BSI Group Deutschland begleitet Zertifizierungsprozess und erzeugt dabei positive Imagewerte.
Frankfurt am Main, 15. September 2015: Alle Betreiber von Strom- und Gasnetzen sind ab sofort verpflichtet, die Anforderungen des IT-Sicherheitskataloges der Bundesnetzagentur zu erfüllen und dies durch Vorlage eines Zertifikates nachzuweisen. Eine wesentliche Forderung dabei ist die Implementierung eines zertifizierten Informationssicherheitsmanagementsystems (ISMS) nach dem internationalen Standard ISO/IEC 27001, ergänzt durch den IT-Sicherheitskatalog der Bundesnetzagentur. Den Nachweis über den Abschluss des vorgesehenen Zertifizierungsverfahrens müssen die Betreiber der Versorgungsnetze der Bundesnetzagentur spätestens bis zum 31. Januar 2018 vorlegen. Bereits bis Ende November diesen Jahres müssen die Netzbetreiber einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten der Regulierungsbehörde benennen.
Hintergrund ist die zunehmende Gefahr durch mögliche Angriffe auf Systeme der Informations- und Kommunikationstechnik, die die Versorgungssicherheit beeinträchtigen können. „Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig. Mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher“, erläutert Peter Franke, Vizepräsident der Bundesnetzagentur. „Es ist wichtig, Informations- und Kommunikationssysteme in der Energieversorgung gegen Bedrohungen zu schützen. Hierzu leistet die Bundesnetzagentur mit dem IT-Sicherheitskatalog einen wichtigen Beitrag“, so Franke weiter. Der IT-Sicherheitskatalog beruht auf ISO/IEC 27019, welche Maßnahmen der Informationssicherheit aus ISO/IEC 27001 konkretisiert.
Für die Regelung hat die Bundesnetzagentur unter Mitwirkung des Bundesamtes für Sicherheit in der Informationstechnik den IT-Sicherheitskatalog veröffentlicht, der auf § 11 Abs. 1a EnWG basiert. Das Dokument legt fest, welche Forderungen die Betreiber von Energieversorgungsnetzen bezüglich der Telekommunikations- und Datenverarbeitungssysteme, die der Netzsteuerung dienen, künftig erfüllen müssen. Die Einführung und Umsetzung eines ISMS betreffen dabei die organisatorisch-technischen Prozesse.
Die Norm ISO/IEC 27001 beschreibt und ordnet die Forderungen für die Einrichtung, den Betrieb, die Überwachung, Wartung und Verbesserung des dokumentierten Informationssicherheitsmanagementsystems. Der Aufwand ist abhängig vom gewählten Anwendungsbereich, der Art und Anzahl eingesetzter Dienstleister, der Komplexität der IT und dem Umfang der rechtlichen, vertraglichen und organisationseigenen Anforderungen. Vorgaben, die zwingend bei der Festlegung des Anwendungsbereichs zu berücksichtigen sind, sind im IT-Sicherheitskatalog festgehalten.
Einen pragmatischen Umgang mit der Auflage empfiehlt die „Mutter der Standardisierung“, die BSI Group. „Unternehmen müssen den Nutzen einer Zertifizierung erkennen und den Benefit dann für sich instrumentalisieren. Das Informationssicherheitsmanagement nach dem internationalen Standard ISO/IEC 27001 gibt den Unternehmen die Sicherheit, dass vertrauliche Unternehmens-, Kunden- und Lieferantendaten geschützt bleiben. Und damit gewinnen diese Firmen das Vertrauen von allen relevanten Interessensgruppen und demonstrieren Compliance“ unterstreicht Peter U.E. Leveringhaus, Vorsitzender der Geschäftsführung der BSI Group Deutschland GmbH, die Vorteile des Verfahrens.
Zertifizierte Informationssicherheit mit der Verpflichtung der stetigen Aktualisierung ist heute ein entscheidendes Vertrauensargument und kann so über die Zukunft der Geschäftsentwicklung entscheiden. Für jeden Energienetzbetreiber also ein Pflichtprogramm mit positivem Nebeneffekt.