Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 821276

Süd IT AG Stahlgruberring 11 81829 München, Deutschland http://www.sued-it.de
Ansprechpartner:in Herr Dr. Ralph Klöwer +49 89 55268818
Logo der Firma Süd IT AG

Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifizierungspflicht

Süd-IT AG stellt der Bundesnetzagentur Methoden und Inhalte für standardisierte Gutachten vor, mit denen sich Energieversorger (EVUs) von der ISO/IEC 27001-Zertifizierung freistellen können

(PresseBox) (München, )
Laut IT-Sicherheitskatalog müssen EVUs, die ein Strom- oder Gasnetz betreiben, bis zum 31.1.2018 den Aufbau eines ISO/IEC 27001-konformen Informationssicherheits-Managementsystems (ISMS) zertifizieren lassen. Mittelständische und kleinere Anbieter sind davon allerdings ausgenommen, wenn sie bestimmte Kriterien erfüllen. Für den erforderlichen Nachweis hat die Süd-IT AG zusammen mit der KOV mbH und der ICG geeignete Verfahren und Gutachten entwickelt, die sie jüngst der Bundesnetzagentur präsentiert hat. Der Austausch und das positive Feedback der Behörde sind ein wichtiger Schritt zum Ziel abgestimmter Gutachten, die formal und inhaltlich anerkannt werden und eine Befreiung von der Zertifizierungspflicht sicherstellen.

Angesichts von Hackerangriffen und Terrorgefahr sind EVUs gehalten, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme (ITK), sofern sie Einfluss auf die Netzfahrweise nehmen – sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Die neuen Vorgaben hierfür formuliert der IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a) und definiert im Abschnitt D, welche Systeme zertifizierungspflichtig sind. Damit ergeben sich drei Gruppen:
  1. Keine Zertifizierungspflicht: Für EVUs, die keine ITK-Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht: Der Nachweis gegenüber der Behörde kann z.B. über den Netzstrukturplan erbracht werden.
  2. Bestehende Zertifizierungspflicht: Das ist der Fall für EVUs, die Schalthandlungen am Netz mithilfe von ITK-Systemen durchführen. Das gilt ebenso, wenn ein ITK-Ausfall die Si-cherheit des Netzbetriebes oder eine Wiederherstellung der Energieversorgung nach einem Schwarzfall gefährden würde.
  3. Befreiung von der Zertifizierung möglich: Werden ITK-Systeme betrieben, die zwar nicht direkt, aber indirekt auf das Netz einwirken, müssen die damit verbundenen Risiken umfas-send analysiert werden. Im Ergebnis können EVUs den ISMS-Aufbau gemäß ISO/IEC 27001 vielfach komplett vermeiden – sofern sie „begründen und durch geeignete Nachweise“ belegen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht. Dazu ist es erforderlich, alle Anlagen mit Einfluss auf den Netzbetrieb eingehend zu betrachten. Das leisten Gutachten, die Gefährdungspotenziale erfassen, analysieren und im Hinblick auf eine Zertifizierungsfreistellung bewerten.
Für die ersten beiden EVU-Gruppen ist der Status zumeist anhand weniger Kontrollfragen eindeutig entscheidbar. Anders die dritte Gruppe: sie benötigt Klarheit für die weitere Vorgehensweise. Dazu gehören valide Methoden der Risikoevaluation sowie rechtskonforme und möglichst standardisierte Verfahren, die die Bundesnetzagentur von der Betriebssicherheit auch ohne ISMS-Aufbau überzeugen. Hierfür liefert Süd-IT umfassende Unterstützung:

Für alle EVUs:
  1. Aufstellung der wichtigsten Kontrollfragen zur Selbsteinschätzung des Zertifizierungsstatus.
  2. EVUs können sich damit einer der drei Gruppen zuordnen und sich ihrer bestehenden / nicht bestehenden Zertifizierungspflicht schnell vergewissern.
Für EVUs mit Gutachtenverfahren zur Zertifizierungsbefreiung (Gruppe 3):
  1. Kriterien für eine Identifikation von ITK-Systemen, die eventuell zertifiziert werden müssen.
  2. Erstbewertung dieser Systeme: Prima-facie-Check anhand von Kontrollfragen, ob ein Gut-achterverfahren den Freistellungserfolg erbringen kann.
  3. Vertiefung der Basisprüfung anhand von typischen Betriebs- und Gefahrenszenarien.
  4. Methodik zur vollständigen Risikoanalyse nach Gefährdungsarten, Schadenshöhen und Ein-trittswahrscheinlichkeiten.
  5. Systematische und standardisierte Risikobewertung zur Feststellung der Zertifizierungspflicht.
  6. Risikoanalyse und -bewertung im Fall von ITK-Outsourcing.
Fazit: Nutzen und Ziele des Süd-IT Sicherheitsfahrplans

Die Süd-IT Methodik liefert EVUs Verfahren und klare Kriterien, um ihren Zertifizierungsstaus praxisnah zu ermitteln und, sofern erforderlich, zügig die nächsten Schritte einzuleiten. EVUs ohne eindeutigen Status erhalten erweiterte Checklisten zur eingehenden Risikoidentifikation und -analyse, um ihre Chancen auf eine Zertifizierungsbefreiung realistisch ermessen können. Dar-über hinaus liefert Süd-IT Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel ist die Erstellung von standardisierten und behördlich abgestimmten Mustern, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen.

Süd IT AG

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Zertifizie-rung, Compliance und Informations-Sicherheitsmanagement. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unterneh-men u.a. aus den Marktsegmenten Automotive, Medizin, Energie und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept „Ihre Experten vor Ort“ und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.