Informationssicherheitsmanagement – Zertifizierung nach DIN EN ISO 27001 und IT-Sicherheitskatalog

Information ist eines der wertvollsten Güter in jedem Unternehmen. Die Abhängigkeit von IT-Prozessen, die wachsende Vielfalt an vertraulicher Information, Know-how, Kundendaten, persönlichen Daten, Verträge, Entwicklungsdokumente, Aufzeichnungen etc. müssen sicher verarbeitet und gegen Diebstähle und Angriffe von außen geschützt werden.
Die ISO 27001 ist die international führende Norm für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Sie beschreibt die Anforderungen an die Umsetzung sowie die Dokumentation eines Informationssicherheits-Managementsytems (ISMS) und ist auf Organisationen jeder Art und Größe sowie auf unterschiedliche geographische, kulturelle und soziale Bedingungen anwendbar.

Mit der Umsetzung der ISO 27001 optimieren Sie die Sicherheit und Qualität Ihrer IT-Systeme nachhaltig. Zudem positionieren Sie sich Ihren Kunden und Partnern gegenüber als verantwortungsbewusster und vertrauensvoller Geschäftspartner.

Wir verfügen ebenfalls über die Akkreditierung zur Zertifzierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) für die Sparten Strom und Gas.

Wir sind Ihr Zertifizierungspartner, egal ob KRITIS-Unternehmen oder kleine und mittlere Unternehmen (KMU) und führen die individuelle Zertifizierung Ihres ISMS durch.

IHRE VORTEILE – AUF EINEN BLICK

• systematisches Steuern der eigenen Informationssicherheit:
  • Erkennen und Minimieren eigener Risiken
  • Vermeidung von Imageverlusten
  • Vermeiden von Schäden und Minimierung von Folgekosten
• Steigerung des Vertrauens und der Transparenz gegenüber Partnern, Kunden und der Öffentlichkeit
• Sicherstellung der Einhaltung von Compliance Vorgaben und des eigenen Geschäftsbetriebes
• systematische und sichere Steuerung Ihrer Informationsflüsse:
  • Schutz Ihres Kapitals „Information“ gegenüber nicht autorisierten Personen
  • Absicherung Ihrer IT-Prozesse sowie transparente Strukturen
  • schnelle und effiziente Verfügbarkeit prozessrelevanter Informationen
  • Reduzierung von Kosten durch effiziente Informationsflüsse

Informationssicherheit für KRITIS

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz (IT-SIG) in Kraft getreten und verpflichtet Betreiber Kritischer Infrastrukturen die für die Erbringung ihrer wichtigen Dienste erforderliche IT angemessen abzusichern. Die Einführung eines ISMS zur Aufrechterhaltung der Informationssicherheit wird nicht explizit gefordert, doch müssen mindestens alle zwei Jahre zur Sicherstellung der Informationssicherheit Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden. Ein ISMS stellt derzeit die beste Lösung zur Aufrechterhaltung von Informationssicherheit dar.

Zu den Betreibern Kritischer Infrastrukturen zählen Unternehmen aus den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit und Ernährung, Finanz- und Versicherungswesen sowie Medien und Kultur.

Informationssicherheit für Netz- und Anlagenbetreiber

Aufgrund der zunehmenden Komplexität der Versorgungsnetze und der Anforderungen an eine sichere und zuverlässige Netzsteuerung veröffentlichte die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), am 12. August 2015 den IT-Sicherheitskatalog.

Alle Strom- und Gasnetzbetreiber müssen somit seit dem 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 eingeführt und von einer DAkkS-akkreditierten Zertifizierungsstelle zertifizieren lassen. Die Anforderungen an das ISMS werden durch die des IT-Sicherheitskatalogs erweitert. Hinzu kommen Anforderungen der DIN ISO/IEC TR 27019, die sich auf Energiesektor-spezifische Besonderheiten beziehen. Die in den Normen genannten Maßnahmen sind nicht zwingend vollständig umzusetzen, allerdings im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.

Nun steht die Re-Zertifizierung an. Wir empfehlen Gas- und Stromnetzbetreibern weiterhin, schnellstmöglich mit der Planung der Re-Zertifiierung ihres ISMS auf Basis der DIN ISO/IEC 27001 und des IT-Sicherheitskatalogs zu beginnen. Je nach Ausgangslage, Größe und Komplexität des Netzes lassen sich als Projektdauer vom Planungsstart bis zur Zertifizierung durchschnittlich 6 bis 24 Monate veranschlagen.
Wichtig dabei ist: Strom- und Gasnetzbetreiber müssen das ISMS nicht nur eingeführt haben, sondern auch die Wirksamkeit der Maßnahmen bestätigen, um sie im Audit nachweisen zu können.

Umsetzung des IT-Sicherheitskatalogs nach § 11 Absatz 1b EnWG für Anlagenbetreiber

Die Bundesnetzagentur veröffentlichte am 18.05.2020 eine »Regelung zur Vorlage des Nachweises zur Umsetzung des IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG im Zusammenhang mit der Ausbreitung von SARS-CoV-2«, hier ein Auszug:

»Betreiber von Energieanlagen, die nach der BSI-KritisV als Kritische Infrastruktur bestimmt wurden, sind gemäß § 11 Abs. 1b EnWG dazu verpflichtet, den von der Bundesnetzagentur am 18. Dezember 2018 veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen. Zum Nachweis der Umsetzung haben Betreiber von Energieanlagen bis zum 31. März 2021 den Abschluss des vorgeschriebenen Zertifizierungsverfahrens anzuzeigen. […]«

» […]die Bundesnetzagentur [wird] zum Ablauf der Frist am 31. März 2021 vor diesem Hintergrund lediglich das Erreichen der Zertifizierungsreife, nicht jedoch den Abschluss des geforderten Zertifizierungsverfahrens verlangen. Es ist daher ausreichend, wenn Betreiber von Energieanlagen der Bundesnetzagentur gegenüber zum genannten Stichtag eine schriftliche Erklärung abgeben, aus der hervorgeht, dass Sie die Anforderungen des ITSicherheitskatalogs gemäß § 11 Abs. 1b EnWG in Ihrem Haus vollständig umgesetzt haben. Dieser Erklärung ist ein Nachweis über die Beauftragung einer Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits beizufügen. Das Zertifizierungsverfahren selbst kann daher auch, sofern nicht anders möglich, in einem angemessenen Zeitraum nach dem 31. März 2021 abgeschlossen werden.«

Quelle: Bundesnetzagentur „BNetzA_Zertifizierung IT-SiKa § 11 Abs. 1b EnWG_SARS-CoV-2.pdf“ vom 18.05.2020

IFU-CERT darf nach Erreichung der Akkreditierung für die Zertifizierung gem. IT-SiKa nach § 11 Abs. 1b EnWG die notwendigen Pre-Audits und Audits bei Ihnen mit kompetenten und in Fragen der Energieversorgung erfahrenen Auditor*innen durchführen. Hierbei benutzen wir unseren kundenorientierten Ansatz, der sich schon im Bereich der Auditierung anderer Normen (DIN und ISO) als erfolgreich erwiesen hat.

INTERESSE? Rufen Sie uns einfach an, wenn Sie Fragen zur Durchführung eines Audits nach IT-Sicherheitskatalog / ISO 27001 haben oder füllen Sie unser  Formular auf unserer Seite »Schnellanfrage« aus. Gerne erstellen wir Ihnen ein Angebot!