Revision der ISO/IEC 27019
Nachdem im Jahr 2022 bereits die ISO/IEC 27001 sowie die ISO/IEC 27001:2022 als überarbeitete Versionen veröffentlicht wurden, ist dies nun auch für die ISO/IEC 27019 erfolgt. Bei der ISO/IEC 27019 handelt es sich um eine Erweiterung bzw. Konkretisierung der bestehenden Information Security Kontrollen aus der ISO/IEC 27001 bzw. ISO/IEC 27002 speziell für die Energieversorgungsbranche.
Hintergrund Zertifizierung im Energiesektor
Zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, wurden durch die Bundesnetzagentur (BNetzA) Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ definiert. Dabei wird differenziert zwischen:
- IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen (IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG) und
- IT-Sicherheitskatalog für Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind (IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG).
Basis der IT-Sicherheitskataloge bilden die ISO/IEC Normen 27001, 27002 und 27019, die inhaltlich aufeinander aufbauen und untereinander referenzieren.
Änderungen für Mandanten durch Update der Norm
Nach Veröffentlichung der geupdateten ISO/IEC 27001 bzw. ISO/IEC 27002, führte die ISO/IEC 27019 aufgrund der Vielzahl an Änderungen im Anhang A, zu ungültigen Verweisen und Referenzen. Um die Fortführung der Zertifizierungen nach dem IT-Sicherheitskatalog sicherzustellen, hat die BNetzA eine Mapping-Tabelle anfertigen lassen, welche seitdem genutzt wird.
Mit Veröffentlichung der ISO/IEC 27019:2024 (https://www.iso.org/standard/85056.html) am 18.10.2024 wird dieses Mapping auf absehbarer Zeit nun nicht mehr notwendig sein. Die ISO/IEC 27019 ist nun analog dem Annex A der ISO/IEC 27001 aufgebaut. Eine Veröffentlichung der deutschen Version der ISO/IEC 27019 wird erfahrungsgemäß noch einige Monate dauern. Trotz allem empfiehlt es sich für Unternehmen mit einem implementierten ISMS nach der ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC 27019, die vorgenommenen Änderungen der ISO/IEC 27019:2024 zu prüfen.