IT-Sicherheitskatalog gem. § 11 Absatz 1a EnWG

Informationssicherheits-Managementsystem

Der IT-Sicherheitskatalog wurde von der Bundesnetzagentur im August 2018 veröffentlich. Der IT-Sicherheitskatalog konkretisiert die im Energiewirtschaftsgesetz gestellten Anforderungen:

Energiewirtschaftsgesetz (EnWG Absatz 1a)

(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

Die Überprüfung der Anforderungen durch eine Zertifizierung, wird von der Regulierungsbehörde (Bundesnetzagentur) über den IT-Sicherheitskatalog im Abschnitt „F.Umsetzungsvorgaben“ an eine DAkkS akkreditierte Stelle delegiert.

Wer ist betroffen?

Der IT-Sicherheitskatalog kann generell von allen Betrieben, die Versorgungsnetze betreiben angewendet werden.
Verpflichtend ist der IT-Sicherheitskatalog für jeden Strom- und Gasnetzbetreiber.


Was sind die Vorteile?

Der IT-Sicherheitskatalog hat folgende Schutzziele definiert:
Der  IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines an-gemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind.
Dieses Ziel ist insbesondere durch die Auswahl geeigneter, angemessener und dem allgemein anerkannten Stand der Technik entsprechender Maßnahmen zur Realisierung der folgenden Schutzziele aus dem Bereich der Informationssicherheit zu erreichen:

  • die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
  • die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
  • die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbei-teten Informationen.


Ablauf der Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Absatz 1a EnWG?

Ein wertiges IT-Sicherheitskatalog Zertifikat erhält man nur bei einer von der DAkkS akkreditierten Prüfstelle. Nur ein bereits gelebtes ISMS kann durch die PÜG zertifiziert werden. Für die Einführung des IT-Sicherheitskatalog sind die Kenntnisse der Normen ISO/IEC 27001 und ISO/IEC 27019 und deren Umsetzung in Bezug dem IT-Sicherheitskatalog erforderlich. Üblicherweise benötigt ein Unternehmen einen ISMS-Beauftragten, der für die Planung, Einführung und Aufrechterhaltung eines zertifizierungsfähigen Informationssicherheitsmanagementsystems (ISMS) in dem Betrieb zuständig ist.

Die Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Absatz 1a EnWG folgt einem 3-jährigen Rhythmus: Erstzertifizierung > 1. Überwachung > 2. Überwachung > 3. Re-Zertifizierung

ANGEBOT ANFRAGEN

[powr-contact-form label="Angebot anfragen"]