IT-Sicherheitskatalog für Anlagenbetreiber

Datenschutz Grundverordnung Icon

IT-Sicherheitskatalog

für Anlagenbetreiber

Das im August 2015 in Kraft getretene IT-Sicherheitsgesetz hat das bereits bestehende Energiewirtschaftsgesetz (EnWG) noch einmal novelliert und damit die Anforderung an einen IT-Sicherheitskatalog für Anlagenbetreiber konkretisiert. Dieser Katalog gemäß § 11 Abs. 1b des EnWG liegt momentan als Konsultationsentwurf vor und kann noch bis Ende Februar hinsichtlich Änderungsvorschlägen kommentiert werden. Die darin formulierten Regularien betreffen Unternehmen, die als Kritische Infrastruktur gelten. Die entsprechenden Schwellenwerte für KRITIS-Anlagen, nach denen sie als Kritische Infrastruktur im Sinne des Energiewirtschafts- und BSI-Gesetzes gelten, werden durch die BSI-Kritis-Verordnung (BSI-KritisV) definiert. Für Stromerzeugungsanlagen liegt dieser Wert bei 420 MW installierter, elektrischer Netto Nennleistung.

Über diesen IT-Sicherheitskatalog  wird die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2013 gefordert. Die ISMS-Zertifizierung nach Inkrafttreten des Katalogs muss innerhalb einer Frist von 1,5 Jahren erfolgen, das Zertifikat muss zum entsprechenden Zeitpunkt bei der Bundesnetzagentur (BNetzA) vorgelegt werden. Es sind dabei laut EnWG Maßnahmen zu ergreifen, welche für einen sicheren Betrieb notwendig sind. Anlagenbetreiber, für die dieser Katalog bindend ist, müssen im Unterschied zu Netzbetreibern, deren Katalog bereits veröffentlicht ist, zusätzlich den VGB-Standard 175 berücksichtigen. Alle Assets des betroffenen Unternehmens werden hinsichtlich ihrer Kritikalität und Relevanz für den Anlagenbetrieb den sechs unterschiedlichen Zonen zugeordnet. Dabei stellen die Zonen 1-3 bei der Festlegung des ISMS-Scopes Pflichtzonen dar. Das bedeutet, dass Assets und Systeme dieser Zonen zwingend in den Anwendungsbereich des ISMS aufgenommen werden müssen.

Meldepflicht BSI-Gesetz §8a (3)
Des Weiteren mussten Anlagenbetreiber, welche als KRITIS gelten, binnen sechs Monaten nach Inkrafttreten der BSI-KritisV, das entspricht Anfang November 2017, dem BSI eine Kontaktstelle benennen und sind im Falle eines Vorfalls bereits jetzt meldepflichtig!

Zu melden sind erhebliche IT-Störungen, welche zu einem Ausfall der Anlage führen oder führen könnten. Die Meldungen werden vom BSI analysiert und unter Zuhilfenahme weiterer Quellen zu einem Lagebild zusammengesetzt. Dieses dient der Erstellung von Warnmeldungen und Handlungsempfehlungen.

Wann eine Störung an das BSI zu melden ist und wie sich Ausfall und Beeinträchtigung definieren, erfahren sie auf unserer Schwerpunktseite zur Meldepflicht.

Wir helfen Ihnen nicht nur die regulatorischen Anforderungen des IT-Sicherheitskatalogs zu erfüllen. Wir optimieren gleichzeitig auch die technisch wirksame Sicherheit Ihrer Leittechnik.

Leittechnik &faktische Sicherheitslage als Grundlage für effektive IT-Sicherheit
Ein hochwertiges ISMS für die Leittechnik, das sich nach den Standards ISO/IEC 27001:2013 und VGB S-175 richtet, muss auf die in diesem Bereich geltenden  Rahmenbedingungen ausgerichtet sein. Dazu gehören der lange Lebenszyklus, Berücksichtigung der Revision, geltende Betriebsregime und vorhandene Ressourcen. An dieser Stelle weist der Gesetzgeber auch auf die ISO/IEC TR 27019:2013 hin, die die Sicherheitsmaßnahmen der ISO/IEC 27002:2013 in Bezug auf die Leittechnik spezifiziert.

Wir starten alle Projekte mit einer technischen Analyse des Ist-Zustandes. So steht Ihr ISMS von Anfang an auf einem soliden, realistischen Fundament. Wir liefern eine exakt auf Ihre faktische Sicherheitslage zugeschnittene Lösung. Die Anforderungen der Leittechnik sind in dieses Konzept von Anfang an integriert.

Das technisch wirksame ISMS
Wir bieten ein ISMS mit deutlich erhöhtem Sicherheitsniveau. Es ist auf die technisch wirksame Absicherung fokussiert. Wir erstellen Regeldokumente auf Grundlage der Leittechnik. Dabei wird besonderen Wert auf die Absicherung der Leittechnik gelegt. Durch die Operationalisierung der ISMS-Dokumente wird sichergestellt, dass dem ISMS seine technische Wirksamkeit gegeben wird. Sie sollten heute schon an Morgen denken – und das Incident-Management zum integrierten Teil des ISMS machen.
Wir helfen Ihnen, meldepflichtige Vorfälle durch eine wirksame technische Absicherung Ihrer Leittechnik von vornherein zu minimieren.

Effektiver und damit kostengünstiger
Die besonders effiziente admeritia-Methodik bietet Ihnen deutliche Kostenvorteile – unter anderem durch die Minimierung des Aufwands in der ISMS Reifephase.
Hier zahlt sich die Fokussierung auf die Rahmenbedingungen der Leittechnik, der faktischen Sicherheitslage und der individuellen Unternehmensanforderungen aus. Der Aufbau eines ISMS dauert inklusive Zertifizierung zwei bis drei Jahre.
Durch eine technische und organisatorische Gap-Analyse können Sie den zeitlichen Aufwand erheblich reduzieren. Das Gesamtprojekt steht damit vom Start weg auf einer soliden Basis.

So können wir Ihnen dabei helfen

  • Security Management (ISMS nach DIN ISO/IEC 27001:2015)
  • Organisatorische und technische Gap-Analysen
  • Erstellung von Sicherheitsrichtlinien, -prozessen und –prozeduren
  • ISMS Implementierung auf organisatorischer Ebene nach DIN ISO/IEC 27001:2015
  • ISMS-Operationalisierung / Technisch wirksame Implementierung der Sicherheitskonzepte und -maßnahmen auf technischer Ebene
  • Übernahme Mandat “Ansprechpartner IT-Sicherheit”
  • CSIRT
    • Analyse und Aufbereitung von Sicherheitsvorfällen sowie Empfehlungen von Gegenmaßnahmen zur Einhaltung der Aufgaben des „Ansprechpartners IT-Sicherheit“

Ihr Ansprechpartner

Ihr Ansprechpartner

Manfred Peine

Senior Account Manager
Tel. 02173 20363-0
Mail info-at-admeritia.de

Referenzprojekte

  • Umsetzung IT-Sicherheitskatalog
    • Übertragungsnetzbetreiber
  • Umsetzung IT-Sicherheitskatalog
    • Flächennetzbetreiber
  • Netzsegmentierung und Implementierung zentraler Sicherheitsdienste
    • Kraftwerke eines großen Stadtwerks

weitere Referenzen...

Gremienarbeit

  • Spiegelgremium NA 043-01-27
    • DIN
  • ISO IEC JTC1 SC27 (WG3 und WG4)
    • ISO
  • KITS Fachbeirat
    • KITS

sonstige Gremien...

Vorträge

  • Operationalisierung eines Netzbetreiber ISMS
    • AK IT-Sicherheitsbeauftragte EVU
    • Nov 2016
  • Praxisbericht - Aufbau eines ISMS bei einem Flächennetzbetreiber
    • VDE Symposium
    • Sep 2016
  • Die Nutzen eines Sicherheitstests für die Umsetzung des IT-Sicherheitskatalogs
    • VKU Infotag
    • Sep 2015

weitere Vorträge...

Publikationen

  • ISMS: Reines Paperwork oder technisch wirksam?
    • EW
    • Apr 2015
  • IT-Sicherheitskatalog: Bei der Umsetzung keine Zeit verlieren
    • Rathausconsult
    • Mrz 2015
  • Durchgängiges Sicherheitsmanagement mit Hilfe von zentralen Diensten
    • SPS IPC Drives Kongress
    • Nov 2012

weitere Publikationen...