Der IT-Sicherheitskatalog bietet
Ihnen Chancen die Sie nutzen sollten

Das im August 2015 in Kraft getretene IT-Sicherheitsgesetz hat das bereits bestehende Energiewirtschaftsgesetz (EnWG) noch einmal novelliert und damit die Anforderung an einen IT-Sicherheitskatalog für Anlagenbetreiber konkretisiert. Dieser Katalog gemäß § 11 Abs. 1b des EnWG liegt momentan als Konsultationsentwurf vor und kann noch bis Ende Februar hinsichtlich Änderungsvorschlägen kommentiert werden. Die darin formulierten Regularien betreffen Unternehmen, die als Kritische Infrastruktur gelten. Die entsprechenden Schwellenwerte für KRITIS-Anlagen, nach denen sie als Kritische Infrastruktur im Sinne des Energiewirtschafts- und BSI-Gesetzes gelten, werden durch die BSI-Kritis-Verordnung (BSI-KritisV) definiert. Für Stromerzeugungsanlagen liegt dieser Wert bei 420 MW installierter, elektrischer Netto Nennleistung.

Über diesen IT-Sicherheitskatalog wird die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2013 gefordert. Die ISMS-Zertifizierung nach Inkrafttreten des Katalogs muss innerhalb einer Frist von 1,5 Jahren erfolgen, das Zertifikat muss zum entsprechenden Zeitpunkt bei der Bundesnetzagentur (BNetzA) vorgelegt werden. Es sind dabei laut EnWG Maßnahmen zu ergreifen, welche für einen sicheren Betrieb notwendig sind. Anlagenbetreiber, für die dieser Katalog bindend ist, müssen zusätzlich den VGB-Standard 175 berücksichtigen. Alle Assets des betroffenen Unternehmens werden hinsichtlich ihrer Kritikalität und Relevanz für den Anlagenbetrieb den sechs unterschiedlichen Zonen zugeordnet. Dabei stellen die Zonen 1-3 bei der Festlegung des ISMS-Scopes Pflichtzonen dar. Das bedeutet, dass Assets und Systeme dieser Zonen zwingend in den Anwendungsbereich des ISMS aufgenommen werden müssen.

Meldepflicht BSI-Gesetz §8a (3)

Des Weiteren mussten Anlagenbetreiber, welche als KRITIS gelten, binnen sechs Monaten nach Inkrafttreten der BSI-KritisV, das entspricht Anfang November 2017, dem BSI eine Kontaktstelle benennen und sind im Falle eines Vorfalls bereits jetzt meldepflichtig!

Zu melden sind erhebliche IT-Störungen, welche zu einem Ausfall der Anlage führen oder führen könnten. Die Meldungen werden vom BSI analysiert und unter Zuhilfenahme weiterer Quellen zu einem Lagebild zusammengesetzt. Dieses dient der Erstellung von Warnmeldungen und Handlungsempfehlungen.

Wir helfen Ihnen nicht nur die regulatorischen Anforderungen des IT-Sicherheitskatalogs zu erfüllen. Wir optimieren gleichzeitig auch die technisch wirksame Sicherheit Ihrer Leittechnik.

Leittechnik & faktische Sicherheitslage als Grundlage für effektive IT-Sicherheit

Ein hochwertiges ISMS für die Leittechnik, das sich nach den Standards ISO/IEC 27001:2013 und VGB S-175 richtet, muss auf die in diesem Bereich geltenden Rahmenbedingungen ausgerichtet sein. Dazu gehören der lange Lebenszyklus, Berücksichtigung der Revision, geltende Betriebsregime und vorhandene Ressourcen. An dieser Stelle weist der Gesetzgeber auch auf die ISO/IEC TR 27019:2013 hin, die die Sicherheitsmaßnahmen der ISO/IEC 27002:2013 in Bezug auf die Leittechnik spezifiziert.

Wir starten alle Projekte mit einer technischen Analyse des Ist-Zustandes. So steht Ihr ISMS von Anfang an auf einem soliden, realistischen Fundament. Wir liefern eine exakt auf Ihre faktische Sicherheitslage zugeschnittene Lösung. Die Anforderungen der Leittechnik sind in dieses Konzept von Anfang an integriert.

Das technisch wirksame ISMS

Wir bieten ein ISMS mit deutlich erhöhtem Sicherheitsniveau. Es ist auf die technisch wirksame Absicherung fokussiert. Wir erstellen Regeldokumente auf Grundlage der Leittechnik. Dabei wird besonderen Wert auf die Absicherung der Leittechnik gelegt. Durch die Operationalisierung der ISMS-Dokumente wird sichergestellt, dass dem ISMS seine technische Wirksamkeit gegeben wird. Sie sollten heute schon an Morgen denken – und das Incident-Management zum integrierten Teil des ISMS machen.
Wir helfen Ihnen, meldepflichtige Vorfälle durch eine wirksame technische Absicherung Ihrer Leittechnik von vornherein zu minimieren.

Effektiver und damit kostengünstiger

Die besonders effiziente admeritia-Methodik bietet Ihnen deutliche Kostenvorteile – unter anderem durch die Minimierung des Aufwands in der ISMS Reifephase.
Hier zahlt sich die Fokussierung auf die Rahmenbedingungen der Leittechnik, der faktischen Sicherheitslage und der individuellen Unternehmensanforderungen aus. Der Aufbau eines ISMS dauert inklusive Zertifizierung zwei bis drei Jahre.
Durch eine technische und organisatorische Gap-Analyse können Sie den zeitlichen Aufwand erheblich reduzieren. Das Gesamtprojekt steht damit vom Start weg auf einer soliden Basis.

Ihr Ansprechpartner
Manfred Peine
Senior Account Manager
Tel. 02173 20363-0
Mail info@admeritia.de