info@siv.de +49 381 2524-4000
IT-Sicherheitsgesetz und wen es betrifft - Umsetzungsstrategien zur Informationssicherheit für Energieversorger

IT-Sicherheitsgesetz und wen es betrifft

Umsetzungsstrategien zur Informationssicherheit für Energieversorger

Mit der Verabschiedung des IT-Sicherheitsgesetzes und weiterer flankierender Maßnahmen geht der Gesetzgeber nun im Rahmen seiner „digitalen Agenda“ notwendige Schritte zur gesetzlich verbindlichen Etablierung eines „Mindestniveaus an IT-Sicherheit“.

Das am 12. Juni 2015 vom Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bringt für Sie als EVU neue Pflichten zur Erhöhung von Abwehrmaßnahmen, Nachweis- und Meldepflichten mit. Die Präzisierungen und Änderungen des Energiewirtschaftsgesetzes sowie der von der BNetzA bereits im Entwurf veröffentlichte IT-Sicherheitskatalogs fordert als Mindeststandard die Einführung und Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS), nach den Vorgaben der ISO/IEC 27001 ff.

Einführung und Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS)

Die das IT-Sicherheitsgesetz und das Energiewirtschaftsgesetz präzisierende Rechtsverordnung der BNetzA wird in ergänzter Form (wie z.B. um Sanktionen) noch im Juli 2015 erwartet und voraussichtlich unverzüglich in Kraft gesetzt. Damit beginnt für Sie die Umsetzungspflicht und auch die Umsetzungsfrist von zwei Jahren. Somit sind EVUs entkoppelt von der Erarbeitung weiterer Rechtsverordnungen im Kontext des IT-Sicherheitsgesetzes und nehmen in den kritischen Infrastrukturen eine Vorreiterrolle ein.

Für Netz– und Anlagenbetreiber der Sparten Strom und Gas bilden die Änderungen des EnWG – insbesondere § 11 Absatz (1a) (1b) (1c) – sowie der IT-Sicherheitskatalog der Bundesnetzagentur die rechtliche Basis. Dieser richtet sich konkret an alle Netzbetreiber, welche Netzkomponenten und Datenverarbeitungssysteme im Einsatz haben, die für einen sicheren Netzbetrieb der Medien Strom und Gas notwendig sind.

Wer trägt die Verantwortung zur Ermittlung der sicherheitsrelevanten Systeme?

Die Verantwortung für die Ermittlung der relevanten Systeme liegt beim Betreiber des Energieversorgungsnetzes. Netzbetreiber, die entsprechende Systeme und Komponenten an Dritte outgesourced haben, sind ebenfalls betroffen und für die Umsetzung und Einhaltung der regulatorischen Vorschriften beim Dienstleister verantwortlich. Die ISO/IEC 27001 definiert auch hierfür Anforderungen, was in solchen Fällen bspw. zwischen Auftraggeber und Auftragnehmer vertraglich zu regeln ist.

Laut den derzeitigen Vorgaben ist neben den Normen ISO/IEC 27001 und 27002 auch die Branchenspezifische Norm 27019 sowie Elemente des IT-Grundschutzes in die Ausprägung des ISMS einzubeziehen. Darüber hinaus wird unter anderem gefordert:

Das EVU muss einen Netzstrukturplan mit den schutzbedürftigen Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und Schnittstellen erstellen.

Es ist eine Schutzbedarfsanalyse unter Berücksichtigung der Ziele der Informationssicherheit (Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit) erfolgen.

Bestellung eines IT-Sicherheitsbeauftragten (IT-SiBe) zur Koordination, Verwaltung und Kommunikation der Informationssicherheit. Dieser gilt gegenüber den regulierenden Behörden wie BNetzA und BSI als zentraler Ansprechpartner und ist ihr gegenüber bzgl. des ISMS-Umsetzungsstandes und Reifegrads auskunftspflichtig.

Verpflichtung die Konformität des ISMS Systems durch ein Zertifikat nachzuweisen. Das sogenannte Zertifizierungsaudit, wird dabei durch eine akkreditierte Zertifizierungsstelle durchgeführt.

Bei Nichteinhaltung drohen durch die kurzfristigen Änderun-gen in der Gesetzgebung empfindliche Strafen von bis zu 100.000 Euro.

Das ISMS nach ISO/IEC 27001 verwendet das Plan-Do-Check-Act-Modell

Umsetzung der Forderungen aus dem IT-Sicherheitskatalog und somit der Aufbau, Betrieb und Zertifizierung eines ISMS nach ISO27001

Für die Umsetzung der Forderungen aus dem IT-Sicherheitskatalog und somit der Aufbau, Betrieb und Zertifizierung eines ISMS nach ISO27001 hat das EVU nach Veröffentlichung des Katalogs 24 Monate Zeit. Die Benennung des IT-Sicherheitsbeauftragten (IT-SiBe) muss jedoch bereits kurzfristig erfolgen.

Aufgrund der engen zeitlichen Umsetzungsfristen, empfiehlt es sich bereits jetzt mit entsprechenden Vorbereitungen zu starten, um bei der Umsetzungsphase Zeit zu sparen. Setzten Sie sich rechtzeitig und eingehend mit den gesetzlichen Anforderungen und den möglichen Projektaufwänden auseinander. Bei der Projektplanung sollten die Rahmenparameter der Anreizregulierung beachtet werden: 2015 und 2016 stellen Fotojahre für die Sparten Gas und Strom dar, wodurch die Aufwände direkt in der kommenden Regulierungsperiode geltend gemacht werden.

Die certigo GmbH hat auf Basis der langjährigen Erfahrungen ein auf die Energieversorgung und die konkreten kommenden Vorschriften abgestimmtes modulares Lösungsmodell entwickelt. Die einzelnen vorformatierten Module bilden die Grundlage für die Verknüpfung zu einem ganzheitlichen Template unter Berücksichtigung sowohl der Individualität Ihres Unternehmens als auch der notwendigen Effizienz bei der Einführung und dem Betrieb eines ISMS. Dieses bietet durch Ihnen deutliche Kostenvorteile und somit die Basis eines betriebswirtschaftlichen Nutzens im Kontrast zur volkswirtschaftlichen Notwendigkeit der Umsetzung.

Zur Auswahl und Zusammenstellung des für Sie optimalen ISMS Templates starten Sie jetzt, bspw. mit unserem zwei tägigen Rapid Security Assessment, bei welchem wir mit Ihnen zusammen die relevanten Anlagen und Komponenten, Ihren bisherigen Informationssicherheit-Reifegrad (Gap-Analyse) ermitteln und Handlungsempfehlungen für die Umsetzung der Compliance-Anforderungen erarbeiten. Sie erhalten zudem eine detaillierte Aufwandsschätzung zur Herstellung der Konformität aller regulatorischen Vorgaben, gerne auch z.B. im Querverbund mit weiteren Sparten.

Rapid Security Assessment für Versorgungsunternehmen

Stellen Sie Ihre Informationssicherheit auf den Prüfstand

Was wir für Sie tun:

Leitfadengeführte Interviews und Prüfung von ausgewählten Dokumenten zu den Bereichen: Übergreifende Aspekte und Prozesse, Infrastruktur, IT-Systeme, Netzte & Anwendungen

Analyse relevanter Prozesse und Kontrollen

Vor-Ort Begehung relevanter Gebäude und Räume

Konformitätsabschätzung des Zustands zu Anforderungen nach ISO/IEC 27001 sowie BSI IT-Grundschutz und Compliance Anforderungen (IT-Sicherheitsgesetz, EnWG, IT-Sicherheitskatalog)

Erstellung eines Abschlussberichts; Aufzeigen von Handlungsfeldern und – empfehlungen

Ihr Mehrwert:

Fokussierung auf geschäftsprozessorientierte und bedarfsgerechte Investition als Beitrag zur Risikominimierung

Aufwandsabschätzung zur Herstellung der Konformität zu regulatorischen Anforderungen in Abhängigkeit der IT-Strategie

Ganzheitliche Analyse der Informationssicherheit als Grundlage für Ihren wirtschaftlichen Erfolg

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "IT-Sicherheitsgesetz und wen es betrifft - Umsetzungsstrategien zur Informationssicherheit für Energieversorger"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper IT-Sicherheitsgesetz und wen es betrifft Umsatzstrategien zur Informationssicherheit für Energieversorger

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN