Damit eine lückenlose Energieversorgung gewährleistet werden kann, ist in diesem Bereich zusätzlich eine intakte Informations- und Kommunikationstechnologie (IKT) nötig. Mit diesen IKT-Systemen gehen auch Risiken für die Versorgungssicherheit einher, die durch die Anforderungen des IT-Sicherheitskatalogs und deren Umsetzung eingedämmt werden sollen. Die Bundesnetzagentur hat gemäß § 11 Absatz 1a des Energiewirtschaftsgesetzes den IT-Sicherheitskatalog veröffentlicht. Was Energienetzbetreiber jetzt tun müssen, wissen die Experten von TÜV SÜD.
Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber, Mindeststandards hinsichtlich IT-Sicherheit umzusetzen und einzuhalten. Dazu gehören unter anderem, die zu schützenden Daten und Systeme verfügbar zu machen, für die Integrität der verarbeiteten Informationen und Systeme zu sorgen sowie diese streng vertraulich zu behandeln. Die Kernforderung an alle Energienetzbetreiber, unabhängig von Größe oder Anzahl der angeschlossenen Kunden, ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Dieses muss nach einem noch durch die Deutsche Akkreditierungsstelle (DAkkS) zu erstellenden Schema, auf Basis DIN ISO/IEC 27001, bis zum 31. Januar 2018 von unabhängiger Stelle zertifiziert werden. Zudem ist der Netzbetreiber verpflichtet, der Bundesnetzagentur bis zum 30. November 2015 einen Ansprechpartner für IT‑Sicherheit zu melden.
„Um die grundlegenden Weichen für eine Zertifizierung schon jetzt zu stellen, sollten betroffene Unternehmen die bestehende Infrastruktur in Form eines Netzstrukturplans dokumentieren, wie er auch im IT-Sicherheitskatalog gefordert wird“, sagt Alexander Häußler, Produkt Manager ISO 27001 bei TÜV SÜD. Auf dieser Grundlage lässt sich das Netzwerk optimieren. Eine zusätzliche Risikoanalyse deckt eventuelle Sicherheitslücken auf und dient, diesen vorzubeugen. Die bestehenden Maßnahmen nach ISO 27001 und ggf. auch unter Berücksichtigung der ISO 27019 genauer unter die Lupe zu nehmen, gibt schon im Voraus einen Überblick, an welchen Stellen sehr wahrscheinlich noch nachgearbeitet werden muss. Unternehmen sollten schon jetzt einen Ansprechpartner für IT-Sicherheit identifizieren und falls notwendig entsprechend qualifizieren.
Auf längere Sicht rät Alexander Häußler, notwendige Maßnahmen grob zu planen sowie das Budget für die Umsetzung und Anpassungen einzukalkulieren. Für Energieversorger empfiehlt es sich zudem, weitere Entwicklungen genau im Auge zu behalten, um auf Neuerungen direkt reagieren zu können.
Weitere Informationen gibt es unter www.tuev-sued.de/ms/iso-27001
Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber, Mindeststandards hinsichtlich IT-Sicherheit umzusetzen und einzuhalten. Dazu gehören unter anderem, die zu schützenden Daten und Systeme verfügbar zu machen, für die Integrität der verarbeiteten Informationen und Systeme zu sorgen sowie diese streng vertraulich zu behandeln. Die Kernforderung an alle Energienetzbetreiber, unabhängig von Größe oder Anzahl der angeschlossenen Kunden, ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Dieses muss nach einem noch durch die Deutsche Akkreditierungsstelle (DAkkS) zu erstellenden Schema, auf Basis DIN ISO/IEC 27001, bis zum 31. Januar 2018 von unabhängiger Stelle zertifiziert werden. Zudem ist der Netzbetreiber verpflichtet, der Bundesnetzagentur bis zum 30. November 2015 einen Ansprechpartner für IT‑Sicherheit zu melden.
„Um die grundlegenden Weichen für eine Zertifizierung schon jetzt zu stellen, sollten betroffene Unternehmen die bestehende Infrastruktur in Form eines Netzstrukturplans dokumentieren, wie er auch im IT-Sicherheitskatalog gefordert wird“, sagt Alexander Häußler, Produkt Manager ISO 27001 bei TÜV SÜD. Auf dieser Grundlage lässt sich das Netzwerk optimieren. Eine zusätzliche Risikoanalyse deckt eventuelle Sicherheitslücken auf und dient, diesen vorzubeugen. Die bestehenden Maßnahmen nach ISO 27001 und ggf. auch unter Berücksichtigung der ISO 27019 genauer unter die Lupe zu nehmen, gibt schon im Voraus einen Überblick, an welchen Stellen sehr wahrscheinlich noch nachgearbeitet werden muss. Unternehmen sollten schon jetzt einen Ansprechpartner für IT-Sicherheit identifizieren und falls notwendig entsprechend qualifizieren.
Auf längere Sicht rät Alexander Häußler, notwendige Maßnahmen grob zu planen sowie das Budget für die Umsetzung und Anpassungen einzukalkulieren. Für Energieversorger empfiehlt es sich zudem, weitere Entwicklungen genau im Auge zu behalten, um auf Neuerungen direkt reagieren zu können.
Weitere Informationen gibt es unter www.tuev-sued.de/ms/iso-27001
