Zertifizierung nach IT-Sicherheitskatalog gemäß EnWG

Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig, deren Funktionsfähigkeit zunehmend von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Die Bundesnetzagentur hat daher in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards für die Informationssicherheit erstellt.

Die IT-Sicherheitskataloge verpflichten Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.

Für die Betreiber von Strom- und Gasnetzen besteht seit dem 31. Januar 2018 eine Pflicht zur Zertifizierung nach dem IT-Sicherheitskatalog, die Sie in Kooperation mit der UIMCert erreichen können. Für die Betreiber von Energieanlagen, die gemäß BSI-KritisV als Kritische Infrastruktur gelten, haben den am 18. Dezember 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen [bitte beachten Sie die Update-Information].

IT-Sicherheitskataloge:

Betreiber von Strom- und Gasnetzen (Zertifizierung gemäß § 11 Absatz 1a EnWG)

Für die Betreiber von Strom- und Gasnetzen besteht seit dem 31. Januar 2018 eine Pflicht zur Zertifizierung nach dem IT-Sicherheitskatalog.
Ziel des Gesetzgebers ist die Schaffung sicherer Energieversorgungsnetze. Hierbei stand in der Vergangenheit vor allem die technische Anlagensicherheit im Mittelpunkt, um die allgemeine Versorgungssicherheit zu gewährleisten.

Mit der in der heutigen Zeit stärkeren Durchdringung des Betriebs von Energieversorgungsnetzen mit Informations- und Kommunikationstechnologie gewinnt die IT-Sicherheit zunehmend an Bedeutung. Um einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, zu gewährleisten, wurde der IT-Sicherheitskatalog entwickelt. Da die bloße Umsetzung von Einzelmaßnahmen nicht zielführend ist, kann IT-Sicherheit nur ein Teilkonzept sein. Der IT-Sicherheitskatalog sieht daher einen ganzheitlichen Ansatz vor, in dem nicht nur IT-Sicherheit, sondern Informationssicherheit insgesamt gewährleistet werden muss.

Die Realisierung und die Steuerung der Informationssicherheit hat dementsprechend über ein Informationssicherheits-Managementsystem (ISMS) zu erfolgen. Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat zu belegen. Gemäß § 11 Absatz 1a S. 4 EnWG liegt ein angemessener Schutz vor, wenn die Sicherheitsanforderungen des IT-Sicherheitskatalog vom Betreiber eines Energieversorgungsnetzes erfüllt werden.

Die UIMCert kann Sie hierbei in gewohnter Kompetenz und Expertise zertifizieren. Gerne können Sie sich hinsichtlich eines Angebots an uns wenden.

Betreiber von Energieanlagen (§ 11 Absatz 1b EnWG)

Für die Betreiber von Energieanlagen, die gemäß BSI-KritisV als Kritische Infrastruktur gelten, haben den am 18. Dezember 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen. Die Umsetzung ist durch die Betreiber der Energieanlagen bis zum 31.03.2021 durch eine Zertifizierung nach besagtem IT-Sicherheitskatalog zu belegen.

Ziel des Gesetzgebers ist die Schaffung sicherer Energieversorgungsnetze. Hierbei stand in der Vergangenheit vor allem die technische Anlagensicherheit im Mittelpunkt, um die allgemeine Versorgungssicherheit zu gewährleisten.

Mit der in der heutigen Zeit stärkeren Durchdringung des Betriebs von Energieversorgungsnetzen mit Informations- und Kommunikationstechnologie gewinnt die IT-Sicherheit zunehmend an Bedeutung. Um einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, zu gewährleisten, wurde der IT-Sicherheitskatalog entwickelt. Da die bloße Umsetzung von Einzelmaßnahmen nicht zielführend ist, kann IT-Sicherheit nur ein Teilkonzept sein. Der IT-Sicherheitskatalog sieht daher einen ganzheitlichen Ansatz vor, in dem nicht nur IT-Sicherheit, sondern Informationssicherheit insgesamt gewährleistet werden muss.

Die Realisierung und die Steuerung der Informationssicherheit hat dementsprechend über ein Informationssicherheits-Managementsystem (ISMS) zu erfolgen. Der Netzbetreiber ist verpflichtet, die Konformität seines ISMS mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat zu belegen. Gemäß § 11 Absatz 1a S. 4 EnWG liegt ein angemessener Schutz vor, wenn die Sicherheitsanforderungen des IT-Sicherheitskatalog vom Betreiber eines Energieversorgungsnetzes erfüllt werden.

Bei Fragen hierzu können Sie sich gerne an uns wenden.

[WICHTIG] Update für Betreiber von Energieanlagen

Update vom 03.07.2020

Zum derzeitigen Zeitpunkt sind Zertifizierungen noch nicht möglich. Das Konformitätsbewertungsprogramm als Basis für die Zertifizierungen ist noch nicht verabschiedet. Hinzu kommen die derzeitigen Einschränkungen durch die Coronavirus-Pandemie auf Seiten aller Beteiligten. Hier wird insbesondere darauf hingewiesen, dass besonders Prozesse, die Vor-Ort-Aktivitäten Dritter betreffen (Audit, Inspektion, Prüfung vor Ort), als problematisch angesehen werden.

Aus diesen Gründen wird die Bundesnetzagentur zum 31.03.2021 lediglich das Erreichen der Zertifizierungsreife, nicht jedoch den Abschluss des geforderten Zertifizierungsverfahrens verlangen. Es jedoch eine schriftliche Erklärung des Betreibers an die BNetzA notwendig, aus der hervor geht, dass die Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1b EnWG vollständig umgesetzt wurden und dass eine akkreditierten Zertifizierungsstelle mit der Zertifizierung beauftragt wurde. Die geplante Audittermine sind beizufügen.
Zusammengefasst:

  • Stichtag 31.03.2021 bleibt bestehen
  • Keine Zertifizierung bis Stichtag notwendig
  • Vollständige Umsetzung der Anforderungen des IT-Sicherheitskatalogs gemäß § 11 Abs. 1b EnWG zum Stichtag
  • Zertifizierungsreife muss zum Stichtag gegeben sein
  • Akkreditierter Zertifizierer muss zum Stichtag beauftragt sein
  • Audittermine müssen zum Stichtag bestehen.
  • Zertifizierung in angemessenem Zeitraum nach Stichtag

Die Anforderungen umfassen im Wesentlichen:

Wahl des richtigen Geltungsbereichs

Der Geltungsbereich umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.

Dies bedeutet, zumindest alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind (also unmittelbar Einfluss nehmen auf die Netzfahrweise) sowie TK- und EDV-Systeme, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte (z. B. Messeinrichtungen an Trafo- oder Netzkoppelstationen).

Informationssicherheits-Managementsystem (ISMS)

Netzbetreiber haben ein ISMS zu implementieren, das den Anforderungen der DIN ISO/IEC 27001 in der jeweils geltenden Fassung genügt und mindestens dem oben beschrieben Geltungsbereich umfasst.

Berücksichtigung der Umsetzungsempfehlungen und Branchenbesonderheiten

Bei der Implementierung des ISMS sind die Normen DIN ISO/IEC 27002 (Umsetzungsempfehlungen zur ISO 27001) und DIN ISO/IEC TR 27019 (Branchenbesonderheiten, d. h. Prozesssteuerung der Energieversorgung) in der jeweils geltenden Fassung zu berücksichtigen.

Netzstrukturplan

Es ist eine Übersicht zu erstellen, die alle vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen enthält.

Risikoeinschätzung

Die Risikoeinschätzung hat sich an den Schadenskategorien

  • „kritisch“ (die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen),
  • „hoch“ (die Schadensauswirkungen können beträchtlich sein) und
  • „mäßig“ (die Schadensauswirkungen sind begrenzt und überschaubar) zu orientieren.

Für die Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, ist grundsätzlich von einer Einstufung in die Kategorie „hoch“ auszugehen. Im Einzelnen ist zu prüfen, ob ggf. eine Einstufung als „kritisch“ notwendig ist. Eine vom Grundsatz abweichende Einstufung als „mäßig“ ist ausführlich zu begründen und zu dokumentieren.

 

Ablauf des Zertifizierungsprozesses:

Wie sieht ein solcher Ablauf aus?

Die UIMCert ist seit rund 20 Jahren ein führendes Unternehmen im Bereich der Informationssicherheits-Zertifizierung und ist bei der „Deutsche Akkreditierungsstelle GmbH“ (DAkkS) u.a. für den Standard ISO/IEC 27001 akkreditiert. So begleiten wir Sie gerne durch den Zertifizierungsprozess.

Vorbereitenden Tätigkeiten:

  1. Die Organisation richtet sich nach der ISO/IEC 27001 aus und baut ein ISMS auf.
  2. Anfrage der Organisation (Auditee) nach einer Zertifizierung bei der UIMCert
  3. Ausfüllen des Fragebogens zur Angebotsermittlung durch den Auditee
  4. Aufwandskalkulation und Angebotserstellung durch die UIMCert
  5. Angebotsannahme durch den Auditee
  6. Vertragsabschluss zwischen Auditee und UIMCert

Zertifizierungsauditprozess

Der Zertifizierungsprozess besteht aus 3 Schritten.

1.    Stufe-1-Audit:

  • Zur-Verfügung-Stellung der angeforderten Dokumentation (Auditee)
  • Dokumentationsprüfung (UIMCert)
  • Grundlegende Feststellung zur Zertifizierungsfähigkeit in der Regel vor Ort beim Auditee (UIMCert)
  • Ermittlung der Bereitschaft des Auditees für das Stufe-2-Audit (UIMCert)
  • Übersendung der Auditergebnisse an den Auditee (UIMCert)

2.    Stufe-2-Audit:

•    Auditierung vor Ort
•    Erstellung des Auditberichts
•    Empfehlung über Zertifikatsvergabe durch den Auditleiter

3.    Entscheidung über Zertifikatsvergabe durch Zertifizierungsstellenleitung

Im Stufe-1-Audit findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf das Stufe-2-Audit dar. Hierbei erfolgt in der Regel zur Bewertung der grundsätzlichen Zertifizierungsfähigkeit des Informationssicherheits-managementsystems eine Vor-Ort-Begehung beim Auditee. Innerhalb des Stufe-1-Audits wird die Bereitschaft des Auditees für die Durchführung des Stufe-2-Audits ermittelt. Der Auditee erhält einen Auditbericht mit einem Voting, ob das Stufe-2-Audit durchgeführt werden kann, einschließlich der Hinweise zu identifizierten Schwachstellen, die während des Audits der Stufe 2 als Nichtkonformität eingestuft werden könnten. In diesem Auditverfahren ist vorgesehen, dass nach Stufe 1 ein Abbruch des Audits möglich ist, sollte die Dokumentation und/oder andere individuelle Bedingungen dies nahelegen.

Das Stufe-2-Audit beinhaltet das eigentliche Vor-Ort-Audit. Hierbei wird die Umsetzung einschließlich der Wirksamkeit des Managementsystems des Kunden unter Berücksichtigung der verschiedenen Standorte bewertet. Ob alle Standorte auditiert werden müssen, oder eine Stichprobelprüfung möglich ist, muss im Vorfeld überprüft werden. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleiters über eine mögliche Zertifikatsvergabe in Berichtsform.

Auf Basis des abschließenden Prüfberichts wird durch die Zertifizierungsstellenleitung die Entscheidung über die Erteilung (Initialaudit) bzw. Aufrechterhaltung (Überwachungsaudits) oder Verlängerung (Rezertifizierung) des Zertifikats getroffen. Ein Zertifikat ist drei Jahre gültig.

Im Anschluss an das initiale Zertifizierungsaudit muss die Zertifizierung über die drei Jahre ihrer Gültigkeit überwacht werden, um die Zertifizierung aufrecht erhalten zu können. Dies geschieht in Form von jährlichen Überwachungsaudits, sodass ein Zertifizierungszyklus im Regelfall aus einem Zertifizierungs- bzw. Rezertifizierungsaudit besteht, sowie aus zwei Überwachungsaudits, jeweils eins in den beiden Folgejahren. Das erste Überwachungsaudit ist innerhalb von 12 Monaten nach der Zertifikatserteilung, das zweite Überwachungsaudit ist im folgenden Kalenderjahr durchzuführen.

Nach drei Jahren verliert das Zertifikat seine Gültigkeit. Eine Verlängerung des Zertifikats ist durch eine Rezertifizierung möglich. Das Rezertifizierungsverfahren muss vor Ablauf der Gültigkeit des Zertifikats abgeschlossen sein. Entsprechen frühzeitig sollte die Rezertifizierung begonnen werden. Im Regelfall wird der Auditee mindestens drei Monate vor Ablauf des Zertifikats auf die Notwendigkeit zur Einleitung des Rezertifizierungsverfahrens hingewiesen.

Zur Bewertung der Normkonformität über den Zertifizierungszeitraum finden dabei vorhergehende Audits und Auditberichte Berücksichtigung. Ein Rezertifizierungsaudit beinhaltet immer mindestens ein Stufe-2-Audit. Die Anzahl der zu prüfenden Standorte richtet sich nach den Erkenntnissen zur Standortprüfung bei der ursprünglichen Zertifizierung und aktuellen Gegebenheiten.
Zur Beseitigung erkannter Nichtkonformitäten werden der Organisation entsprechende Fristen gesetzt, um diese zu beheben. Wie bei der Erstzertifizierung und den Überwachungsaudits wird auch bei der Rezertifizierung ein Auditbericht erstellt, der die Grundlage für die Entscheidung über die Erneuerung des Zertifikats durch die Zertifizierungsstellenleitung bildet.

Welche Kosten entstehen durch eine Zertifizierung?

Für eine Zertifizierung lassen sich die Kosten nicht pauschal beziffern. Die Kosten richten sich nach dem notwendigen Aufwand für die Zertifizierung. Der Aufwand wird von vielen Faktoren beeinflusst. Diese reichen u. a. von der Anzahl der im Geltungsbereich tätigen Personen über die Risikosituation bis zum Stand der Etablierung des ISMS. Aus diesem Grund ist der erste Schritt für die Aufwandskalkulation das Ausfüllen unseres „Fragebogens zu Angebotskalkulation“ durch den Auditee.

Sprechen Sie uns an!

Sie finden sich im Normen-Zoo nicht zurecht?

Oder Sie sind sich unsicher, welche Norm die Richtige für Sie und Ihr Vorhaben ist?
Dann empfehlen wir Ihnen unseren Normen-Strukturierungs-Workshop!

Akkreditiert bei
akkreditiert bei der DAkkS