IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG – Zertifizierung Ihres Informationssicherheitsmanagementsystems (ISMS) für Netzbetreiber
Übersicht
- Was ist der IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG?
- Vorteile einer Zertifizierung des IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG
- Ablauf eines Zertifizierungsverfahrens
- Ihr Weg zu einer Zertifizierung des IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG
- Zertifizierung durch die RSM Certification
- Unverbindlich Kontakt aufnehmen
- FAQ – Ihre Fragen zum IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG beantwortet
Was ist der IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG ?
Zum Schutz vor Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, sind Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ enthalten. Der IT-Sicherheitskataloges gem. § 11 Abs.1 a EnWG gilt spezifisch für Betreiber von Strom- und Gasnetzen.
Mit Verabschiedung des IT-Sicherheitskataloges gem. § 11 Abs. 1a EnWG wurden Netzbetreiber dazu aufgefordert, ein ISMS gemäß der ISO/IEC 27001 in Verbindung mit der ISO/IEC 27002 und ISO/IEC TR 27019 einzuführen und prüfen zu lassen. Die Kapitel 4 - 10 der ISO/IEC 27001 legen dabei die Leitlinien und Prinzipien für die Initiierung, die Umsetzung, den Betrieb und die Verbesserung des ISMS fest, der Annex der ISO/IEC 27001 sowie die ISO/IEC 27019 die verbindlich umzusetzenden Maßnahmen.
Die Verantwortung für die Umsetzung der Vorgaben des IT-Sicherheitskatalogs obliegt ausschließlich den (bei der Bundesnetzagentur unter einer entsprechenden Betriebsnummer gelisteten) Betreibern eines Strom- oder Gasnetzes. Dies gilt unabhängig davon, ob ein Netzbetreiber ein Strom- oder Gasnetz als Eigentümer oder im Rahmen eines Pachtmodells betreibt. Dies bedeutet, dass Betreiber von Energieversorgungsnetzen, deren Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs liegen, welche aber vollständig von einem oder mehreren Dritten betrieben werden, sich zertifizieren lassen müssen.
Vorteile einer Zertifizierung
Ablauf eines Zertifizierungsverfahrens
Der allgemeine Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf drei Jahre ausgelegt und besteht aus den folgenden Phasen:
- Erstzertifizierung
- Stage 1-Audit (Dokumentenprüfung/ Angemessenheitsprüfung des ISMS)
- Stage 2-Audit (Wirksamkeitsprüfung des ISMS)
- Erstes Überwachungsaudit (maximal 12 Monate nach Zertifikatserteilung)
- Zweites Überwachungsaudit (ca. 24 Monate nach Zertifikatserteilung)
Im vierten Jahr beginnt der Zertifizierungszyklus mit dem sogenannten Rezertifizierungsaudit von vorne.
Ihr Weg zu einer Zertifizierung des IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG
Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren
Angebotserstellung
Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung
Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)
Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife
Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS
Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH
Ausstellung des Zertifikates
Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels
Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits
Zertifizierung durch die RSM Certification GmbH
Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.
Unverbindlich Kontakt aufnehmen
FAQ – Die wichtigsten Fragen beantwortet
Die Anforderungen für die Aufwandskalkulation nach dem IT-Sicherheitskatalog ist sehr ähnlich zu dem der ISO/IEC 27001. Allerdings ergeben sich gemäß dem IT-Sicherheitskatalog für Strom- und Gasnetze spezifische Anforderungen, die entsprechend berücksichtigt werden müssen. Diese Anforderungen sind dem „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen“ zu entnehmen. Dazu gehören bspw. die Prüfungen von sog. nicht dauerhaft besetzten Betriebsstätten.