Sicherheit für Energieversorger bei der Erfüllung oder Vermeidung der neuen ISO/IEC 27001-Zertifizierungspflicht

Süd-IT AG stellt der Bundesnetzagentur Methoden und Inhalte für standardisierte Gutachten vor, mit denen sich Energieversorger (EVUs) von der ISO/IEC 27001-Zertifizierung freistellen können.

München, 24.10.2016 – Laut IT-Sicherheitskatalog müssen EVUs, die ein Strom- oder Gasnetz betreiben, bis zum 31.1.2018 den Aufbau eines ISO/IEC 27001-konformen Informationssicherheitsmanagementsystems (ISMS) zertifizieren lassen. Mittelständische und kleinere Anbieter sind davon allerdings ausgenommen, wenn sie bestimmte Kriterien erfüllen. Für den erforderlichen Nachweis hat die Süd-IT AG zusammen mit der KOV mbH und der ICG geeignete Verfahren und Gutachten entwickelt, die sie jüngst der Bundesnetzagentur präsentiert hat. Der Austausch und das positive Feedback der Behörde sind ein wichtiger Schritt zum Ziel abgestimmter Gutachten, die formal und inhaltlich anerkannt werden und eine Befreiung von der Zertifizierungspflicht sicherstellen.

Angesichts von Hackerangriffen und Terrorgefahr sind EVUs gehalten, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme (ITK), sofern sie Einfluss auf die Netzfahrweise nehmen – sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Die neuen Vorgaben hierfür formuliert der IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a) und definiert im Abschnitt D, welche Systeme zertifizierungspflichtig sind. Damit ergeben sich drei Gruppen:

1.     Keine Zertifizierungspflicht: Für EVUs, die keine ITK-Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht: Der Nachweis gegenüber der Behörde kann z.B. über den Netzstrukturplan erbracht werden.

2.     Bestehende Zertifizierungspflicht: Das ist der Fall für EVUs, die Schalthandlungen am Netz mithilfe von ITK-Systemen durchführen. Das gilt ebenso, wenn ein ITK-Ausfall die Sicherheit des Netzbetriebes oder eine Wiederherstellung der Energieversorgung nach einem Schwarzfall gefährden würde.

3.     Befreiung von der Zertifizierung möglich: Werden ITK-Systeme betrieben, die zwar nicht direkt, aber indirekt auf das Netz einwirken, müssen die damit verbundenen Risiken umfassend analysiert werden. Im Ergebnis können EVUs den ISMS-Aufbau gemäß ISO/IEC 27001 vielfach komplett vermeiden – sofern sie „begründen und durch geeignete Nachweise“ belegen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht. Dazu ist es erforderlich, alle Anlagen mit Einfluss auf den Netzbetrieb eingehend zu betrachten. Das leisten Gutachten, die Gefährdungspotenziale erfassen, analysieren und im Hinblick auf eine Zertifizierungsfreistellung bewerten.

Für die ersten beiden EVU-Gruppen ist der Status zumeist anhand weniger Kontrollfragen eindeutig entscheidbar. Anders die dritte Gruppe: sie benötigt Klarheit für die weitere Vorgehensweise. Dazu gehören valide Methoden der Risikoevaluation sowie rechtskonforme und möglichst standardisierte Verfahren, die die Bundesnetzagentur von der Betriebssicherheit auch ohne ISMS-Aufbau überzeugen. Hierfür liefert Süd-IT umfassende Unterstützung:

Für alle EVUs:

1.     Aufstellung der wichtigsten Kontrollfragen zur Selbsteinschätzung des Zertifizierungsstatus.

2.     EVUs können sich damit einer der drei Gruppen zuordnen und sich ihrer bestehenden / nicht bestehenden Zertifizierungspflicht schnell vergewissern.

Für EVUs mit Gutachtenverfahren zur Zertifizierungsbefreiung (Gruppe 3):

1.     Kriterien für eine Identifikation von ITK-Systemen, die eventuell zertifiziert werden müssen.

2.     Erstbewertung dieser Systeme: Prima-facie-Check anhand von Kontrollfragen, ob ein Gutachterverfahren den Freistellungserfolg erbringen kann.

3.     Vertiefung der Basisprüfung anhand von typischen Betriebs- und Gefahrenszenarien.

4.     Methodik zur vollständigen Risikoanalyse nach Gefährdungsarten, Schadenshöhen und Eintrittswahrscheinlichkeiten.

5.     Systematische und standardisierte Risikobewertung zur Feststellung der Zertifizierungspflicht.

6.     Risikoanalyse und -bewertung im Fall von ITK-Outsourcing.

Fazit: Nutzen und Ziele des Süd-IT Sicherheitsfahrplans

Die Süd-IT Methodik liefert EVUs Verfahren und klare Kriterien, um ihren Zertifizierungsstaus praxisnah zu ermitteln und, sofern erforderlich, zügig die nächsten Schritte einzuleiten. EVUs ohne eindeutigen Status erhalten erweiterte Checklisten zur eingehenden Risikoidentifikation und -analyse, um ihre Chancen auf eine Zertifizierungsbefreiung realistisch ermessen können. Darüber hinaus liefert Süd-IT Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel ist die Erstellung von standardisierten und behördlich abgestimmten Mustern, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen.