Zertifizierung gemäß IT-Sicherheitskatalog für Energienetzbetreiber

Zertifizierung gemäß IT-Sicherheitskatalog für Energienetzbetreiber

Ihre Herausforderungen


Die Bereitstellung von Strom und Gas für die Gesellschaft ist die Aufgabe von Energieversorgungsunternehmen und muss von diesen gewährleistet werden. Die Funktionsfähigkeit der Energieversorgungsanlagen mit einer intakten Informations- und ommunikationstechnologie (IKT) ist Voraussetzung für einen sicheren Netzbetrieb und muss daher besonders geschützt werden.

Eine dezentrale Stromerzeugung benötigt eine zuverlässige – und vor allem sichere – Netzsteuerung. Diese wiederum ist in hohem Maße von einer intakten IKT des Netzbetreibers abhängig. Deshalb hat die Bundesnetzagentur (BNetzA) im August 2015 den IT-Sicherheitskatalog für Energienetzbetreiber verabschiedet.

 

IT-Sicherheitskatalog für Energienetzbetreiber


Für Energienetzbetreiber hat die BNetzA gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) erarbeitet.

Demnach müssen alle Strom- und Gasnetzbetreiber bis zum 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einführen und zertifizieren lassen. Mit dem ISMS müssen Netzbetreiber die Anforderungen der ISO/IEC 27001 mit Zusatzanforderungen des IT-Sicherheitskatalogs erfüllen. Mit der Konkretisierung der BNetzA werden die Anforderungen spezifiziert.

Konformitätsbewertungsprogramm der BNetzA bringt weitere Klarheit


Im April 2016 veröffentlichte die Bundesnetzagentur das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen. Hier finden auch Energieversorger wichtige Hinweise.

Festgelegt wurde: Das Zertifizierungsschema nach ITSicherheitskatalog folgt den Normen ISO/IEC 27001. In der Veröffentlichung werden für die Zertifizierung bedeutende Konkretisierungen festgelegt.

Ausblick und Empfehlung


Energienetzbetreiber sollten – so nicht bereits geschehen – kurzfristig mit der Einführung des ISMS auf der Basis der DIN ISO/IEC 27001 und der Zusatzanforderungen des IT-Sicherheitskataloges beginnen. Das ist eine ressourcenintensive Aufgabe. Als Projektdauer
vom Planungsstart bis zur Zertifizierung lassen sich – je nach Ausgangslage – durchschnittlich 6 bis 24 Monate veranschlagen.

Wichtig: Strom- und Gasnetzbetreiber müssen das ISMS nicht nur einführen, sondern auch die Wirksamkeit der Maßnahmen bestätigen, um sie im Audit nachweisen zu können. Darüber hinaus kommt es zum Ende der Frist bei den Zertifizierern, wie TÜV Hessen, erfahrungsgemäß zu Terminengpässen. Eine freie Terminwahl ist zu früheren Zeitpunkten besser gewährleistet. Ein frühzeitiger Projektstart ist deshalb empfehlenswert.

Ihre Ansprechpartner


Elmar Stark
Tel.: 0561 2091-488
E-Mail: Kontakt

Markus Jegelka
Tel.: 06151 600-314
E-Mail: Kontakt

KRITIS-Übersicht

Die Übersicht aller TÜV Hessen-Dienstleistungen zum Themenfeld KRITIS.

zurück zur PROFICERT Hauptseite