info@siv.de +49 381 2524-4000
Kostensenkung durch Verbundprojekte im EVU-Umfeld

KOSTENSENKUNG DURCH VERBUNDPROJEKTE IM ENERGIEVERSORGUNGSUMFELD

Umsetzungsstrategien zur ISO/IEC 27001-Implementierung für Energieversorger.

Mit der Verabschiedung des IT-Sicherheitsgesetzes und weiterer flankierender Maßnahmen geht der Gesetzgeber nun im Rahmen seiner „digitalen Agenda“ notwendige Schritte zur gesetzlich verbindlichen Etablierung eines „Mindestniveaus an IT-Sicherheit“.

Das am 25. Juli 2015 rechtskräftig gewordene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bringt für Sie als EVU und Netzbetreiber neue Pflichten zum Nachweis eines Mindestniveaus an IT-Sicherheit sowie Meldepflichten bei Sicherheitsvorfällen mit sich. Die Präzisierungen und Änderungen des Energiewirtschaftsgesetzes (EnWG) sowie der am 12. August 2015 von der BNetzA veröffentlichte IT-Sicherheitskatalogs fordert als Mindeststandard die Einführung und Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS), nach den Vorgaben der ISO/IEC 27001 ff. Bis zum 31.01.2018 muss der BNetzA eine Kopie des Zertifikats vorgelegt werden, bereits bis zum 30.11.2015 müssen Netzbetreiber der BNetzA den Namen sowie die Kontaktdaten des Informationssicherheitsabeauftragten im EVU melden.

Erheblicher Aufwand durch Vorgabe ISO/IEC 27001

Für Netz- und Anlagenbetreiber der Sparten Strom und Gas bildet der IT-Sicherheitskatalog der Bundesnetzagentur sowie die Änderungen des EnWG – insbesondere § 11 Absatz (1a) (1b) (1c) die rechtliche Basis. Diese Regelun-gen richten sich konkret an alle Netzbetreiber, welche Netz-komponenten und Datenverarbeitungssysteme im Einsatz haben, die für einen sicheren Netzbetrieb der Medien Strom und Gas notwendig sind.

Allerdings gibt es für die Betreiber von Energieversorgungsnetzen differenzierte Anforderungen zu beachten, je nach dem ob sie als sog. Kritische Infrastruktur eingestuft werden oder nicht. Dies wird eine weitere Rechtsverordnung regeln, die für Ende 2015 erwartet wird.

Betreiber von Energieversorgungsnetzen, die dann als kritische Infrastruktur eingestuft wind, müssen neben den Anforderungen aus dem IT-Sicherheitskatalog der BNetzA weitere Pflichten aus dem überarbeiteten BSI-Gesetz umsetzen. Im wesentlichen sind dies Meldepflichten ggü. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Laut den derzeitigen Vorgaben aus dem bekannten Entwurf des IT-Sicherheitskataloges ist neben den Normen ISO/IEC 27001 und 27002 auch die Branchenspezifische Norm 27019 sowie Elemente des IT-Grundschutzes in die Ausprägung des ISMS miteinzubeziehen. Darüber hinaus wird unter anderem gefordert:


Benennung eines Informationssicherheitsbeauftragten. Dieser gilt gegenüber den regulierenden Behörden wie BNetzA und BSI als zentraler Ansprechpartner und ist ihr gegenüber bzgl. des ISMS-Umsetzungsstandes und Reife grads auskunftspflichtig.

Implementierung eines Log-Managements zur Erkennung und Behandlung von Sicherheitsvorfällen sowie Organisation eines geeigneten Meldewesens (UN-intern sowie in Richtung BSI).

Verpflichtung die Konformität des ISMS Systems durch ein Zertifikat nachzuweisen. Das sogenannte Zertifizierungsaudit, wird dabei durch eine akkreditierte Zertifizie- rungsstelle durchgeführt.

Bei Nichteinhaltung drohen durch die kurzfristigen Änderungen in der Gesetzgebung empfindliche Strafen von bis zu 100.000 Euro.

Kooperation / Verbundprojekte zur Kostenreduktion

Für kleine und mittelständische Energieversorger stellt die Einführung und Zertifizierung eines ISMS nach ISO/IEC 27001 zumeist eine große Herausforderung dar.

Da stellt sich die Frage, ob sich in anderen Bereichen (z.B. der Beschaffung) bereits kooperierende Energieversorgungsunter-nehmen zusammen tun können und die Implementierung sowie die Zertifizierung des ISMS gemeinsam bestreiten können.

Hierbei unterscheidet man zwei Vorgehensweisen:

Matrixzertifizierung

Verbundzertifizierung

Die Matrixzertifizierung würde voraussetzen, dass die beteiligten EVU gesellschaftsrechtlich miteinander verbunden sind. Bei dieser Konstellation werden Verbünde als Organisationen mit einem einheitlichen Managementsystem und verschiedenen Standorten und/oder verschiedenen rechtlich eigenständigen Unternehmenseinheiten definiert. Daher ist diese Vorgehensweise nach dem Beschluss der Deutschen Akkreditierungsstelle (DakkS) vom 20.01.2015 im Bezug auf die Energieversorgungsbrache nur dort umsetzbar, wo sich rechtlich selbstständige EVU´s bereits mit anderen Häusern in bspw. einer Kooperationsgesellschaft zusammen getan haben.

Das Kooperationsunternehmen erhält dann ein sog. Masterzertifikat; alle beteiligten EVU ein Einzelzertifikat, welches ausschließlich in Verbindung mit den Masterzertifikat gilt.

Eine Verbundzertifizierung im Sinne mehrerer einzelner voneinander unabhängiger und eigenverantwortlich agierender Organisationen, ist ebenfalls möglich. Allerdings implementiert jedes EVU sein individuell ausgestaltetes ISMS, lässt dies auditieren und erhält ein eigenes Zertifikat. Die „Kooperation“ mit den angestrebten Synergien und Kostenvorteilen erfolgt dann bspw. in Form eines gemeinsamen Projekts mit einem gemeinsamen externen Experten, welcher das Projekt steuert und die Zertifizierbarkeit sicherstellt.

Im Rahmen gemeinsamer Workshops erarbeiten die beteiligten EVU die notwendigen Inhalte und Anforderungen aus dem IT-Sicherheitskatalog bzw. der ISO/IEC 27001. Der Austausch der einzelnen Projektbeteiligten zu etwaigen bereits vorhandenen Dokumenten, Prozessen und Produkten und die Nutzung von standardisierten und zertifizierungs-erprobten Templates kann deutliche Kosteneinsparungen erzielen – je nach Anzahl der beteiligten Stadtwerke und der Heterogenität der vorhandenen Prozesse und Systeme der beteiligten EVU.

Begleitung durch Experten sinnvoll

Es ist zu empfehlen, sich von externen Fachexperten, die sich mit den Anforderungen und Strukturen der ISO/IEC 27001 sowie dem Ablauf und Inhalt eines Zertifizierungsaudits auskennen, während der Modellierung, Implementierung und optimalerweise bis hin zur Auditierung begleiten zu lassen.

Ansonsten kann sich die Situation ergeben, dass die in Eigenregie erstellte IT-Sicherheitsdokumentation einer ISO/IEC 27001-konformen Überprüfung nicht standhält und die Zertifikatserteilung somit gefährdet oder gar ausgeschlossen ist.

Erfahrungsgemäß ist die zu erstellende Dokumentation beim Aufbau und Erstzertifizierung nach ISO/IEC 27001 als Grundlage für die Auditierung als besonders kritisch zu bewerten. Da es sich um ein Management System handelt, können diese Dokumente in der Regel nur zu kleinen Teilen automatisch generiert durch entsprechende Tools bereitgestellt werden.

Daher stellt die Dokumentation je nach Größe des EVU und Outsourcing Grad der im IT-Sicherheitskatalog angesprochenen Prozesse und Systeme einen der größten Kostentreiber dar.

Haben Sie Interesse an einem Verbundprojekt bzw. einer Matrixzertifizierung? Sprechen Sie uns an. Mit unserer zertifizierungserprobten Templatelösung für Verbundprojekte erreichen Sie gemeinsam mit uns das Ziel: Kosteneffizient zum ISMS!

Verbundprojekt im Sinne einer Matrixzertifizierung:

Verbundprojekt im Sinne einer Matrixzertifizierung

Vorteile & Synergien im Projekt, der Zertifizierung und dem Betrieb:

Kosteneinsparung durch gemeinsames Projekt (Teilung der externen Beratungskosten)

Optimale Balance zwischen fachlicher Autarkie und Umsetzung zentraler Vorgaben

Nachträgliche Erweiterungen um zusätzliche Unternehmen und Anpassungen des Verbunds jederzeit möglich

Synergien und Skaleneffekte in der ISMS-Infrastruktur (ISMS-Tooling, Dokumenten-Management, Meldewesen, ISMS-Beauftragter, usw.) sowie in der kontinuierlichen Verbesserung

Jedes EVU erhält ein separates Zertifikat—es ist in der Außendarstellung nicht ersichtlich, dass ein „gemeinsames“ ISMS betrieben wird.

IHR PARTNER FÜR UNABHÄNGIGE IT-COMPLIANCE UND IT-SECURITY

KONTAKT AUFNEHMEN

Ihnen gefällt der Artikel "Kostensenkung durch Verbundprojekte im EVU-Umfeld - Umsetzungsstrategien zur ISO/IEC 27001-Implementierung für Energieversorger"?

Dann laden Sie sich diesen Artikel gern kostenfrei als Whitepaper herunter und teilen Sie den Artikel mit Ihren Freunden und Bekannten.

Whitepaper Kostensenkung durch Verbundprojekte im Energieversorgungsumfeld als PDF herunterladen

AKTUELLE NEUIGKEITEN

Hier erhalten Sie aktuelle Informationen rund um die Themen IT-Sicherheit, Datenschutz, IT-Compliance und natürlich über die certigo GmbH. Nutzen Sie Ihren Informations-Vorsprung und abonnieren Sie auch unseren Newsletter ganz unten in unserer Website (Footer).

Online Self-Check für Cyber-Security

Verschaffen Sie sich einen Überblick über die aktuellen Risikosituationen in Ihrem Unternehmen.

  • Kostenfrei
  • Unverbindlich
  • Von IT-Experten entwickelt
JETZT KOSTENLOS TESTEN