Informationssicherheit

Wir bieten Ihnen an, Sie bei der Umsetzung der Anforderungen des IT-Sicherheitskataloges der Bundesnetzagentur zu unterstützen.

Sie erhalten von uns Begleitung und fachliche Unterstützung bei der Einführung eines Informationssicherheitsmanagementsystems für die Systeme der Netzsteuerung. Wir stehen Ihnen als Ansprechpartner für IT-Sicherheit gegenüber der BNetzA im Sinne der Anforderungen des IT-Sicherheitskataloges der BNetzA zur Verfügung.

Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001

Das Energiewirtschaftsgesetz (EnWG) vom 07.07.2005, zuletzt geändert am 31.08.2015, sagt in §11 Abs. 1a:

(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

Die Bundesnetzagentur (BNetzA) hat diese Anforderungen nun in einem „IT-Sicherheitskatalog“ genannten Dokument am 12.08.2015 veröffentlicht.

Die Kernpunkte des IT-Sicherheitskataloges sind:

  • Es ist ein Informationssicherheitsmanagementsystem ISMS nach ISO/IEC 27001 einzuführen. Mit dessen Hilfe werden die Schutzziele definiert, zu berücksichtigende TK- und EDV-Systeme zur Netzsteuerung identifiziert, die Risiken ermittelt und die notwendigen Schutzmaßnahmen beschlossen.
    Hierzu kann auf den branchenspezifischen Ergänzungen in ISO/IEC TR27019 „Leitfaden zur Informationssicherheit von Netzleitsystemen für Energieversorgungsunternehmen basierend auf ISO/IEC 27002“ aufgesetzt werden.
  • Sicherstellung eines ordnungsgemäßen Betriebes der für die Netzsteuerung relevanten Telekommunikations- und Datenverarbeitungssysteme
  • Erstellung eines Netzstrukturplans zur Übersicht über eingesetzte Technologien zur Netzsteuerung
  • Schutzbedarfsermittlung der im Netzstrukturplan erfaßten Systeme
  • Benennung eines Ansprechpartners für IT-Sicherheit gegenüber der Bundesnetzagentur. Dieser soll der BNetzA unverzüglich Auskunft geben können zu
    • dem Umsetzungsstand IT-Sicherheitskatalog
    • aufgetretenen Sicherheitsvorfällen und deren Ursache und Auswirkungen, sowie Maßnahmen zur Behebung und Vermeidung

Außerdem soll der Ansprechpartner IT-Sicherheit sicherstellen, daß der Netzbetreiber geeignet an Systeme für Lageberichte und Warnmeldungen angebunden ist.

  • Das eingeführte ISMS ist auf seine Konformität mit den Anforderungen des IT-Sicherheitskataloges auf Basis der ISO/IEC 27001 zu zertifizieren.
  • Die Umsetzungsfristen betragen für die Benennung eines Ansprechpartners für IT-Sicherheit gegenüber der BNetzA 30.11.2015 und für die Zertifizierung 31.01.2018.

Wir bieten Ihnen an, Sie bei der Umsetzung der Anforderungen des IT-Sicherheitskataloges zu unterstützen:

Pos. 1 Begleitung und fachliche Unterstützung bei der Einführung eines Informationssicherheitsmanagementsystems für die Systeme der Netzsteuerung mit

  • Festlegung Schutzziele
  • Ermittlung zu berücksichtigender TK- und EDV-Systeme
  • Risikoermittlung
  • Vorschlägen für Schutzmaßnahmen
  • Überprüfung der getroffenen Schutzmaßnahmen
  • Einführung und Fortführung der Geschäftsprozesse für Informationssicherheit in Ihrem Unternehmen
  • Einführung eines Softwarewerkzeugs zur Prozesssteuerung und Dokumentation
  • Begleitung zur Zertifizierung des eingeführten Informationssicherheitsmanagementsystems durch ein akkreditiertes Unternehmen

Pos. 2 Bestellung als Ansprechpartner für IT-Sicherheit gegenüber der BNetzA im Sinne der Anforderungen des IT-Sicherheitskataloges der BNetzA

  • Koordination, Verwaltung und Kommunikation der IT-Sicherheit
  • Benannter Ansprechpartner gegenüber BNetzA
  • Informationsrecherche und –weitergabe zu Warnmeldungen kritischer Infrastrukturen

Gerhard Jost zum Fachexperten Strom und Gas berufen

Das Konformitätsbewertungsprogramm der Bundesnetzagentur zur Zertifizierung von Informationssicherheitsmanagementsystemen nach dem IT-Sicherheitskatalog der Bundesnetzagentur fordert eine Unterstützung der Zertifizierungsauditoren durch Fachexperten, die mit ihrer Berufserfahrung in der Energieversorgung die Zertifizierungsauditoren unterstützen.

Herr Gerhard Jost ist von einem Zertifizierungsunternehmen Anfang 2017 zum Fachexperten Strom und Gas berufen worden und unterstützt seither die Zertifizierungsaudits von ISMS nach IT-Sicherheitskatalog bei Netzbetreibern.

Gerhard Jost ist Auditor  ISO/IEC 27001

Nach einer von der IRCA zertifizierten fünftägigen Schulung und einer erfolgreich abgelegten Prüfung bei der isits  International School of IT Security AG in Bochum wurde Herrn Gerhard Jost vom TÜV Rheinland bereits im Sommer 2016 nebenstehendes Zertifikat überreicht. Er ist damit berechtigt, Audits von Informationssicherheitsmanagementsystemen ISMS nach ISO/IEC 27001 durchzuführen.

Die IRCA steht für International Register for Certificated Auditors.

Sie sind an unseren Leistungen zur Erfüllung des IT-Sicherheitskataloges der BNetzA interessiert? Dann kontaktieren Sie uns über unser Kontaktformular. Wir werden Ihnen gerne ein entsprechendes Angebot unterbreiten.