Schutz von Energieanlagen
Neben Strom- und Gasnetzen haben Energieanlagen für die Energieversorgung eine herausragende Bedeutung. Und so wie die Strom- und Gasnetzbetreiber von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig sind, gilt dies auch für Energieanlagen: Bedrohungen der Telekommunikations- und EDV-Systeme sind zugleich Bedrohungen eines sicheren Anlagenbetriebs.
Folglich sind entsprechende Schutzstandards hier notwendig, um einen reibungslosen Netzbetrieb sicherstellen zu können. Der Gesetzgeber hat daher den IT-Sicherheitskatalog der Bundesnetzagentur erweitert und um eine weitere Vorschrift ergänzt. Gemäß § 11 Absatz 1b des Energiewirtschaftsgesetzes sind Betreiber von Energieanlagen, die mit dem öffentlichen Versorgungsnetz verbunden sind, verpflichtet, dort, wo Gefährdungen für den Netzbetrieb möglich sind, Sicherheitsmaßnahmen zu ergreifen.
Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) im Dezember 2018 veröffentlichten Mindestanforderungen des IT-Sicherheitskatalogs müssen die Energieanlagen-Betreiber seit dem 31. März 2021 umsetzen und dies mittels einer Zertifizierung der Bundesnetzagentur nachweisen. TÜV NORD steht hier als Zertifizierungspartner zur Seite sobald die angestrebte Akkreditierung durch die DAkkS erfolgt ist.
Was sind die Schutzziele des IT-Sicherheitskatalogs?
Der IT-Sicherheitskatalog bezieht sich auf alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind – sei es für die Prozessführung und im Leitstand oder für die Verwaltung. Für alle diese Systeme gibt es drei Schutzziele:
1. Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten.
2. Sicherstellung der Integrität der verarbeiteten Informationen und Systeme.
3. Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.
Zielgruppe sind Betreiber von Energieanlagen, die durch die BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden, und an ein Energieversorgungsnetz angeschlossen sind.
Basis für die Einführung eines ISMS nach den spezifischen Anforderungen des IT-Sicherheitskatalogs und somit für die Zertifizierung ist eine individuelle Risikoanalyse, von der dann geeignete Sicherheitsmaßnahmen abgeleitet werden. Um nachzuweisen, dass Sie die ausgewählten Maßnahmen umsetzen, ist es notwendig, interne Audits und Management Reviews durchzuführen. Diese sind wiederum Grundlage für die Auditierung durch Ihre Zertifizierungsstelle TÜV NORD.
Die Betreiber der Energieanlagen sind verpflichtet, eine Informationssicherheits-Managementsystem (ISMS) zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt. Bei der Implementierung des ISMS sind darüber hinaus die Normen DIN EN ISO/IEC 27002 und DIN EN ISO/IEC 27019 in der jeweils gültigen Fassung zu berücksichtigen.
Zertifizierung mit TÜV NORD
Die Zertifizierung nach dem IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz muss durch eine unabhängige Zertifizierungsstelle durchgeführt werden, die das sogenannte Konformitätsbewertungsprogramm der Bundesnetzagentur erfüllt und dementsprechend von der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert ist.
TÜV NORD gehört – sobald die angestrebte Akkreditierung durch die DAkkS erfolgt ist – zu den akkreditierten Stellen zur Zertifizierung des IT-Sicherheitskatalogs. Wir führen Ihre Zertifizierung vertrauensvoll und mit größter Kompetenz durch und übermitteln Ihr Zertifikat an die Bundesnetzagentur. Nicht zuletzt setzen Sie mit uns auf einen Partner mit weitreichender Erfahrung für die Auditierung und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS).