Icon Ordner mit Schloss

IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG – Zertifizierung Ihres Informations­sicherheits­management­systems (ISMS) für Netzbetreiber



Was ist der IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG ?

Zum Schutz vor Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ enthalten. Der IT-Sicherheitskataloges gem. § 11 Abs.1 a EnWG gilt spezifisch für Betreiber von Strom- und Gasnetzen.

Mit Verabschiedung des IT-Sicherheitskataloges gem. § 11 Abs. 1a EnWG wurden Netzbetreiber dazu aufgefordert, ein ISMS gemäß der ISO/IEC 27001 in Verbindung mit der ISO/IEC 27002 und ISO/IEC TR 27019 einzuführen und prüfen zu lassen. Die Kapitel 4 - 10 der ISO/IEC 27001 legen dabei die Leitlinien und Prinzipien für die Initiierung, die Umsetzung, den Betrieb und die Verbesserung des ISMS fest, der Annex der ISO/IEC 27001 sowie die ISO/IEC 27019 die verbindlich umzusetzenden Maßnahmen.

Die Verantwortung für die Umsetzung der Vorgaben des IT-Sicherheitskatalogs obliegt ausschließlich den (bei der Bundesnetzagentur unter einer entsprechenden Betriebsnummer gelisteten) Betreibern eines Strom- oder Gasnetzes. Dies gilt unabhängig davon, ob ein Netzbetreiber ein Strom- oder Gasnetz als Eigentümer oder im Rahmen eines Pachtmodells betreibt. Dies bedeutet, dass Betreiber von Energieversorgungsnetzen, deren Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs liegen, welche aber vollständig von einem oder mehreren Dritten betrieben werden, sich zertifizieren lassen müssen.


Vorteile einer Zertifizierung

Erfüllung gesetzlicher sowie regulatorischer Anforderungen

Verbesserte Wahrnehmung der Informationssicherheit als Eigenschaft der Organisation, extern wie intern

Wettbewerbsvorteile und gleichzeitig Nachweis der Vertrauenswürdigkeit und Zuverlässigkeit

Wirksamkeitsnachweis der von Ihnen implementierten Sicherheitsmaßnahmen durch ein unabhängiges Audit

Ein stärkeres Informationssicherheitsbewusstsein und damit ein höheres Informationssicherheitsniveau in der Organisation


Ablauf eines Zertifizierungsverfahrens

Diagramm zum Ablauf einer Zertifizierung

Der allgemeine Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf drei Jahre ausgelegt und besteht aus den folgenden Phasen:

  1. Erstzertifizierung
    1. Stage 1-Audit (Dokumentenprüfung/ Angemessenheitsprüfung des ISMS)
    2. Stage 2-Audit (Wirksamkeitsprüfung des ISMS)
  2. Erstes Überwachungsaudit (maximal 12 Monate nach Zertifikatserteilung)
  3. Zweites Überwachungsaudit (ca. 24 Monate nach Zertifikatserteilung)

Im vierten Jahr beginnt der Zertifizierungszyklus mit dem sogenannten Rezertifizierungsaudit von vorne.


Ihr Weg zu einer Zertifizierung des IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG

Anfrage

Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren

Angebotserstellung

Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung

Auftragserteilung

Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)

Stage 1-Audit

Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife

Stage-2 Audit / Rezertifizierung

Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS

Fachliche Prüfung

Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH

Ausstellung des Zertifikates

Ausstellung des Zertifikates

Übergabe

Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels

Überprüfung

Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits


Zertifizierung durch die RSM Certification GmbH

Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.

info@rsm-certification.com
+49 211 540148 00


Unverbindlich Kontakt aufnehmen

Bitte rechnen Sie 9 plus 6.

FAQ – Die wichtigsten Fragen beantwortet

Wie hoch sind die Zertifizierungskosten für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG?

Die Anforderungen für die Aufwandskalkulation nach dem IT-Sicherheitskatalog ist sehr ähnlich zu dem der ISO/IEC 27001. Allerdings ergeben sich gemäß dem IT-Sicherheitskatalog für Strom- und Gasnetze spezifische Anforderungen, die entsprechend berücksichtigt werden müssen. Diese Anforderungen sind dem „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen“ zu entnehmen. Dazu gehören bspw. die Prüfungen von sog. nicht dauerhaft besetzten Betriebsstätten.