IT-Sicherheitskatalog der Bundesnetzagentur: ISO 27001 Zertifikat für Energieversorger bis Januar 2018

Jetzt ist es offiziell: Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtet die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes vor wenigen Wochen bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso muss bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.

Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z. Bsp. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z. Bsp. Netzzustandsinformationen oder zum Lastmanagement müssen dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z. Bsp. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).

Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:

  • Leitsysteme und Systembetrieb
  • Übertragungstechnik/ Kommunikation
  • Sekundär-/ Automatisierungs- und Fernwirktechnik

Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. Bsp. Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz
  • Finanzielle Auswirkungen

Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.

 

ISO27001 für EVU
ISMS Einführung im Rahmen einer Workshopreihe Termine

 

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Wir unterstützen Sie gerne, nehmen Sie Kontakt mit uns auf - wenn Sie uns gleich noch ein paar Informationen mitteilen, erhalten Sie von uns direkt eine Abschätzung des zu erwartenden Aufwands:

Welcher Standard ist interessant für Sie?

Wird eine Zertifizierung angestrebt?
janein

Soll das gesamte Unternehmen betrachtet werden?

Wieviele Mitarbeiter gibt es bei Ihnen?

Wieviele Standorte gibt es?

Wieviele Gebäude sollen betrachtet werden?

Existiert bereits ein Sicherheitskonzept? Aus welchem Jahr?

Wie aktuell sind die Netzwerkstrukturpläne?

Nutzen Sie eine Inventarisierungssoftware, um Ihre IT-Umgebung zu erfassen?
janein

Welche Betriebssysteme sind im Einsatz?

Welche Technologien werden verwendet?
VirtualisierungTerminalserverSANWebanwendungeneigenentwickelte Anwendungen

Existiert eine übergeordnete Sicherheitsleitlinie?
janein

Wurde ein Sicherheitsbeauftragter ernannt?
janein

Wenn ja, wird der Sicherheitsbeauftragte von einem Team unterstützt?
janein

Wieviele Fachanwendungen/ Prozesse sind relevant?

Wieviele Fachanwendungen/ Prozesse sind davon von hoher bzw. sehr hoher Wichtigkeit?

Wurden Schutzbedarfskategorien definiert?
janein

Wurden Risikoanalysen durchgeführt?
janeinteilweise

Welches Tool setzen Sie für Ihr ISMS ein?

Wurde ein Basissicherheitscheck gemäß BSI durchgeführt?
janeinteilweise

Wurde eine Anwendbarkeitserklärung (gem. ISO27001) erstellt?
janeinteilweise

Existieren die folgenden Teilkonzepte?

Behandlung von Sicherheitsvorfällen janeinteilweise

Mitarbeitersensibilisierung janeinteilweise

Datensicherungskonzept janeinteilweise

Notfallvorsorgekonzept janeinteilweise

Virenschutzkonzept janeinteilweise