INFORMATIONSSICHERHEIT FÜR NETZBETREIBER und Energieanlagenbetreiber

IT-Sicherheitskatalog

Um die Sicherheit informationstechnischer Systeme zu erhöhen, veröffentlichte die Bundesnetzagentur Mitte 2015 den ersten IT-Sicherheitskatalog für Netzbetreiber (§11 Abs. 1a EnWG). Im Dezember 2018 folgte der zweite IT-Sicherheitskatalog für Energieanlagenbetreiber der Sparten Strom und Gas (§11 Abs. 1b EnWG). 

Der IT-Sicherheitskatalog fordert grundsätzlich die Umsetzung eines vollumfänglichen Informationssicherheits-Managementsystems (ISMS) gemäß der Norm ISO/IEC 27001 und stellt eine Erweiterung der Anforderungen an ein ISMS dar.

  • IT-Sicherheitskatalog
  • Kritische Infrastruktur
  • Bundesnetzagentur
  • IT-gestützte Prozesse

Für Netzbetreiber gilt:
Die Anforderungen an das ISMS müssen zusammen mit den Anforderungen des IT-Sicherheitskatalogs und der Norm ISO/IEC 27019 (hier: mit Bezug auf sektorspezifische Besonderheiten) erfüllt werden.

Bis zum 31. Januar 2018 mussten Netzbetreiber eine Zertifizierung gemäß dieser „Trilogie“ durch eine von der DAkkS akkreditierte Zertifizierungsstelle gegenüber der Bundesnetzagentur nachweisen.

Ein Konformitätsbewertungsprogramm für Netzbetreiber liegt vor. 

Für Betreiber von Energieanlagen (Sparten: Strom und Gas) gilt:

Wenn die Schwellenwerte der BSI-KritisV erreicht bzw. überschritten werden, dann müssen Energieanlagen-Betreiber die Anforderungen des Sicherheitskatalogs II als Minimalanforderungen umsetzen. Danach ist ein ISMS nach ISO/IEC 27001 aufzubauen und zu betreiben, welches auditiert und zertifiziert werden muss und gegenüber der BNetzA nachzuweisen ist.

Die aktuellen Schwellenwerte sind in der BSI-KritisV (Anhang 1, Teil 3) festgelegt. Der Nachweis in Bezug auf die Umsetzung der Anforderungen aus dem Sicherheitskatalog II muss bis zum 31.03.2021 erfolgen.

Ein Konformitätsbewertungsprogramm für Energieanlagenbetreiber liegt noch nicht vor. Eine Forderung wird die Umsetzung eines ISMS nach ISO/IEC 27001 sein. Nutzen Sie die Zeit, um sich als Unternehmen darauf vorzubereiten.

  • anerkannter Nachweis über die Wirksamkeit Ihrer Sicherheitsmaßnahmen
  • systematische Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen
  • stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
  • fortlaufende Verbesserung des Sicherheitsniveaus und der Widerstandsfähig gegen ungewollte Zugriffe
  • mehr Handlungs- und Rechtssicherheit, Einhaltung relevanter Compliance-Anforderungen
  • hohes Maß an Vertrauen und Loyalität bei allen interessierten Parteien
  • Nachweispflichten werden erfüllt

Als fachkundiger, akkreditierter Zertifizierer auditieren wir im Rahmen des klassischen DQS-Zertifizierungsprozesses vollumfänglich die Wirksamkeit Ihres Managementsystems. Jede Zertifizierung planen wir individuell, abgestimmt auf die jeweiligen Gegebenheiten und Ihre Unternehmensziele. Als erste Leistungsbewertung kann ein Voraudit zur Ermittlung von Stärken und Verbesserungspotenzialen dienen. Im Zertifizierungsaudit begutachten wir, ob Sie alle Anforderungen erfüllen. Das Zertifikat dokumentiert Ihre erfolgreiche Umsetzung. Eine jährliche Überwachung dient der Prozessstabilität und der Risikominimierung. Nach drei Jahren erfolgt die Rezertifizierung.

Sprechen Sie uns an

Team IDS

Sprechen Sie uns an

Team IDS

isms@dqs.de

IT-Sicherheit im Sektor „Wasser“

Mit dem IT-Sicherheitsgesetz wurden auch Wasserversorgungs- und Abwasserentsorgungs-Unternehmen vom Gesetzgeber als Kritische Infrastruktur eingestuft. Ihnen gibt der vom DWA und DVGW entwickelte „Branchenspezifische IT-Sicherheitsstandard (B3S) Wasser/Abwasser“ die Möglichkeit, ein Schutzniveau nach dem Stand der Technik zu implementieren. Die DQS ist als „prüfende Stelle“ anerkannt und steht zur Bestätigung des „B3S“ zur Verfügung. Eine Reihe von DQS-Auditoren haben die Prüfverfahrenskompetenz nach § 8a BSIG nachgewiesen und sind beim BSI gelistet.

 

Veranstaltungen
zum Thema

Veranstaltungen
zum Thema