info@siv.de +49 381 2524-4000
IT-Sicherheitskatalog (BNetzA) - Hinweise zur Umsetzung im Falle outgesourcter Leittechnik

IT-Sicherheitskatalog (BNetzA)

Hinweise zur Umsetzung im Falle outgesourcter Leittechnik

Die Präzisierungen und Änderungen des Energiewirtschaftsgesetzes (EnWG) sowie der am 12. August 2015 von der BNetzA veröffentlichte IT-Sicherheitskatalogs fordert als Mindeststandard die Einführung und Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS), nach den Vorgaben der ISO/IEC 27001 ff. Bis zum 31.01.2018 muss der BNetzA eine Kopie des Zertifikats vorgelegt werden.

Doch müssen Sie den IT-Sicherheitskatalog überhaupt umsetzen, wenn Sie Ihre Leittechnik teilweise oder ganz outgesourct haben?

Outsourcing oder Betriebsführung

Was ist, wenn Sie die vom IT-Sicherheitskatalog betroffenen Systeme nur teilweise oder überhaupt nicht selbst betreiben, sondern durch Dritte betreiben lassen (Outsourcing, Betriebsführung durch Dienstleister)? Müssen Sie dennoch den IT-Sicherheitskatalog umsetzen bzw. ein ISMS implementieren und zertifizieren lassen?

Hier erfahren Sie, was Sie tun müssen und was nicht:

Betreibt ein Netzbetreiber die Anwendungen, Systeme und Komponenten, auf die sich die Sicherheitsanforderungen des IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch einen externen Dienstleister, entbindet ihn das nicht von seiner eigenen Verantwortung zur Umsetzung des IT-Sicherheitskatalogs. Er muss in diesem Falle durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen einhält.

Betreibt ein Netzbetreiber nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder hat kein Leitsystem, so besteht auch keine Umsetzungspflicht für die diesbezüglichen Sicherheitsanforderungen des IT-Sicherheitskatalogs und somit bedarf es auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete Nachweise zu belegen. Die TK- und elektronischen DV-Systeme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter Nachweis durch Vorlage der Dokumentation zur dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes erfolgen.

Werden die vom IT-Sicherheitskatalog erfassten TK- und IT-Systeme, die für einen sicheren Netzbetrieb notwendig sind, über einen Betriebsführungsvertrag von einem Dritten betrieben, so kann wie folgt unterschieden werden:

Ein Teil der vom IT-Sicherheitskatalog erfassten Systeme wird von einem Dienstleister betrieben, ein Teil vom Netzbetreiber selbst: Da der Netzbetreiber selbst auch Systeme betreibt, die vom Anwendungsbereich des IT-Sicherheitskatalogs erfasst sind, muss er zum Nachweis der Umsetzung des IT-Sicherheitskatalogs eine Zertifizierung vornehmen lassen.

Im Rahmen der Zertifizierung sind sowohl die selbst betriebenen Systeme als auch die vom Dienstleister betreuten Systeme zu berücksichtigen.

Alle vom IT-Sicherheitskatalog erfassten Systeme werden vollständig von einem Dienstleister betrieben: In diesem Fall muss der Netzbetreiber Umsetzung und Einhaltung des IT-Sicherheitskatalogs durch den Dienstleister sicherstellen. Zum Nachweis darüber reicht es im Rahmen der Zertifizierung aus, dass ein Duplikat des Zertifikates, das auf den mit der Betriebsführung beauftragten Dienstleister ausgestellt ist, vorgelegt wird. Eine darüber hinausgehende Zertifizierung des Netzbetreibers ist in diesem Fall nicht erforderlich.

Im Regelfall wird die Betriebsführung nämlich durch einen Dienstleister erfolgen, der selbst Netzbetreiber und somit zur Einhaltung des IT-Sicherheitskatalogs und zur Zertifizierung verpflichtet ist. Darüber hinaus ist ein Nachweis darüber zu erbringen, dass der Netzbetreiber selbst keine weiteren Systeme betreibt, die vom IT-Sicherheitskatalog erfasst sind.

Erfolgt hingegen die Betriebsführung der Systeme durch einen Dienstleister, der selbst kein Netzbetreiber ist, so müssen Sie als Auftraggeber den IT-Sicherheitskatalog umsetzen und mittels vertraglicher Regelungen ggü. dem Dienstleiter/ Betriebsführer sicherstellen, dass dieser die Sicherheitsanforderungen einhält.

Die certigo GmbH bietet Ihnen in diesem Zusammenhang folgende Unterstützungsleistungen an:

Ausgestaltung der vertraglichen Vereinbarungen zur Sicherstellung der Sicherheitsanforderungen durch Dienstleister und Betriebsführer

Durchführung einer Strukturanalyse/ Erstellung eines Netzstrukturplanes zur Identifikation der vom IT-SiK betroffenen Systeme und Komponenten
-> als Basis für eine nachgelagerte Risikoanalyse
-> als Nachweis für BNetzA, dass der Netzbetreiber selbst keine weiteren Systeme betreibt, die vom IT- Sicherheitskatalog erfasst sind.

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "IT-Sicherheitskatalog (BNetzA) - Hinweise zur Umsetzung im Falle outgesourcter Leittechnik"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper IT-Sicherheitskatalog BNetzA Hinweise zur Umsetzung im Falle outgescourcter Leittechnik

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN