Schutz von Energieanlagen
Neben Strom- und Gasnetzen haben Energieerzeugungsanlagen für die Energieversorgung eine herausragende Bedeutung. Und so wie die Strom- und Gasnetzbetreiber von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig sind, gilt dies auch für Energieerzeugungsanlagen: Bedrohungen der Kommunikations- und EDV-Systeme sind zugleich Bedrohungen eines sicheren Anlagenbetriebs.
Folglich sind entsprechende Schutzstandards hier notwendig, um einen reibungslosen Netzbetrieb sicherstellen zu können. Der Gesetzgeber hat daher den IT-Sicherheitskatalog der Bundesnetzagentur erweitert und um eine weitere Vorschrift ergänzt. Gemäß § 11 Absatz 1b des Energiewirtschaftsgesetzes sind Betreiber von Energieanlagen, die mit dem öffentlichen Versorgungsnetz verbunden sind, verpflichtet, dort, wo Gefährdungen für den Netzbetrieb möglich sind, Sicherheitsmaßnahmen zu ergreifen.
Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) im Dezember 2018 veröffentlichten Mindestanforderungen des IT-Sicherheitskatalogs müssen die Energieanlagen-Betreiber (wie im „Informationsschreiben für Betreiber kritischer Energieanlagen: BSI-Kritis-Verordnung“ vom 14.03.2022 mitgeteilt) bis zum 31. März 2024 umsetzen, und dies mittels einer Zertifizierung der Bundesnetzagentur nachweisen. Zulässig sind dabei ausschließlich Zertifikate von Konformitätsbewertungsstellen, die – wie TÜV NORD – von der Deutschen Akkreditierungsstelle (DAkkS) entsprechend akkreditiert sind.
Was sind die Schutzziele des IT-Sicherheitskatalogs?
Der IT-Sicherheitskatalog bezieht sich auf alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind – sei es für die Prozessführung und im Leitstand oder für die Verwaltung. Für alle diese Systeme gibt es drei Schutzziele:
- Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten.
- Sicherstellung der Integrität der verarbeiteten Informationen und Systeme.
- Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.
FAQ zum IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz
Zielgruppe sind Betreiber von Energieanlagen, die durch die BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden, und an ein Energieversorgungsnetz angeschlossen sind.
Basis für die Einführung eines ISMS nach den spezifischen Anforderungen des IT-Sicherheitskatalogs und somit für die Zertifizierung ist eine individuelle Risikoanalyse, von der dann geeignete Sicherheitsmaßnahmen abgeleitet werden.
Um nachzuweisen, dass Sie die ausgewählten Maßnahmen umsetzen, ist es notwendig, interne Audits und Management Reviews durchzuführen. Diese sind wiederum Grundlage für die Auditierung durch Ihre Zertifizierungsstelle TÜV NORD.
Die Betreiber der Energieanlagen sind verpflichtet, eine Informationssicherheits-Managementsystem (ISMS) zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.
Bei der Implementierung des ISMS sind darüber hinaus die Normen DIN EN ISO/IEC 27002 und DIN EN ISO/IEC 27019 in der jeweils gültigen Fassung zu berücksichtigen.
Unser Auditierungsprozess ist dialogbasiert, greift auf bewährte Methoden zurück und ist sehr strukturiert. Er umfasst nach einer sorgfältigen Planung und Abstimmung die Überprüfung Ihrer Prozesse, Systeme und Sicherheitsmaßnahmen.
Wir analysieren und bewerten dabei ferner Ihre IT-Infrastruktur, um sicherzustellen, dass Ihr Informationssicherheitsmanagementsystem den Anforderungen gemäß § 11 Abs. 1b EnWG und den Erwartungen Ihrer Kunden und Geschäftspartner entspricht.
Unsere Leistungen im Rahmen der Auditierung umfassen:
- Sorgfältige Planung und Abstimmung des Auditierungsprozesses
- Detaillierte Prüfung Ihrer IT-Systeme und -Infrastruktur
- Bewertung Ihrer Sicherheitsmaßnahmen und -kontrollen
- Überprüfung der Einhaltung von regulatorischen Anforderungen
- Identifizierung von Verbesserungspotenzialen und Best Practices
- Erstellung eines umfassenden Auditberichts mit konkreten Handlungsempfehlungen
Der Auditablauf einer ISO 27001 Zertifizierung inkl. BNetzA Zertifikat
Zertifizierung gemäß EnWG § 11 Absatz 1b mit TÜV NORD
Die Zertifizierung nach dem IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz muss durch eine unabhängige Zertifizierungsstelle durchgeführt werden, die das sogenannte Konformitätsbewertungsprogramm der Bundesnetzagentur erfüllt und dementsprechend von der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert ist.
TÜV NORD wurde von der DAkkS erfolgreich für Zertifizierungsverfahren nach EnWG § 11 Abs. 1b geprüft, und befindet sich aktuell im formalen Akkreditierungsprozess. Wir führen Ihre Zertifizierung vertrauensvoll und mit größter Kompetenz durch und übermitteln Ihr Zertifikat an die Bundesnetzagentur. Nicht zuletzt setzen Sie mit uns auf einen Partner mit weitreichender Erfahrung für die Auditierung und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS).
Unser erfahrenes Team steht Ihnen während des gesamten Prozesses zur Seite und sorgt für eine professionelle und effiziente Durchführung der Auditierung. Wir arbeiten eng mit Ihnen zusammen, um ein tiefgreifendes Verständnis Ihrer Geschäftsprozesse und -anforderungen zu entwickeln und sicherzustellen, dass die Auditierung zu Ihrem Vorteil genutzt wird.
Wenn Sie weitere Informationen zu unseren Auditierungsleistungen benötigen oder einen Termin für eine individuelle Beratung wünschen, stehen wir Ihnen jederzeit zur Verfügung.
Wir freuen uns auf Ihre Anfrage
Anrufe aus der Schweiz und Österreich: +49 511 998-61222
Kostenlose Service-Hotline
Tel.: 0800 2457 457
info.tncert@tuev-nord.de