ESecurity Cert

Zertifizierung des ISMS nach dem IT-Sicherheitskatalog gem. § 11 Abs. 1a und 1b Energiewirtschaftsgesetz

Am 12. Au­gust 2015 veröff­ent­lichte die Bun­des­netz­agen­tur den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs. 1a En­er­gie­wirt­schafts­ge­setz (EnWG) für Netz­be­trei­ber. Der IT-Si­cher­heits­ka­ta­log be­zweckt gemäß § 11 Abs. 1a EnWG die Si­cher­stel­lung ei­nes an­ge­mes­se­nen Schut­zes ge­gen Be­dro­hun­gen für Te­le­kom­mu­ni­ka­ti­ons- und elek­tro­ni­sche Da­ten­ver­ar­bei­tungs­sys­teme, die für einen si­che­ren Netz­be­trieb not­wen­dig sind.

Am 18. De­zem­ber 2018 veröff­ent­lichte die Bun­des­netz­agen­tur den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs. 1b En­er­gie­wirt­schafts­ge­setz (EnWG). Diese neue Vor­schrift rich­tet sich an die Be­trei­ber von En­er­gie­an­la­gen, die als Kri­ti­sche In­fra­struk­tur (KRI­TIS) nach der BSI-Kri­tis­ver­ord­nung (BSI-Kri­tisV) be­stimmt wur­den. Be­trei­ber von En­er­gie­an­la­gen, die mit dem öff­ent­li­chen Ver­sor­gungs­netz ver­bun­den sind, wer­den ver­pflich­tet, dort, wo eine Gefähr­dung für den Netz­be­trieb möglich ist, eben­falls Si­cher­heitsmaßnah­men zu er­grei­fen, um die Vor­teile mo­der­ner In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik auch in Zu­kunft si­cher nut­zen zu können.

Die Absätze 1a so­wie 1b stel­len so­mit spe­zi­fi­sche An­for­de­run­gen in Be­zug auf die In­for­ma­ti­ons­si­cher­heit. Netz­be­trei­ber (wie Stadt­werke) so­wie Be­trei­ber von En­er­gie­an­la­gen (der Spar­ten Strom und Gas), wel­che die Schwel­len­werte der BSI-Kri­tisV er­rei­chen bzw. über­schrei­ten, sind ver­pflich­tet, die An­for­de­run­gen des Si­cher­heits­ka­ta­logs gem. § 11 Abs. 1a oder 1b um­zu­set­zen. Mit ei­ner Zer­ti­fi­zie­rung weist die geprüfte Or­ga­ni­sa­tion, den Stand und die Qua­lität des ein­ge­rich­te­ten In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (ISMS) durch eine un­abhängige Prüfung nach.

Der IT-Si­cher­heits­ka­ta­log for­dert in dem Zu­sam­men­hang ein ISMS, wel­ches:

  • den An­for­de­run­gen der DIN EN ISO/IEC 27019:2020-08,
  • den An­for­de­run­gen der DIN EN ISO/IEC TR 27019:2015-03,
  • wei­te­ren An­for­de­run­gen aus dem „IT-Si­cher­heits­ka­ta­log gem. § 11 Abs. 1a EnWG“ bzw. „IT-Si­cher­heits­ka­ta­log gem. § 11 Abs.1b EnWG“,
  • ergänzen­den An­for­de­run­gen
    • aus dem „Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs.1a En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006 (Stand 16.No­vem­ber 2017) bzw.
    • aus dem „Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs.1b En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006“ (Stand 22.Sep­tem­ber 2020)

genügt.

Das ISMS wird durch die RSM Cer­ti­fi­ca­tion GmbH im Hin­blick auf die Iden­ti­fi­ka­tion, Ana­lyse und Ab­lei­tung von Maßnah­men zur Steue­rung der In­for­ma­ti­ons­si­cher­heits­ri­si­ken geprüft.

Die Norm DIN EN ISO/IEC 27001:2017-06 hat sich in­ter­na­tio­nal als Stan­dard für In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men und Behörden eta­bliert. Das ISMS ist als ein ganz­heit­li­ches Sys­tem zur Ab­si­che­rung der In­for­ma­ti­ons­si­cher­heit in der Or­ga­ni­sa­tion zu se­hen. Es wird hier­bei nicht nur auf die IT-Si­cher­heit ab­ge­stellt.

Mit der Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log eröff­net sich die Möglich­keit Drit­ten, (Kun­den, Lie­fe­ran­ten, Mit­ar­bei­tern, Behörden, etc.) trans­pa­rent nach­zu­wei­sen, dass ein an­ge­mes­se­nes Si­cher­heits­ni­veau er­reicht wurde und die­ses kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt wird.

DER ZERTIFIZIERUNGSZYKLUS (3 JAHRE)

Jedes Zertifizierungsverfahren besteht aus den vier Phasen:

  • Erst­zer­ti­fi­zie­rung
  • Über­wa­chungs­au­dit (10 Mo­nate nach Ab­schluss der Stage-2 Prüfung bei Erst­zer­ti­fi­zie­rung)
  • Über­wa­chungs­au­dit (12 Mo­nate nach dem 1. Über­wa­chungs­au­dit)
  • Re­zer­ti­fi­zie­rung (3 Jahre nach Erst­zer­ti­fi­zie­rung)

Der Zer­ti­fi­zie­rungs­zy­klus ist auf­grund der Gültig­keit der Zer­ti­fi­kate auf 3 Jahre aus­ge­legt. Zu Be­ginn ist ein for­ma­ler An­trag zur Zer­ti­fi­zie­rung durch die zu prüfende Or­ga­ni­sa­tion an uns zu stel­len. Hierzu stel­len wir Ih­nen ein An­trags­for­mu­lar zur Verfügung. Selbst­verständ­lich ste­hen wir Ih­nen hier­bei auch gerne im persönli­chen Ge­spräch zur Verfügung. 

Im An­schluss er­folgt dann das Zer­ti­fi­zie­rungs­au­dit, das wir Ih­nen im Fol­gen­den un­ter Erst-/Re­zer­ti­fi­zie­rung dar­stel­len. Im An­schluss an das Zer­ti­fi­zie­rungs­au­dit er­folgt dann die Ent­schei­dung über die Zer­ti­fi­zie­rung. 

Durch das jähr­li­che Über­wa­chungs­au­dit, das im Jahr 2 und 3 er­folgt, wird si­cher­ge­stellt, dass das ISMS während der ge­sam­ten Gültig­keits­dauer des Zer­ti­fi­ka­tes auf­recht­er­hal­ten wird. Der Prüfungs­um­fang ist deut­lich ge­rin­ger an­ge­setzt, als die Au­dit­zeit bei der Erst­zer­ti­fi­zie­rung.

Der Un­ter­schied zwi­schen der Erst- und Re­zer­ti­fi­zie­rung ist me­tho­di­sch ge­ring, je­doch ist auf­grund der be­reits be­ste­hen­den Zer­ti­fi­zie­rung der Zeit­be­darf für das Au­dit in der Re­zer­ti­fi­zie­rung i.d.R. nicht so um­fas­send wie bei der Erst­zer­ti­fi­zie­rung. 

Die RSM Cer­ti­fi­ca­tion GmbH setzt da­bei auf ein mehr­stu­fi­ges Ver­fah­ren. Im ers­ten Schritt prüft der (Lead) Au­di­tor die Kon­for­mität ei­nes ISMS ge­gen das Re­gel­werk und fer­tigt einen Re­port an. Die­ser wird in ei­ner wei­te­ren Stufe durch die RSM Cer­ti­fi­ca­tion GmbH geprüft, um eine Ver­gleich­bar­keit zwi­schen den ein­zel­nen Au­dits si­cher­stel­len zu können.

Erst-/Rezertifizierung

Stage 1-Prüfung 

(Aufbauprüfung)
  • Grund­le­gende Be­ur­tei­lung und Würdi­gung des Gel­tungs­be­rei­che
  • Durch­sicht und Be­wer­tung des Ma­nage­ment­hand­bu­ches so­wie der er­wei­ter­ten Sys­tem­do­ku­men­ta­tio­nen
  • Be­ur­tei­lung der grundsätz­li­chen An­for­de­rungs­erfüllung
  • Er­mitt­lung der grund­le­gen­den Prüfungs­be­reit­schaft im Hin­blick auf den nächs­ten Schritt (Funk­ti­onsprüfung) und ggf. Auf­zei­gen von Hand­lungs­be­darfe
  • Ab­lei­tung des in­di­vi­du­el­len Au­dit­plans für die Stage 2-Prüfung

Stage 2-Prüfung 

(Funktionsprüfung)
  • Pro­zess­ori­en­tierte Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems auf An­for­de­rungs­erfüllung un­ter Berück­sich­ti­gung der ent­spre­chen­den In­fra­struk­tur und Ap­pli­ka­ti­ons­ob­jekte
  • Prüfung er­folgt vor Ort an den vor­ge­se­he­nen Stand­or­ten
  • Er­stel­lung ei­nes Au­dit­be­rich­tes

Zertifikatsverwaltung 

(Laufzeit von drei Jahren)
  • Zer­ti­fi­ka­ter­stel­lung
  • Nut­zung des Zer­ti­fi­ka­tes für ei­gene Wer­be­zwe­cke
  • Veröff­ent­li­chung des Zer­ti­fi­ka­tes im In­ter­net
  • Ggf. Aus­stel­lung von Zer­ti­fi­kats­ko­pien [op­tio­nal)

Das Zertifizierungsaudit lässt sich folglich wie folgt darstellen:

ERSTES UND ZWEITES ÜBERWACHUNGSAUDIT

Das er­ste und zweite Über­wa­chungs­au­dit fin­det in den bei­den Fol­ge­jah­ren nach der Erst-/Re­zer­ti­fi­zie­rung statt.

Das Über­wa­chungs­au­dit wird auf den Kennt­nis­sen aus dem Zer­ti­fi­zie­rungs­au­dit auf­ge­baut und es wird im We­sent­li­chen die Wei­ter­ent­wick­lung des Ma­nage­ment­sys­tems be­ur­teilt.

  • Es er­gibt sich so­mit der im Rah­men der DIN EN ISO/IEC 27001:2017-06 i. V. m. der ISO/IEC 27006:2021-05 vor­ge­se­hene re­du­zierte zeit­li­che Prüfungs­um­fang. Für Au­dits gemäß IT-Si­cher­heits­ka­ta­log der Bun­des­netz­agen­tur gemäß § 11 Abs.1a oder 1b EnWG gel­ten zusätz­lich die An­for­de­run­gen der ISO/IEC 27006:2021-05 so­wie der DIN EN ISO/IEC 17021-1:2015-11, u. a. bezüglich der Au­dit­dauer so­wie der ent­spre­chen­den DAkkS-Re­geln, ergänzt um den „Au­dit­um­fang“ des
  • „Kon­for­mitäts­be­wer­tungs­pro­gramms zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs.1a En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006“ (Stand 16. No­vem­ber 2017) bzw.
  • „Kon­for­mitäts­be­wer­tungs­pro­gramms zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Abs.1b En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006“ (Stand 22. Sep­tem­ber 2020)
    der Bun­des­netz­agen­tur.

Die wesentlichen Schritte sind:

  • Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems
  • Er­stel­lung des Au­dit­be­rich­tes