Die Anforderungen, die dabei zu erfüllen sind, sind detailliert im IT-SiKat aufgeführt. Dazu gehört auch die Umsetzung der Normen DIN EN ISO/IEC 27001:2017-06 (nachfolgend ISO/IEC 27001) und DIN EN ISO/IEC 27019:2020-08 (nachfolgend ISO/IEC 27019) in der jeweils gültigen Fassung. Wie bei jeder Norm gibt es auch hier Übergangsfristen, die einzuhalten sind.
Bis zum 31.12.2020 konnte alternativ für Erst-, Überwachungs- und Rezertifizierungsaudits noch die DIN ISO/IEC TR 27019:2015-3 berücksichtigt werden. Ab dem 1.1.2021 ist jedoch die Anwendung der neuen DIN EN ISO/IEC 27019:2020-08 bzw. der entsprechenden DIN-Norm verpflichtend.
Weiterhin wird durch die BNetzA spezifiziert, dass der Fachexperte, sofern notwendig, mit dem Auditteam vor Ort anwesend sein muss. Als ESecurity-CERT stellen wir sicher, dass der Fachexperte über die Kompetenzen entlang dem Konformitätsbewertungsprogramm verfügt.
Was ändert sich mit der ISO/IEC 27019:2017?
Durch die neue ISO/IEC 27019 wird eine Herausforderung beseitigt, welche die Umsetzung der ergänzenden Anforderungen in der Vergangenheit etwas erschwert hatte. Die DIN ISO/IEC TR 27019:2015 war gemäß der alten DIN EN ISO/IEC 27002:2005 aufgebaut. Da sich die Struktur der Maßnahmen in der aktuellen Version jedoch geändert hat, musste man mit Hilfe einer Mapping-Tabelle die energiespezifischen Ergänzungen der ISO/IEC 27019 zuordnen. Ein einheitliches Vorgehen konnte nicht sichergestellt werden und verursachte häufig Diskussionen mit den Auditoren.
Bei der aktuellen ISO/IEC 27019 ist eine Mapping-Tabelle nicht mehr relevant. Die Nummerierung der Controls (A.5-A.18) sind nun kompatibel zu den Controls aus dem Annex A der ISO/IEC 27001 und der DIN EN ISO/IEC 27002:2017-06 (nachfolgend ISO/IEC 27002). Dies erleichtert zusätzlich die Darstellung des Statement of Applicability (SoA).
Neu hinzu kommen die sogenannten ENR-Kontrollen. ENR steht in diesem Fall für „Energy“.
Dies betrifft insgesamt 39 Kontrollen, wobei nur bei 13 Änderungen vorgenommen wurden, zu welchen die sogenannten Umsetzungsanleitungen erweitert wurden und im ISMS berücksichtigt werden müssen. Diese verweisen zusätzlich auf den aktuellen „Stand der Technik“. Die tatsächlichen Anpassungen an den Inhalten sind somit sehr gering. Insgesamt sind zwei Maßnahmen zusätzlich zu betrachten mit Bezug zur ISO/IEC 27002 sowie die 13 Ergänzungen.
Die neue Norm fordert auch, dass von wichtigen Dienstleistern ein gleichwertiges Sicherheitsniveau nachgewiesen wird. Die Betreiber sind in der Pflicht, dies einzufordern und zu dokumentieren.
Haben Sie Fragen, so kontaktieren Sie uns gern.
Ricky Stewart | Juni 2021