Energiewirtschaftsgesetz – IT Sicherheit für Energieversorger

it-scurity-consulting

Energieversorger sind gesetzlich verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz zu betreiben! Nach § 11 Abs. 1a im Energiewirtschaftsgesetz (EnWG) gehört hierzu auch ein angemessener Schutz gegen Bedrohungen für die Telekommunikations- und Datenverarbeitungssysteme, die der Netzsteuerung dienen!

Im Sicherheitskatalog, der als Verordnungsentwurf vorliegt, werden daher alle Versorgungsnetz-Betreiber von der Bundesnetzagentur verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) nach internationalem Standard (ISO 27001) aufzubauen und zertifizieren zu lassen!

Ziel des ISMS ist es, Vertrauen zu schaffen, dass Risiken im Unternehmen hinreichend bekannt und mit diesen Risiken angemessen umgegangen wird.

Durch einen strukturierten Risikomanagement-Prozess sollen alle möglichen Gefahren und Bedrohungen erkannt, analysiert und bewertet werden. Es müssen geeignete Maßnahmen zum Schutz definiert und umgesetzt werden. Die Umsetzung und Wirksamkeit ist kontinuierlich zu kontrollieren und ständig zu verbessern.

IT-Sicherheit wird damit endgültig zur Chef-Sache!


Energiewirtschaftsgesetz - was ist gefordert?

Die Anforderungen des Sicherheitskataloges sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen!

Ein angemessener Schutz wird vom Gesetzgeber erst dann vermutet, "wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes eingehalten wird."

Dazu gehört die vollständige Einführung, Umsetzung und Zertifizierung des ISMS gemäß den Anforderungen der internationalen DIN ISO/IEC 27001:2013.

Das ISMS muss dabei

  • mindestens die Telekommunikations- und EDV-Systeme umfassen, die der Netzsteuerung dienen
  • zwingend die Verweise auf die Normen DIN ISO/IEC 27002 (Maßnahmenkatalog) erfüllen
  • sowie die DIN SPEC 27009 „Leitfaden für das In-formationssicherheits-Management von Steuerungssystemen der Energieversorgung auf Grundlage der (alten) DIN ISO/IEC 27002:2005“ berücksichtigen.

Als Umsetzungszeitraum wird im Entwurf ein Jahr nach Inkrafttreten der Verordnung (Energiewirtschaftsgesetz) genannt!


Energiewirtschaftsgesetz - was ist zu beachten?

Rolle des IT-Sicherheitsbeauftragten als zentraler Ansprechpartner für die BNetzA, der unverzüglich Auskunft geben kann, über

  • Umsetzungsstand des Sicherheitskatalogs
  • aufgetretene Sicherheitsvorfälle sowie Art und Umfang eventueller Auswirkungen
  • Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung.

Systeme der Netzsteuerung sind nur bedingt mit den „Büroanwendungs“-Systemen vergleichbar! Spezielle Risiken und andere Schutzziele im Umfeld:

  • Informationssicherheit, Security & Safety
  • Industrial Control Systeme (ICS)
  • Supervisory Control and Data- Acquisition (SCADA)

MB-Factory unterstützt Sie und berücksichtigt:

  • ISO 27001:2013
  • ISO 27002:2013 (Maßnahmenkatalog)
  • DIN/SPEC 27009
  • Weitere Quellen zum Erkennen und Bewerten der besonderen Risiken und der geeigne-ten Maßnahmen (u.a. BDEW, BSI)

Die ISO/IEC 27001:2013 Zertifizierung erfolgt über unseren Kooperationspartner: TÜV Rheinland


 7 Schritte zur Einführung eines ISMS nach ISO 27001:2013

  1. Netzstrukturplan erstellen
    Aufnahme der Geschäftsprozesse, Informationen und Systeme
  2. Anwendungsbereich (Scope) festlegen
    Min. die Infrastruktur und alle Systeme, die der Netzsteuerung dienen
  3. Definition IS-Ziele und IS-Organisation
    Ressourcen-Zuordnung, Erstellen Richtlinien
  4. Risikomanagement
    Identifizieren, analysieren und bewerten der Risiken (ICS, SCADA)
  5. Maßnahmen bewerten und festlegen
    Auswahl notwendiger Maßnahmen, Prozesse und Kontrollen
  6. Umsetzung
    Umsetzen der definierten Maßnahmen und notwendiger Kontrollen
  7. Kontrolle und Optimierung
    Überwachen, messen und bewerten der Maßnahmen

Gerne beraten wir Sie zum Thema ISMS, ISO 27001 und deren Einführung – kontaktieren Sie uns:

Kontakt zu MB-Factory