Die von der Bundesnetzagentur vorgeschriebene Zertifizierung des Informationssicherheits-Managements nach ISO/IEC 27001 führt bei kleinen und mittleren Energieversorgern zu finanziellen Belastungen. Die Kosten zahlen die Bürger im Versorgungsgebiet. Direkt durch Strompreiserhöhungen, indirekt – weil sich die Belastungen nicht immer auf den Strompreis umlegen lassen - durch mangelnde Liquidität bei den betroffenen Energieversorgern.
Zügiges und überlegtes Handeln reduziert den Aufwand für kleine und mittlere Energieversorger deutlich. Kleinstenergieversorger müssen überprüfen, ob eine Zertifizierungspflicht besteht. Kleine und mittlere Energieversorger können sich zur Vorbereitung und Durchführung der Zertifizierung zusammenschließen. Hier ist das Sparpotenzial besonders hoch. „Alleine bei den externen Kosten, die für die Vorbereitung der Zertifizierung notwendig sind, lassen sich bis zu 50 Prozent einsparen“, sagt Dr. Stefan Krempl, Vorstand Süd-IT AG. „Die Beratung durch Unternehmen, die die Belange des Mittelstandes kennen, ist in jedem Fall empfehlenswert.
Gemäß dem IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) müssen alle Energieversorger grundsätzlich bis Ende Januar 2018 eine Zertifizierung nach ISO/IEC 27001 abgeschlossen haben. Für die ca. 1000 kleinen und mittelgroßen Energieversorger, mit zum Teil nur Tausend oder wenigen Hundert Kunden, stellt sich die Frage nach der Zertifizierungspflicht und wie sich gegebenenfalls die Kosten in einem vertretbaren Rahmen halten lassen. Verallgemeinert gilt die Zertifizierungspflicht für ein Unternehmen, wenn Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt werden, der Ausfall von ITK Systemen die Sicherheit des Netzbetriebes gefährdet oder wenn für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme erforderlich sind.
Aktuell gibt es noch keine Praxis in der Beurteilung der Systemrelevanz von Klein- und Kleinstanlagenbetreibern und ob Einrichtungen wie z.B. die Leistungssteuerung von Photovoltaikanlagen bereits zu einer Pflicht zur Zertifizierung führen. Eine Überprüfung, ob eine Zertifizierungspflicht besteht, ist daher in jedem Fall notwendig. Zusammen mit erfahren ISO 27001-Auditoren sollten jetzt die zuständigen Verbänden mit der Bundesnetzagentur klären, wie die Zertifizierungspflicht für Kleinstbetreiber auszulegen ist.
Für die meisten kleinen bis mittelgroßen Energieversorger ist eine Zertifizierung zwingend vorgeschrieben. Um den Aufwand so gering wie möglich zu halten, bietet sich bei der Vorbereitung und Zertifizierung ein Zusammenschluss von zwei bis fünf Energieversorgern an. So können Vorbereitungs-Workshops gemeinsam abgehalten, gemeinsame Dokumente erarbeitet werden und damit auch interne Aufwände reduziert werden. Die größtmögliche Einsparung ergibt sich durch den Aufbau weitgehend identischer Managementsysteme. Wichtig: Jedes Unternehmen wird für sich zuletzt selbst zertifiziert. Auch in diesem letzten Stadium des Zertifizierungsprozesses ist es sinnvoll, sich Angebote von verschiedenen zertifizierenden Organisationen machen zu lassen.
Zügiges und überlegtes Handeln reduziert den Aufwand für kleine und mittlere Energieversorger deutlich. Kleinstenergieversorger müssen überprüfen, ob eine Zertifizierungspflicht besteht. Kleine und mittlere Energieversorger können sich zur Vorbereitung und Durchführung der Zertifizierung zusammenschließen. Hier ist das Sparpotenzial besonders hoch. „Alleine bei den externen Kosten, die für die Vorbereitung der Zertifizierung notwendig sind, lassen sich bis zu 50 Prozent einsparen“, sagt Dr. Stefan Krempl, Vorstand Süd-IT AG. „Die Beratung durch Unternehmen, die die Belange des Mittelstandes kennen, ist in jedem Fall empfehlenswert.
Gemäß dem IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) müssen alle Energieversorger grundsätzlich bis Ende Januar 2018 eine Zertifizierung nach ISO/IEC 27001 abgeschlossen haben. Für die ca. 1000 kleinen und mittelgroßen Energieversorger, mit zum Teil nur Tausend oder wenigen Hundert Kunden, stellt sich die Frage nach der Zertifizierungspflicht und wie sich gegebenenfalls die Kosten in einem vertretbaren Rahmen halten lassen. Verallgemeinert gilt die Zertifizierungspflicht für ein Unternehmen, wenn Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt werden, der Ausfall von ITK Systemen die Sicherheit des Netzbetriebes gefährdet oder wenn für die Wiederherstellung der Energieversorgung nach einem Schwarzfall ITK Systeme erforderlich sind.
Aktuell gibt es noch keine Praxis in der Beurteilung der Systemrelevanz von Klein- und Kleinstanlagenbetreibern und ob Einrichtungen wie z.B. die Leistungssteuerung von Photovoltaikanlagen bereits zu einer Pflicht zur Zertifizierung führen. Eine Überprüfung, ob eine Zertifizierungspflicht besteht, ist daher in jedem Fall notwendig. Zusammen mit erfahren ISO 27001-Auditoren sollten jetzt die zuständigen Verbänden mit der Bundesnetzagentur klären, wie die Zertifizierungspflicht für Kleinstbetreiber auszulegen ist.
Für die meisten kleinen bis mittelgroßen Energieversorger ist eine Zertifizierung zwingend vorgeschrieben. Um den Aufwand so gering wie möglich zu halten, bietet sich bei der Vorbereitung und Zertifizierung ein Zusammenschluss von zwei bis fünf Energieversorgern an. So können Vorbereitungs-Workshops gemeinsam abgehalten, gemeinsame Dokumente erarbeitet werden und damit auch interne Aufwände reduziert werden. Die größtmögliche Einsparung ergibt sich durch den Aufbau weitgehend identischer Managementsysteme. Wichtig: Jedes Unternehmen wird für sich zuletzt selbst zertifiziert. Auch in diesem letzten Stadium des Zertifizierungsprozesses ist es sinnvoll, sich Angebote von verschiedenen zertifizierenden Organisationen machen zu lassen.
