Jetzt ist es offiziell: Der im August 2015 veröffentlichte IT-Sicherheitskatalog der Bundesnetzagentur verpflichtet die Energieversorger zur ISO 27001-Zertifizierung bis zum 31. Januar 2018. Nach der Veröffentlichung des neuen IT-Sicherheitsgesetzes vor wenigen Wochen bildet dieser IT-Sicherheitskatalog die Grundlage für die Sicherheitsziele der Energieversorgungsunternehmen, die Kernforderung dabei bildet die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung. Ebenso muss bis zum 30. November 2015 ein Ansprechpartner für die Informationssicherheit benannt werden, der der Bundesnetzagentur gemeldet wird. Dieser muss über den Umsetzungsstand des IT-Sicherheitskatalogs und über aufgetretene Sicherheitsvorfälle unverzüglich berichten können. Die in diesem Katalog benannten Anforderungen sind dabei vollständig für alle Systeme von allen Netzbetreibern zu erfüllen, die für den sicheren Netzbetrieb erforderlich sind.

Der Geltungsbereich des ISMS muss dabei alle TK- und IT-Systeme des Netzbetreibers umfassen, die Teil der Netzsteuerung sind, aber auch diejenigen, deren Ausfall die Sicherheit des Netzbetriebs betreffen können (z. Bsp. Messeinrichtungen an Trafostationen). Für Messsysteme zur Ermittlung von z. Bsp. Netzzustandsinformationen oder zum Lastmanagement müssen dem Sicherheitskatalog gleichwertige Maßnahmen ergriffen werden. Ausgenommen sind Messsysteme, die nicht zu netzbetrieblichen Zwecken eingesetzt werden (z. Bsp. Ernergieverbrauchszähler). Unabhängig davon gelten für alle Messsysteme die entsprechenden BSI Schutzprofile bzw. Technischen Richtlinien (TR-03109).

Das ISMS basiert auf dem internationalen Standard ISO 27001 in der aktuellsten Fassung in Kombination mit den in der ISO 27002 beschriebenen Umsetzungsempfehlungen. Darauf aufbauend muss für den Sektor der Energieversorger die DIN ISO/IEC TR 27019 herangezogen werden. Für den Geltungsbereich ist ein entsprechender (gruppierter) Netzplan zu erstellen, wobei die darin enthaltenen Komponenten in diese Kategorien eingruppiert werden:

  • Leitsysteme und Systembetrieb
  • Übertragungstechnik/ Kommunikation
  • Sekundär-/ Automatisierungs- und Fernwirktechnik

Wie in jedem ISMS ist auch hier ein Prozess zum Risikomanagement einzuführen, als Ausgangsbasis bietet sich die Schutzbedarfsfeststellung nach BSI 100-2 an. Es soll eine Risikoeinschätzung in den Kategorien ‚mäßig‘, ‚hoch‘ und ‚kritisch‘ erfolgen, wobei grundsätzlich von ‚hoch‘ auszugehen ist. Eine niedrigere Einstufung in ‚mäßig‘ ist ausführlich zu begründen. Die Einstufung erfolgt anhand der Szenarien:

  • Beeinträchtigung der Versorgungssicherheit
  • Einschränkung des Energieflusses
  • Betroffener Bevölkerungsanteil
  • Gefährdung für Leib und Leben
  • Auswirkungen auf weitere Infrastrukturen (z. Bsp. Wasserversorgung)
  • Gefährdung für Datensicherheit und Datenschutz
  • Finanzielle Auswirkungen

Bei der Auswahl der Maßnahmen zur Risikobehandlung sind dabei die Angemessenheit und wirtschaftliche Aspekte zu berücksichtigen.

 

ISO27001 für EVU

ISMS Einführung im Rahmen einer Workshopreihe
Termine

 

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Wir unterstützen Sie gerne, nehmen Sie Kontakt mit uns auf – wenn Sie uns gleich noch ein paar Informationen mitteilen, erhalten Sie von uns direkt eine Abschätzung des zu erwartenden Aufwands:

[contact-form-7]