Bitkom und der Verband kommunaler Unternehmen (VKU) haben einen gemeinsamen Praxisleitfaden mit Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen veröffentlicht. Grund dafür sind die neuen IT-Sicherheitsstandards, die die Bundesnetzagentur für die Betreiber von Stromnetzen und deutschen Gasnetze im Rahmen des Neuen IT-Sicherheitsgesetzes vorschreibt.

WOZU DIESER LEITFADEN?

Die Bundesnetzagentur verpflichtet sämtliche Netzbetreiber, einen IT-Sicherheitskatalog einzuführen und umzusetzen. Teil der enthaltenen Auflagen ist es, ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) einzuführen – und das bis Anfang 2018. Der Praxisleitfaden gibt hierfür konkrete Handlungsempfehlungen und Praxisbeispiele an die Hand. Darüber hinaus wird erläutert, welche Personen in die Prozesse einzubeziehen sind, welche Umsetzungszeiträume man ansetzen sollte und welche Systeme und Komponenten in das ISMS einzubinden sind.

GIBT ES FRISTEN?

Die Frist zur Benennung eines „Ansprechpartners für IT-Sicherheit“ gegenüber der Bundesnetzagentur läuft bereits am 30. November 2015 aus. Wie der VKU berichtet, muss dieser Ansprechpartner aber nicht zwingend im eigenen Unternehmen sitzen. Allerdings muss er in die wichtigsten Abläufe in der Netzleitwarte eingebunden sein. Er muss nämlich bei Störungen frühzeitig in die Kommunikation eingebunden werden und gegebenenfalls schnell Auskunft zu den Hintergründen geben können. Für die Einführung und Zertifizierung des ISMS läuft dann eine weitere Frist bis zum 31. Januar 2018.

BIS DAHIN IST JA NOCH LANGE ZEIT, ODER?

Da das ISMS je nach Unternehmen einen tiefgreifenden Einschnitt in Prozesse und Abläufe bedeuten kann, ist dieser Zeitraum laut dem VKU durchaus ambitioniert: „Wichtig ist, dass die Geschäftsführung die Führung beim Aufsetzen des Projektes zur Umsetzung des IT-Sicherheitskatalogs übernimmt. Einerseits sind die Fristen zur Umsetzung der Maßnahmen recht kurz, andererseits wird bei der Zertifizierung des ISMS auch die Einbindung der Geschäftsführung überprüft. (…) Es muss dabei berücksichtigt werden, dass das ISMS zum Zeitpunkt der Zertifizierung bereits einige Monate betrieben werden muss. Weiterhin könnte gerade kurz vor Ende der Frist die Auslastung bei den Zertifizierern sehr hoch sein.“

KANN MAN SO EIN ZERTIFIKAT SCHON EINSEHEN?

Das Zertifikat liegt aktuell aber noch gar nicht vor. Es ist davon auszugehen, dass es von der deutschen Akkreditierungsstelle im Laufe dieses bzw. des nächsten Jahres erarbeitet wird. Das neue Zertifikat soll dann sicherstellen, dass neben der ISO 27001 auch der IT-Sicherheitskatalog und damit die ISO 27019 berücksichtigt werden.