Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtete die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso musste bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.
Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z.B. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z.B. Netzzustandsinformationen oder zum Lastmanagement müssen nach dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z.B. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).
Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:
Wichtig bei der Abgrenzung des Geltungsbereichs ist das Festlegen von Schnittstellen zur Sicherheitsorganisation außerhalb des Scopes, um z. Bsp. Meldepflichten und Kommunikationswege zu anderen Behörden einzuhalten.
Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:
Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.
Die anschließende Zertifizierung erfolgt durch ein mit der Deutschen Akkreditierungsstelle (DAkkS) entwickeltes Zertifikat. Erfahrungsgemäß dauert die Einführung eines ISMS bis zur Zertifizierungsreife 1 – 2 Jahre, die Priorisierung des Projektes durch die Geschäftsleitung bestimmt dabei den eigentlichen Zeitraum bis zur Zertifizierung.
Wir unterstützen Sie durch
Insbesondere durch das Nutzen unserer Workshopreihe speziell für Energieversorger und Stadtwerke ergeben sich zahlreiche Möglichkeiten zur Zusammenarbeit zwischen den einzelnen Unternehmen.