PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifizierungspflicht


Von Süd-IT AG

 

Süd-IT AG stellt der Bundesnetzagentur Methoden und Inhalte für standardisierte Gutachten vor, mit denen sich Energieversorger (EVUs) von der ISO/IEC 27001-Zertifizierung freistellen können.

Thumb

München, 25.10.2016 – Laut IT-Sicherheitskatalog müssen EVUs, die ein Strom- oder Gasnetz betreiben, bis zum 31.1.2018 den Aufbau eines ISO/IEC 27001-konformen Informationssicherheitsmanagementsystems (ISMS) zertifizieren lassen. Mittelständische und kleinere Anbieter sind davon allerdings ausgenommen, wenn sie bestimmte Kriterien erfüllen. Für den erforderlichen Nachweis hat die Süd-IT AG geeignete Verfahren und Gutachten entwickelt, die sie jüngst der Bundesnetzagentur präsentiert hat. Der Austausch und das positive Feedback der Behörde sind ein wichtiger Schritt zum Ziel abgestimmter Gutachten, die formal und inhaltlich anerkannt werden und eine Befreiung von der Zertifizierungspflicht sicherstellen.

Angesichts von Hackerangriffen und Terrorgefahr sind EVUs gehalten, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme (ITK), sofern sie Einfluss auf die Netzfahrweise nehmen – sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Die neuen Vorgaben hierfür formuliert der IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a) und definiert im Abschnitt D, welche Systeme zertifizierungspflichtig sind. Damit ergeben sich drei Gruppen:

 

1.    Keine Zertifizierungspflicht: Für EVUs, die keine ITK-Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht: Der Nachweis gegenüber der Behörde kann z.B. über den Netzstrukturplan erbracht werden.

2.    Bestehende Zertifizierungspflicht: Das ist der Fall für EVUs, die Schalthandlungen am Netz mithilfe von ITK-Systemen durchführen. Das gilt ebenso, wenn ein ITK-Ausfall die Sicherheit des Netzbetriebes oder eine Wiederherstellung der Energieversorgung nach einem Schwarzfall gefährden würde.

3.    Befreiung von der Zertifizierung möglich: Werden ITK-Systeme betrieben, die zwar nicht direkt, aber indirekt auf das Netz einwirken, müssen die damit verbundenen Risiken umfassend analysiert werden. Im Ergebnis können EVUs den ISMS-Aufbau gemäß ISO/IEC 27001 vielfach komplett vermeiden – sofern sie „begründen und durch geeignete Nachweise“ belegen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht. Dazu ist es erforderlich, alle Anlagen mit Einfluss auf den Netzbetrieb eingehend zu betrachten. Das leisten Gutachten, die Gefährdungspotenziale erfassen, analysieren und im Hinblick auf eine Zertifizierungsfreistellung bewerten.

 

Für die ersten beiden EVU-Gruppen ist der Status zumeist anhand weniger Kontrollfragen eindeutig entscheidbar. Anders die dritte Gruppe: sie benötigt Klarheit für die weitere Vorgehensweise. Dazu gehören valide Methoden der Risikoevaluation sowie rechtskonforme und möglichst standardisierte Verfahren, die die Bundesnetzagentur von der Betriebssicherheit auch ohne ISMS-Aufbau überzeugen. Hierfür liefert Süd-IT umfassende Unterstützung:

 

Für alle EVUs:

1.    Aufstellung der wichtigsten Kontrollfragen zur Selbsteinschätzung des Zertifizierungsstatus.

2.    EVUs können sich damit einer der drei Gruppen zuordnen und sich ihrer bestehenden / nicht bestehenden Zertifizierungspflicht schnell vergewissern.

 

Für EVUs mit Gutachtenverfahren zur Zertifizierungsbefreiung (Gruppe 3):

1.    Kriterien für eine Identifikation von ITK-Systemen, die eventuell zertifiziert werden müssen.

2.    Erstbewertung dieser Systeme: Prima-facie-Check anhand von Kontrollfragen, ob ein Gutachterverfahren den Freistellungserfolg erbringen kann.

3.    Vertiefung der Basisprüfung anhand von typischen Betriebs- und Gefahrenszenarien.

4.    Methodik zur vollständigen Risikoanalyse nach Gefährdungsarten, Schadenshöhen und Eintrittswahrscheinlichkeiten.

5.    Systematische und standardisierte Risikobewertung zur Feststellung der Zertifizierungspflicht.

6.    Risikoanalyse und -bewertung im Fall von ITK-Outsourcing.

 

Fazit: Nutzen und Ziele des Süd-IT Sicherheitsfahrplans

Die Süd-IT Methodik liefert EVUs Verfahren und klare Kriterien, um ihren Zertifizierungsstaus praxisnah zu ermitteln und, sofern erforderlich, zügig die nächsten Schritte einzuleiten. EVUs ohne eindeutigen Status erhalten erweiterte Checklisten zur eingehenden Risikoidentifikation und -analyse, um ihre Chancen auf eine Zertifizierungsbefreiung realistisch ermessen können. Darüber hinaus liefert Süd-IT Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel ist die Erstellung von standardisierten und behördlich abgestimmten Mustern, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen.

 

Über Süd-IT AG

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Zertifizierung, Compliance und Informations-Sicherheitsmanagement. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Automotive, Medizin, Energie und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept „Ihre Experten vor Ort“ und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.


Kommentare

Bewerten Sie diesen Artikel
Bewertung dieser Pressemitteilung 5 Bewertung dieser Pressemitteilung 2 Bewertungen bisher (Durchschnitt: 5)
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, Dr. Ralph Klöwer (Tel.: 089-552688-66), verantwortlich.

Pressemitteilungstext: 657 Wörter, 5838 Zeichen. Artikel reklamieren
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!