PresseKat - Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifiz

Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifizierungspflicht

ID: 1415979

Süd-IT AG stellt der Bundesnetzagentur Methoden und Inhalte für standardisierte Gutachten vor, mit denen sich Energieversorger (EVUs) von der ISO/IEC 27001-Zertifizierung freistellen können

(PresseBox) - Laut IT-Sicherheitskatalog müssen EVUs, die ein Strom- oder Gasnetz betreiben, bis zum 31.1.2018 den Aufbau eines ISO/IEC 27001-konformen Informationssicherheits-Managementsystems (ISMS) zertifizieren lassen. Mittelständische und kleinere Anbieter sind davon allerdings ausgenommen, wenn sie bestimmte Kriterien erfüllen. Für den erforderlichen Nachweis hat die Süd-IT AG zusammen mit der KOV mbH und der ICG geeignete Verfahren und Gutachten entwickelt, die sie jüngst der Bundesnetzagentur präsentiert hat. Der Austausch und das positive Feedback der Behörde sind ein wichtiger Schritt zum Ziel abgestimmter Gutachten, die formal und inhaltlich anerkannt werden und eine Befreiung von der Zertifizierungspflicht sicherstellen.
Angesichts von Hackerangriffen und Terrorgefahr sind EVUs gehalten, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme (ITK), sofern sie Einfluss auf die Netzfahrweise nehmen ? sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Die neuen Vorgaben hierfür formuliert der IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a) und definiert im Abschnitt D, welche Systeme zertifizierungspflichtig sind. Damit ergeben sich drei Gruppen:
Keine Zertifizierungspflicht: Für EVUs, die keine ITK-Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht: Der Nachweis gegenüber der Behörde kann z.B. über den Netzstrukturplan erbracht werden.
Bestehende Zertifizierungspflicht: Das ist der Fall für EVUs, die Schalthandlungen am Netz mithilfe von ITK-Systemen durchführen. Das gilt ebenso, wenn ein ITK-Ausfall die Si-cherheit des Netzbetriebes oder eine Wiederherstellung der Energieversorgung nach einem Schwarzfall gefährden würde.
Befreiung von der Zertifizierung möglich: Werden ITK-Systeme betrieben, die zwar nicht direkt, aber indirekt auf das Netz einwirken, müssen die damit verbundenen Risiken umfas-send analysiert werden. Im Ergebnis können EVUs den ISMS-Aufbau gemäß ISO/IEC 27001 vielfach komplett vermeiden ? sofern sie ?begründen und durch geeignete Nachweise? belegen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht. Dazu ist es erforderlich, alle Anlagen mit Einfluss auf den Netzbetrieb eingehend zu betrachten. Das leisten Gutachten, die Gefährdungspotenziale erfassen, analysieren und im Hinblick auf eine Zertifizierungsfreistellung bewerten.




Für die ersten beiden EVU-Gruppen ist der Status zumeist anhand weniger Kontrollfragen eindeutig entscheidbar. Anders die dritte Gruppe: sie benötigt Klarheit für die weitere Vorgehensweise. Dazu gehören valide Methoden der Risikoevaluation sowie rechtskonforme und möglichst standardisierte Verfahren, die die Bundesnetzagentur von der Betriebssicherheit auch ohne ISMS-Aufbau überzeugen. Hierfür liefert Süd-IT umfassende Unterstützung:
Für alle EVUs:
Aufstellung der wichtigsten Kontrollfragen zur Selbsteinschätzung des Zertifizierungsstatus.
EVUs können sich damit einer der drei Gruppen zuordnen und sich ihrer bestehenden / nicht bestehenden Zertifizierungspflicht schnell vergewissern.
Für EVUs mit Gutachtenverfahren zur Zertifizierungsbefreiung (Gruppe 3):
Kriterien für eine Identifikation von ITK-Systemen, die eventuell zertifiziert werden müssen.
Erstbewertung dieser Systeme: Prima-facie-Check anhand von Kontrollfragen, ob ein Gut-achterverfahren den Freistellungserfolg erbringen kann.
Vertiefung der Basisprüfung anhand von typischen Betriebs- und Gefahrenszenarien.
Methodik zur vollständigen Risikoanalyse nach Gefährdungsarten, Schadenshöhen und Ein-trittswahrscheinlichkeiten.
Systematische und standardisierte Risikobewertung zur Feststellung der Zertifizierungspflicht.
Risikoanalyse und -bewertung im Fall von ITK-Outsourcing.
Fazit: Nutzen und Ziele des Süd-IT Sicherheitsfahrplans
Die Süd-IT Methodik liefert EVUs Verfahren und klare Kriterien, um ihren Zertifizierungsstaus praxisnah zu ermitteln und, sofern erforderlich, zügig die nächsten Schritte einzuleiten. EVUs ohne eindeutigen Status erhalten erweiterte Checklisten zur eingehenden Risikoidentifikation und -analyse, um ihre Chancen auf eine Zertifizierungsbefreiung realistisch ermessen können. Dar-über hinaus liefert Süd-IT Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel ist die Erstellung von standardisierten und behördlich abgestimmten Mustern, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen.

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Zertifizie-rung, Compliance und Informations-Sicherheitsmanagement. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unterneh-men u.a. aus den Marktsegmenten Automotive, Medizin, Energie und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept ?Ihre Experten vor Ort? und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.

Unternehmensinformation / Kurzprofil:

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Zertifizie-rung, Compliance und Informations-Sicherheitsmanagement. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung von ISO/IEC 27001-Zertifizierungen können von Anwendern jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT-Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unterneh-men u.a. aus den Marktsegmenten Automotive, Medizin, Energie und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept ?Ihre Experten vor Ort? und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.



drucken  als PDF  an Freund senden  Qualitätssicherung bei Energie-Transporten Energiedatenmanagement visual energy 4 mit Dashboard-Designer
Bereitgestellt von Benutzer: PresseBox
Datum: 24.10.2016 - 12:36 Uhr
Sprache: Deutsch
News-ID 1415979
Anzahl Zeichen: 5794

Kontakt-Informationen:
Stadt:

München



Kategorie:

Energie & Umwelt



Diese Pressemitteilung wurde bisher 0 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifizierungspflicht"
steht unter der journalistisch-redaktionellen Verantwortung von

Süd IT AG (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).


Alle Meldungen von Süd IT AG