel von TÜV SÜD setzen Sie ein Zeichen für Qualität und Integrität. Denn TÜV SÜD steht weltweit für Zuverlässigkeit, Unabhängigkeit und Neutralität.
  • Durch das weltweit renommierte Prüfzeichen kommunizieren Sie Ihre Qualitätsstandards und heben sich von der Konkurrenz ab.

FORDERN SIE EIN UNVERBINDLICHES ANGEBOT FÜR DIE ZERTIFIZIERUNG AN

Ein individuelles Angebot verschafft Ihnen einen Überblick über Vorgehen und Kosten. Geben Sie einfach Ihre Kontakt- und einige Eckdaten zum Unternehmen an und Sie erhalten weitere Informationen rund um Ihre Zertifizierung.

Unverbindliches Angebot anfragen

Wissenswert

ISO 27001
Video

Video zur Informationssicherheit

Erfahren Sie in unserem Video, wieso die ISO/IEC 27001 u.a. zur Risikominimierung wichtig ist.

Jetzt Video anschauen

IT-Sicherheitskatalog
White Paper

IT-Sicherheitskatalog

Laden Sie sich den IT-Sicherheitskatalog der Bundesnetzagentur herunter.

Download

Voith ISO 27001
Case Study

Voith Digital Solutions

Die ISO/IEC 27001 Norm ist für das internationale Geschäft ein Muss.

Download

ISO 27001 Case Study
Case Study

Roche Diagnostics International AG

ISO/IEC 27001: Eine Zertifizierung, die Vertrauen schafft.

Download

Factsheet ISO 27001
Flyer

Factsheet ISO/IEC 27001

Erfahren Sie, wieso die Norm ISO/IEC 27001 wichtig für Ihr Unternehmen ist.

Download

Coronavirus - Infobild TÜV SÜD Management Service GmbH

Informationen Corona-Virus

Aufgrund der aktuellen Corona-Virus-Notlage sind bei den meisten Akkreditierern und Standardgebern Sonderregelungen möglich.

Erfahren Sie mehr

it-sa 2020
Veranstaltung

Wir sind dabei: „Launch [email protected] 365“

Cyber Security Zertifizierungen: ISO/IEC 27001, TISAX & more... Vertrauen Sie TÜV SÜD bei der IT-Sicherheit Ihrer Projekte und Prozesse.

JETZT INFORMIEREN!

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa