Deutschland

Details

  • Branche: Energie und Rohstoffe
  • Typ: Aktuelles
  • Datum: 13.03.2014

Neue IT-Sicherheitsanforderungen für Netzbetreiber 

Strommasten
Alle deutschen Gas- und Stromnetzbetreiber sollen nach dem Willen der Bundesnetzagentur (BNetzA) künftig ein Informationssicherheits-Managementsystem (ISMS) verpflichtend einführen. Grundlage ist der Entwurf eines IT-Sicherheitskatalogs auf Basis § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG).

Der Katalog wurde bereits im vergangenen Jahr veröffentlicht. Bundesnetzagentur (BNetzA) und Bundesamt für Sicherheit in der Informationstechnik (BSI) haben diesen gemeinsam erarbeitet. Betreibern von Energieversorgungsnetzen soll er unter anderem als Grundlage für die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach DIN ISO/IEC 27001 dienen.

 

Mit der Einführung der neuen Anforderungen strebt die BNetzA einen angemessenen „Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen“, an. Der Entwurf verlangt im Wesentlichen, dass alle Netzbetreiber innerhalb eines Jahres nach offiziellem Inkrafttreten ein ISMS eingeführt haben. Die Zertifizierung dieses Systems durch eine unabhängige und akkreditierte Stelle gehört ebenfalls zu den Kernforderungen.

 

Neue Version des ISO/IEC 27001 schafft Unsicherheit

 

Im Oktober 2013 wurde eine neue Version des ISO/IEC 27001 veröffentlicht. Diese beinhaltet deutliche Veränderungen gegenüber der Version aus 2005. Seitens der BNetzA ist nun dringend geboten, die in dem IT-Sicherheitskatalog aufgestellten Anforderungen der Neufassung des ISO/IEC 27001 anzupassen, um den betroffenen Netzbetreibern die nötige Handlungssicherheit zu geben.

 

Sicherheitskriterien der Realität anpassen

 

Nach unseren Erfahrungen dauert die Einführung und Etablierung eines ISMS oft deutlich länger als nur zwölf Monate. Die Forderungen der BNetzA sollten daher den tatsächlichen betrieblichen Gegebenheiten der Netzbetreiber angepasst werden. Darüber hinaus muss das implementierte ISMS eine gewisse Zeit aktiv betrieben worden sein, um für eine Zertifizierungsprüfung ausreichende Nachweise der Effektivität und Wirksamkeit nachweisen zu können.

 

Fazit

 

Der IT-Sicherheitskatalog wird kommen. Die gegenwärtig darin enthaltenen Schwächen bzw. Unklarheiten werden durch BNetzA und BSI sicherlich noch weitestgehend ausgeräumt. Die aufgestellte Anforderung nach einer ISO/IEC 27001-Zertifizierung wird ebenfalls als zentrales Element aufrecht erhalten werden. Es kann daher nur allen Netzbetreibern dringend empfohlen werden mit der Implementierung eines ISMS gem. ISO/IEC 27001:2013 zeitnah zu beginnen.

 

Uwe Bernd-Striebeck

Uwe Bernd-Striebeck

Partner

+49 201 455-6870

Arnd Chrostowski

Arnd Chrostowski

Senior Manager

+49 201 455-6712

Werte - Wandel - Wirtschaft