IT-Sicherheitsgesetz für Energieversorger

Worum geht es?

Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtete die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso musste bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.

Was ist zu tun?

  • Benennung eines Informationssicherheitsbeauftragten bis 30. November 2015
  • ISMS-Einführung und Zertifizierung nach ISO 27001 bis Januar 2018

Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z.B. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z.B. Netzzustandsinformationen oder zum Lastmanagement müssen nach dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z.B. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).

Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:

  • Leitsysteme und Systembetrieb
  • Übertragungstechnik/ Kommunikation
  • Sekundär-/ Automatisierungs- und Fernwirktechnik

Wichtig bei der Abgrenzung des Geltungsbereichs ist das Festlegen von Schnittstellen zur Sicherheitsorganisation außerhalb des Scopes, um z. Bsp. Meldepflichten und Kommunikationswege zu anderen Behörden einzuhalten.

Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z.B. Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz
  • Finanzielle Auswirkungen

Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.

Die anschließende Zertifizierung erfolgt durch ein mit der Deutschen Akkreditierungsstelle (DAkkS) entwickeltes Zertifikat. Erfahrungsgemäß dauert die Einführung eines ISMS bis zur Zertifizierungsreife 1 – 2 Jahre, die Priorisierung des Projektes durch die Geschäftsleitung bestimmt dabei den eigentlichen Zeitraum bis zur Zertifizierung.

Warum neam?

  • Zertifizierte ISO27001 Lead Auditoren und Lead Implementer
  • Bundesweit hohe Anzahl umgesetzter ISMS-Projekte
  • Stark im Sektor der Energieversorgungsunternehmen – lesen Sie z. Bsp. unsere Referenz-Story mit der Regiocom GmbH
  • erprobte Dokumentationsstandards und -vorlagen für alle Projektphasen
  • Qualitätsmanagement nach DIN EN ISO 9001 zertifiziert

Wir unterstützen Sie durch

  • Ausbildung Ihres Informationssicherheitsbeauftragten (z.B. zum ISO 27001 Lead Implementer) für Ihre eigenständige ISMS-Einführung
  • einzelne, themenbezogene Workshops, wobei wir gemeinsam mit Ihnen die jeweiligen Punkte eines ISMS (Risikomanagement, Notfallmanagement usw.) erarbeiten
  • Projektbegleitung im Rahmen unserer Workshopreihe bis zur Zertifizierungsreife (wir unterstützen Sie in einer Reihe von Workshops speziell für Energieversorger bei der ISMS-Einführung, die Arbeiten werden weitestgehend von Ihnen durchgeführt)
  • individuelles Coaching, abgestimmt auf Ihre Bedürfnisse und Möglichkeiten
  • Vollständige ISMS-Einführung bis zur Zertifizierungsreife, wobei wir jedoch immer auf Ihre Unterstützung angewiesen sind
  • Stellen des externen Sicherheitsbeauftragten zur Unterstützung und Bearbeitung der Projektschritte

Insbesondere durch das Nutzen unserer Workshopreihe speziell für Energieversorger und Stadtwerke ergeben sich zahlreiche Möglichkeiten zur Zusammenarbeit zwischen den einzelnen Unternehmen.

ISO27001
ISMS Einführung im Rahmen einer Workshopreihe Module & Termine

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Ich wünsche konkrete Informationen zu

Haben Sie besondere Wünsche oder Anforderungen?