Sicherheitskatalog EnWG §11 (1b)

Vorbereitung auf die Prüfung nach IT-Sicherheitskatalog aus EnWG §11 (1b)

Betreiber von Energieanlagen nach EnWG §11, die nach der Kritis-Verordnung zu den Kritischen Infrastrukturen gehören, müssen den von der BNetzA herausgegebenen IT-Sicherheitskatalog bis spätestens zum 31.03.2021 umsetzen. Dies bedeutet insbesondere, dass Anlagenbetreiber die Umsetzung dieser Anforderungen durch eine externe Zertifizierungsstelle zertifizieren lassen müssen.

TTS hat in den letzten Jahren bereits eine Vielzahl von Unternehmen, u. a. Strom- und Gasnetzbetreiber, Speicherbetreiber, Lieferanten von Regelenergie, virtuelle Kraftwerke oder Direktvermarkter auf solch externe Prüfungen vorbereitet und erfolgreich durch die Zertifizierung begleitet. Wichtig anzumerken ist, dass mit der Zertifizierung die Aufgaben nicht enden, sondern die getroffenen Maßnahmen in der Regel weiter verbessert und optimiert werden müssen. Auch hier begleitet TTS heute eine Reihe namhafter Unternehmen während des Betriebs mit ihrer Fachkompetenz.

Auf Wunsch können wir Ihnen gerne Kontakt zu einer Vielzahl von Ansprechpartnern auf Kundenseite vermitteln oder Sie kommen direkt zu einer unserer regelmäßig stattfindenden Kundenveranstaltungen.

Als Kern der Anforderungen ist wie bei den Netzbetreibern ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 umzusetzen. Anders aber als bei den Netzbetreibern ist hier der Anwendungsbereich für das ISMS durch ein Schutzzonenkonzept zu ermitteln. Dabei müssen sämtliche TK- und IT-Systeme einer Anlage in eine von 6 Schutzzonen nach festgelegten Kriterien eingeteilt werden. Generell lässt sich sagen, dass wie auch bei den Netzbetreibern die Anforderungen an ein ISMS nach ISO 27001 und die Anforderungen des IT-Sicherheitskataloges nach 1b nicht immer konsistent sind, die Umsetzung in der externen Prüfung aber konsistent vermittelt werden muss.

Im Schaubild ist das Phasenmodell des TTS Projektkonzeptes zur Umsetzung des IT-Sicherheitskataloges dargestellt.

Projekt Setup

Während des Projekt Setups wird zum einen die Projektorganisation etabliert, Stakeholder identifiziert und eine Gap-Analyse durchgeführt. Darüber hinaus wird aber auch der Umfang der Kritischen Infrastruktur ermittelt, in dem eine Einteilung der TK- und IT-Systeme in 6 Sicherheitszonen vorgenommen wird.

Managementsystem

In dieser Phase wird das eigentliche Managementsystem etabliert, indem die Aufbau- und Ablauforganisation für das ISMS erarbeitet und dokumentiert wird und das ISMS Top Management eingebunden wird.

IS-Risikomanagement

Auf Basis der Sicherheitszonen werden sämtliche relevanten Werte im Anwendungsbereich inventarisiert und bzgl. ihres Schutzbedarfes bewertet. Anschließend werden IS-Risiken (Informationssicherheitsrisiken) analysiert und Maßnahmenbehandlungen festgelegt. Die TTS-Methodik für das IS-Risikomanagement ist – wie im Sicherheitskatalog empfohlen, konform zu ISO 27005 und 31000. Bei der Festlegung der Maßnahmen müssen und werden die Maßnahmen aus der ISO 27002, 27019 sowie aus dem BDEW Whitepaper und dem VGB S-175 herangezogen.

Implementierung

In der Implementierungsphase wird begonnen, die Maßnahmen aus den Risikoanalysen umzusetzen, sowie das ISMS in umgebende Prozesse wie Personal, Dienstleistersteuerung oder BCM zu integrieren. Der Sicherheitskatalog fordert hier ja, mindestens insoweit alle Maßnahmen für die Schutzzone 1 umzusetzen, dass höchsten ein mittleres Risikoniveau verbleibt. Weiterhin werden die definierten ISMS-Prozesse umgesetzt und nach und nach der ISMS-Betrieb aufgenommen.

ISMS-Betrieb

In der Betriebsphase wird das ISMS sowie die umgesetzten Maßnahmen bewertet, auditiert und mit dem ISMS Top Management eine Bewertung der Wirksamkeit und Effizienz des ISMS vorgenommen.

Zertifizierung

Mit der Zertifizierungsvorbereitung und –begleitung stellen wir einen optimalen Verlauf der externen Prüfung sicher.

Support

Nach der Zertifizierungsprüfung unterstützen wir Sie gerne weiter bei der Weiterentwicklung des ISMS und bei der weiteren Umsetzung der risikobehandelnden Maßnahmen.

TTS kann zusätzlich mit dem hauseigenen ISMS-Tool trax unterstützen. Dies ist keine Notwendigkeit für die Zertifizierung, vereinfacht aber auf lange Sicht den Betrieb des ISMS.

Wir erbringen für Sie die folgenden Dienstleistungen:

  • Voranalyse, ob Sie zu den Kritischen Infrastrukturen zählen
  • Analyse der Schutzzonen
  • Durchführung des IS-Risikomanagements
  • Aufbau des ISMS
  • Vorbereitung und Unterstützung des ISMS-Betriebs
  • Vorbereitung und Begleitung der Zertifizierung
  • Unterstützung bei Betrieb und Weiterentwicklung des ISMS

Zur Besprechung des weiteren Vorgehens und für eine erste Aufwandsschätzung stehe ich Ihnen telefonsich gerne zur Verfügung oder schicken Sie einfach eine Mail.

Dr. Michael Gehrke: Mobil: +49 (0)171 8916081 / michael.gehrke@tts-security.com