TÜV SÜD informiert über die Vorbereitung der Zertifizierung

Energienetzbetreiber müssen bis 31. Januar 2018 die Forderungen des IT-Sicherheitskatalogs umsetzen, ein Informationssicherheits-Managementsystem (ISMS) einführen und der Bundesnetzagentur eine entsprechende Zertifizierung vorlegen. Um das Zertifikat zu erhalten, gibt es einiges zu beachten und vorzubereiten. TÜV SÜD-Experte Alexander Häußler weiß, welche Schritte nötig sind.

Netzstrukturplan erstellen

Netzbetreiber müssen einen Netzstrukturplan erstellen, wobei es sich um eine IST-Aufnahme der bestehenden Anwendungen, Systeme und Komponenten handelt, wie diese zusammenhängen und welche Auswirkungen sie auf die Netzsteuerung haben können. Die Übersicht ist dabei nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden.


Risikoanalyse durchführen

Für die im Netzstrukturplan als relevant identifizierten Prozesse muss im Anschluss eine Risikoeinschätzung der Informationssicherheit erfolgen. Dabei gelten drei Schadenskategorien: „mäßig“, „hoch“ und „kritisch“. Systeme, Komponenten und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, sind grundsätzlich in der Kategorie „hoch“ einzuordnen. Bei der Einstufung werden unter anderem Kriterien wie Beeinträchtigung der Versorgungssicherheit, Einschränkung des Energieflusses, betroffener Bevölkerungsanteil oder Gefährdung für Leib und Leben zu Grunde gelegt. Zu den Risiken zählen gezielte IT-Angriffe und Schadsoftware genauso wie technisches Versagen oder elementare Gefährdungen.

Maßnahmen planen und umsetzen

Anhand der definierten Risiken sind geeignete und angemessene Maßnahmen zu definieren. Als geeignet gilt eine Maßnahme, wenn sie dem allgemein anerkannten Stand der Technik entspricht, für die Angemessenheit ist der technische und wirtschaftliche Aufwand zu berücksichtigen. Allerdings sollen Energienetzbetreiber hier auch die Folgen eines Ausfalls oder einer Beeinträchtigung des sicheren Netzbetriebs beachten.

Statement of Applicability

Die Erklärung zur Anwendbarkeit oder auch Statement of Applicability dient der zentralen Dokumentation, welche Maßnahmen, auch Controls genannt, im Rahmen des Informationssicherheits-Managementsystems als anwendbar definiert wurden. Die Erklärung muss alle 114 Controls der DIN ISO/IEC 27001 sowie die darüber hinausgehenden Controls der DIN ISO/IEC TR 27019 enthalten, inklusive einer nachvollziehbaren Begründung für deren Anwendung oder Ausschluss. Wurden weitere Controls ergänzt, können diese ebenfalls hier dokumentiert werden. Das Statement of Applicability wird bei der Zertifizierung von den Auditoren geprüft.

Ziele definieren und interne Audits durchführen

Zu einem Managementsystem gehört es ebenso, Ziele zu definieren, um zu messen, ob diese auch erreicht wurden. Für Energienetzbetreiber kann es ein Ziel sein, dass eine gewisse Anzahl an Stunden Stromausfall am Stück nicht überschritten wird. Oder, einen gewissen Prozentsatz an geschulten Mitarbeitern zu erreichen. Außerdem müssen interne Audits durchgeführt werden – entweder von eigenen Mitarbeitern oder von einem externen Berater. Wichtig ist, dass die Ergebnisse danach zur Verfügung stehen, da sie Bestandteil der Zertifizierung sind.

Ansprechpartner IT-Sicherheit

Für die Koordination und Kommunikation mit der Bundesnetzagentur muss der Netzbetreiber einen Ansprechpartner benennen. Dieser soll auf Anfrage über den Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog, über aufgetretene Sicherheitsvorfälle, deren Ursache sowie über Maßnahmen zur Behebung und zukünftigen Vermeidung informieren können.

Zertifizierungsstelle suchen

Sind alle Anforderungen erfüllt, kann eine Zertifizierung nach IT-Sicherheitskatalog erfolgen. Dafür ist es wichtig, eine Zertifizierungsstelle auszuwählen, die durch die DAkkS akkreditiert ist. Denn nur ein akkreditiertes Zertifikat wird von der Bundesnetzagentur auch anerkannt. Außerdem sollte berücksichtigt werden, wie viele Auditoren die Zertifizierungsstelle zur Verfügung stellt. An einem Audit dürfen nur die Auditoren teilnehmen, die eine bestimmte Schulung zum IT-Sicherheitskatalog besucht haben. Für die Zeitplanung ist außerdem zu berücksichtigen, dass die Zertifizierung in einem zweistufigen Verfahren erfolgt und daher zwei bis drei Monate dauert.

Weitere Informationen zum Thema Zertifizierung nach IT-Sicherheitskatalog gibt es unter http://www.tuev-sued.de/management-systeme/it-dienstleistungen/it-sicherheitskatalog.

Über die TÜV SÜD AG

Im Jahr 1866 als Dampfkesselrevisionsverein gegründet, ist TÜV SÜD heute ein weltweit tätiges Unternehmen. Rund 24.000 Mitarbeiter sorgen an mehr als 800 Standorten in über 50 Ländern für die Optimierung von Technik, Systemen und Know-how. Sie leisten einen wesentlichen Beitrag dazu, technische Innovationen wie Industrie 4.0, autonomes Fahren oder Erneuerbare Energien sicher und zuverlässig zu machen. www.tuev-sued.de

Firmenkontakt und Herausgeber der Meldung:

TÜV SÜD AG
Westendstraße 199
80686 München
Telefon: +49 (89) 5791-0
Telefax: +49 (89) 5791-1551
http://www.tuev-sued.de

Ansprechpartner:
Carolin Eckert
Pressearbeit ZERTIFIZIERUNG
Telefon: +49 (89) 5791-1592
Fax: +49 (89) 57912269
E-Mail: carolin.eckert@tuev-sued.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.