Sicherheitskatalog der Bundesnetzagentur veröffentlicht

Der Sicherheitskatalog der Bundesnetzagentur (BNetzA) wurde 12. August 2015 auf der Grundlage des § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) in seiner endgültigen Version veröffentlicht. In diesem IT Sicherheitskatalog hat die Bundesnetzagentur einzelne Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, veröffentlicht. Ein angemessener Schutz liegt gemäß §11 Abs. 1 EnWG dann vor, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes umgesetzt wurde. Der IT Sicherheitskatalog definiert Mindestanforderungen und die Netzbetreiber haben insbesondere den allgemein anerkannten Stand der Technik zu beachten.

Der IT Sicherheitskatalog der Bundesnetzagentur verfolgt die folgenden Schutzziele

Sicherheitskatalog der Bundesnetzagentur definiert IT-Sicherheitsstandards für Netzbetreiber.

Ziel des Sicherheitstatalogs der Bundesnetzagentur ist es, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Durch die Auswahl geeigneter,  angemessener und dem allgemein anerkannter Stand der Technik entsprechender Maßnahmen sollen die folgenden Schutzziele erreicht werden:

  • die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
  • die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
  • die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.

Aus dem IT Sicherheitskatalog der Bundesnetzagentur geht hervor, dass alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichtet werden. Im Kern wird die Etablierung eines Informationssicherheits-Managementsystems, kurz ISMS genannt, gemäß der internationalen Norm ISO/IEC 27001 gefordert und dies mit einer Zertifizierung bis zum 31. Januar 2018 nachzuweisen. Darüber hinaus müssen alle Netzbetreiber bis zum 30. November 2015 einen Ansprechpartner IT-Sicherheit benennen. Dieser soll koordinierende und kommunikative Aufgaben gegenüber der BNetzA und weiterer Interessenten wahrnehmen. Das entsprechende  Meldeformular zur Anmeldung eines Ansprechpartners IT-Sicherheit kann von der Webseite der Bundesnetzagentur bezogen werden.

Die SITACS ist seit vielen Jahren als Berater und Auditor bei verschiedenen Energieversorgungsunternehmen aus dem öffentlichen und privaten Bereich tätig. Wir beraten beispielsweise im Bereich der Einführung eines ISMS gemäß ISO 27001 oder führen ISO 27001 Zertifizierungen durch. Darüber hinaus sind wir bei verschiedenen Energieversorgern als IT-Revisor tätig. Bitte sprechen Sie uns an, wenn Sie Unterstützung in den genannten Bereichen benötigen.

Gerne beraten und unterstützen wir Sie bei der Umsetzung der Anforderungen gemäß dem Sicherheitskatalog der BNetzA gem. § 11 Abs. 1 a EnWG.

Sprechen Sie uns an.

ISO 27001 Zertifikat für ein Stadtwerk erteilt

Erteilung eines ISO 27001 Zertifikat für ein StadtwerkZiel dieses Projektes war die erfolgreiche Durchführung einer ISO 27001 Erst-Zertifizierung bei einem regionalen Energieversorger bzw. Stadtwerk, so dass im Anschluss ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz durch das BSI ausgestellt werden konnte.

Grundlage für die Zertifizierung war das Zertifizierungsschema des BSI. Vor der ISO 27001 Zertifizierung wurde vom Auftraggeber im Rahmen eines über mehrere Monate laufenden internen Projektes die notwendige Dokumentation erstellt sowie die entsprechenden Maßnahmen umgesetzt und erforderliche Prozesse eingeführt.

Projekt: ISO 27001 Zertifikat auf Basis von IT-Grundschutz bei einem Stadtwerk / Energieversorger

Im Zusammenhang mit der ISO 27001 Zertifizierung bei dem Stadtwerk haben wir

  • eine Prüfung der vorhandenen Dokumentation sowie
  • eine Prüfung der vom BSI geforderten Referenzdokumente

durchgeführt. Hierbei haben wir besonders auf die Ausgestaltung der Prozesse des Informationssicherheitsmanagements (ISMS) sowie die korrekte Umsetzung der zu prüfenden Bausteine aus den IT-Grundschutzkatalogen geachtet. Im Anschluss an die Dokumentationsprüfung wurde mit dem ISO 27001 Audit vor Ort fortgefahren und in Stichproben geprüft, ob die in der Dokumentation enthaltenen Angaben angemessen und sachgerecht umgesetzt wurden.

Projektergebnis

Die Ergebnisse über die Dokumentationsprüfung sowie die Prüfung bei dem Auftraggeber vor Ort wurden im Anschluss in einem Auditbericht festgehalten. Dieser wurde dem BSI zur weiteren Prüfung vorgelegt und anschließend wurde vom BSI das ISO 27001 Zertifikat auf Basis von IT-Grundschutz erteilt. Das Projekt wurde von uns innerhalb Time und Budget durchgeführt.

Hinweis!

Bundesnetzagentur schreibt ISO 27001 Zertifizierung vor.

Eine ISO 2001 Zertifizierungen wurde kürzlich von der Bundesnetzagentur für alle Netzbetreiber gefordert und diese hat die Anforderungen in einem ersten  IT Sicherheitskataloges zusammengestellt. Gemäß diesem Sicherheitskatalog sollen alle Netzbetreiber verpflichtet werden, bis spätestens 31. Januar 2018 ein Informationssicherheitsmanagement (ISMS)  gemäß ISO 27001 aufzubauen. Hierbei soll der IT Sicherheitskatalog auf alle Netzkomponenten oder Teilsysteme, die einem unmittelbaren oder mittelbaren Einfluss auf die Netzfahrweise haben, angewendet werden. Hiervon sind fast alle Netzbetreiber betroffen.


Wir unterstützen Sie gerne bei dem Aufbau eines Informationssicherheitsmanagements (ISMS) gemäß ISO 27001, beispielsweise durch ein aktives Coaching Ihrer Mitarbeiter und die Erstellung der notwendigen Dokumentationsunterlagen bzw. bei der Implementierung der notwendigen Prozesse. Außerdem nehmen wir gerne ISO 27001 Zertifizierungsaufträge von Kunden entgegen, bei denen wir nicht zuvor in einem ISO 27001 Beratungsprojekt mitgewirkt haben. Sprechen Sie uns bitte an oder benutzen Sie unser Kontaktformular.