Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind diese Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ (IT-Sikat) enthalten:
- IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (veröffentlicht im August 2015)
- IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (veröffentlicht im Dezember 2018)
Die Bundesnetzagentur (BNetzA) hat Ende März / Anfang April einige wesentliche neue Änderungen bekannt gegeben, welche ab sofort umgesetzt werden müssen.
1. Mitteilung zur Zertifizierung nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG im Fall einer Betriebsführung durch Dritte
2. Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006
3. Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006
Mitteilung - Betriebsführung durch Dritte
Bisher war es in zwei Umständen nicht notwendig, eine Zertifizierung nach den IT-Sicherheitskatalogen nachzuweisen. Dazu gehört auch die Betriebsführung durch Dritte. Dies sind Betreiber von Energieversorgungsnetzen, deren Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs liegen, welche aber vollständig von einem oder mehreren Dritten betrieben werden.
Nachdem hinsichtlich dieses Sachverhaltes einige Zeit keine eindeutige Handhabung vorgegeben war, wurde nun festgelegt, dass sich die Netzbetreiber und die Betreiber von als Kritische Infrastruktur klassifizierten Energieanlagen selbst zu zertifizieren haben. Beide haben also jeweils ein eigenes Zertifikat vorzuweisen. Die Übergangsfrist für die Umsetzung beträgt zwei Jahre bis zum 31. März 2024.
Für betroffene Unternehmen ist nun im ersten Schritt zu prüfen, ob die entsprechenden Anforderungen erfüllt werden und welche Maßnahmen ggf. einzuleiten sind.
Anpassung Konformitätsbewertungsprogramme (KBP)
Die Anpassung der Konformitätsbewertungsprogramme (KBS) (§11 Abs.1a vom 5. April 2022 und 1b vom 30. März 2022) lassen sich zusammenfassen. Beide angepassten KBS haben einen identischen inhaltlichen Aufbau:
- Allgemeines
- Grundlage für das Konformitätsbewertungsprogramm
- Anforderungen an das Akkreditierungsverfahren
- Geschäftststellenbegutachtung
- Durchführung von Witness-Audits
- Anforderungen an die Zertifizierungsstellen
- Anforderungen an die Auditorinnen und Auditoren
- Auditumfang
- Übergangsregelung
Folgende wesentliche Änderungen brachten die KBS mit sich:
1.) Konkretisierung der Grundlagen (nur für den IT-Sikat gem. §11 Abs.1a EnWG)
Es erfolgte eine Konkretisierung hinsichtlich der Trennung der Auditierung und Zertifizierung des jeweiligen KBP’s von den anderen Normen (wie die DIN EN ISO 9001), sofern der Geltungsbereich maßgeblich abweicht. Bisher war dies im IT-Sikat 1a gar nicht aufgeführt. Im IT-Sikat 1b wurde eine kombinierte Auditierung bisher kategorisch ausgeschlossen.
Für interessierte Kunden besteht somit eher die Möglichkeit eines kombinierten Audits (bspw. IT-Sikat 1a und DIN EN ISO 9001).
2.) Anforderungen an das Akkreditierungsverfahren
Um rechtskräftig Zertifizierungen nach den IT-Sicherheitskatalogen durchführen zu dürfen, bedarf es einer Akkreditierung. Seit Inkrafttreten der EU-Verordnung 765/2008 ist der gesamte Prozess der Akkreditierung in der gesamten EU eine hoheitliche Aufgabe, welche in allen Mitgliedsstaaten durch eine nationale Akkreditierungsstelle wahrgenommen werden muss. In Deutschland ist dies die Deutsche Akkreditierungsstelle GmbH (DAkkS). Mit einer Akkreditierung wird die Kompetenz von Konformitätsbewertungsstellen überprüft und beurteilt. Eine erfolgreiche Akkreditierung ist die Bestätigung von unabhängiger dritter Seite, dass eine Konformitätsbewertungsstelle die (fachliche) Kompetenz zur Durchführung bestimmter Konformitätsbewertungstätigkeiten besitzt.
Der Prozess und die Anforderungen an das Akkreditierungsverfahren, welche bereits im KBP des IT-Sikat 1b aufgeführt waren, finden sich nun auch im KBP des IT-Sikat 1a. Am laufenden Prozess ergaben sich keine Änderungen.
Die Ausführungen haben für bestehende oder neue Kunden keine Auswirkungen, da sich am Prozess der Akkreditierung keine Änderungen ergeben haben.
3.) Anpassung der Anforderungen an die Zertifizierungsstellen
Wesentliche Änderung stellt die leichte Anpassung des Zertifikatsmusters dar, das durch die Bundesnetzagentur vorgegeben wird. Für bestehende Zertifikate hat dies keine Auswirkungen.
Darüber hinaus ergeben sich Konkretisierungen hinsichtlich des jährlichen Erfahrungsaustauschs sowie eine Verpflichtung zur Berufung einer Fachexpertin / eines Fachexperten für die Kategorie Strom und Gas oder jeweils einer Fachexpertin / eines Fachexperten für die jeweilige Kategorie.
Auch dies hat für bestehende und zukünftige Kunden keine Auswirkungen.
4.) Erhöhung der Anforderungen an die Auditorinnen und Auditoren
In den Sikats finden sich nun Konkretisierungen zum aktuellen Schulungsangebot. Gab es bisher zwar kombinierte Schulungen für den Sikat 1a und 1b, so wurden diese seitens der DAkkS nicht akzeptiert, da zwar die Schulungen durch die BNetzA freigegeben wurden, aber die Schulungen nicht den Vorgaben des jeweiligen KBP entsprachen.
Zentrale Änderung stellt die Hinzunahme eines Fachexperten dar. Bisher galt: Die Unterstützung durch einen Fachexperten kann entfallen, sofern ein Mitglied des Audit-Teams mindestens fünfmal zusammen mit einem Fachexperten im Rahmen von Audits zur Zertifizierung des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a EnWG die Risikoeinschätzung und den Scope des ISMS eines Netzbetreibers beurteilt hat. Erfüllt ein Mitglied des Audit-Teams selbst die Anforderungen an die Qualifikation des Fachexperten, so ist es dem Fachexperten gleichgestellt. Dies wurde in den aktuellen Fassungen gestrichen, was dafür sorgen wird, dass an zukünftigen Audits vermehrt Fachexperten teilnehmen müssen. So kann es gleichzeitig auch zu einer Erhöhung der Kosten des Audits führen.
5.) Anpassungen an den Auditumfang
Im Rahmen des Auditumfangs erfolgt die Klarstellung, dass jeder Standort anhand der Vorgaben aus Tabelle B1 der ISO/IEC 27006 grundsätzlich einzeln kalkuliert werden muss, um eine Ausgangsgröße der zu erbringenden Auditzeit zu ermitteln. Dies trifft insbesondere bei Mehrstandort-Zertifizierungen zu.
6.) Übergangsregelung - Ausblick auf andere Normen?
Die ISO/IEC 27002 wurde in der aktuellen in 2022 veröffentlichten Version umfangreich überarbeitet. Dies führt auch dazu, dass die ISO/IEC 27001 angepasst werden muss, da in den bestehenden ISMS die Prozesse und Dokumentationen entsprechend auch angepasst werden müssen. Unklar war, bis wann dies zu erfolgen hat. Im KBP ist dies nun eindeutig definiert und geregelt.
„Audits zur Erst- oder Rezertifizierung und Überwachungsaudits im Rahmen des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a EnWG haben spätestens nach Ablauf von zwei Jahren seit deren Veröffentlichung verpflichtend auf Basis der aktualisierten Fassungen zu erfolgen. Bei Audits zur Erst- oder Rezertifizierung und Überwachungsaudits können bis zu diesem Zeitpunkt daher alternativ auch die zuvor geltenden Fassungen berücksichtigt werden.“
Zusätzlich gilt für die IT-Sikats:
„Speziell für die bevorstehende Überarbeitung der DIN EN ISO/IEC 27001 und DIN EN ISO/IEC 27002 zum Jahreswechsel 2021/2022 ist zusätzlich zur Übergangsregelung zu beachten, dass eine kompatible Version der DIN EN ISO/IEC 27019 vermutlich erst im Jahr 2024/2025 erscheinen wird. Aus diesem Grund wurde ein Mapping (Sikat 1a und Sikat 1b) zwischen den aktualisierten ISO-Normen 27001 & 27002 sowie der 27019:2020 durch die Bundesnetzagentur publiziert, das bis zur Veröffentlichung der kompatiblen Version der DIN EN ISO/IEC 27019 im Jahr 2024/2025 genutzt werden muss.“
Dies bedeutet, dass man sich ab 2024 zumindest bereits auf die aktuelle 27002 ausrichten sollte. Es ist davon auszugehen, da das KBP für die Sikats u. a. unter Mitwirkung der DAkkS erstellt wurden, dass diese Übergangsfrist auch für Zertifizierungen nach der originären DIN EN ISO/IEC 27001:2017 angewendet werden kann.
Wir halten Sie auf dem Laufenden.
Haben Sie Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | April 2022