Die Bundesnetzagentur verpflichtet alle Energieversorger dazu, ein Informationssicherheitsmanagementsystem nach der Norm ISO/IEC 27001 einzuführen. Dem aktuellen Entwurf nach haben Netzbetreiber nach der Verabschiedung der Vorschrift nur ein Jahr dafür Zeit, diese umzusetzen.

Informationssicherheit Energieversorger

Die Energieversorgung ist ein wichtiger Faktor für das Funktionieren unserer Gesellschaft. Bei schwerwiegenden Störungen steht nicht nur das öffentliche Leben still, es sind auch Menschenleben in Gefahr, wenn lebensnotwendige Dienstleistungen nicht erbracht werden können. Weil das komplexe System der modernen Energieversorgung ihrerseits auf eine funktionierende Informationstechnologie angewiesen ist, hat in diesem Bereich die Informationssicherheit eine essenzielle Bedeutung.

Deshalb möchte die Bundesnetzagentur alle Energieversorger zur Einrichtung eines umfassenden Managementsystems für die Informationssicherheit (ISMS) verpflichten. Dazu hat sie den Entwurf eines IT-Sicherheitskatalogs auf Basis § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) veröffentlicht.

Darin macht die Bundesnetzagentur deutlich, dass punktuelle Maßnahmen wie der Einsatz einer Firewall oder von Antivirensoftware allein kein angemessenes Niveau für die Informationssicherheit gewährleisten können. Vielmehr verlangt sie die Einführung und Zertifizierung eines ganzheitlichen Informationssicherheitsmanagementsystems nach DIN ISO 27001 unter Einbeziehung nicht nur der DIN ISO/IEC 27002 sondern zusätzlich auch der DIN SPEC 27009. Ein solches System legt fest, auf welche Weise und mit welchen Mitteln die Geschäftsleitung die mit der Informationssicherheit in Zusammenhang stehenden Aufgaben plant, durchführt, überwacht und laufend an die jeweils aktuellen Gegebenheiten anpasst.
Zertifizierung ISO 27001
Der Sicherheitskatalog sieht vor, dass jeder Energieversorger bereits ein Jahr nach Inkrafttreten der Regelung eine gültige ISO 27001 Zertifizierung nachweisen muss. Anderenfalls drohen Strafen. Erfahrungsgemäß sind 12 Monate für die Implementierung eines ISMS und die entsprechende Zertifizierung sehr knapp bemessen.

Es ist davon auszugehen, dass in dem Entwurf, den die Bundesnetzagentur gemeinsam mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelt hat, noch einige Unklarheiten ausgeräumt und vielleicht einzelne Aspekte überarbeitet werden. Der Kernpunkt der Verpflichtung zu einer Zertifizierung nach DIN ISO/IEC 27001:2013 wird jedoch sicherlich bestehen bleiben. Daher ist Unternehmen im Bereich der Energieversorgung zu empfehlen, zeitnah mit der Etablierung eines ISMS nach ISO 27001 zu beginnen.

Die activeMind AG hat bundesweit bereits zahlreiche Unternehmen bei der effizienten Umsetzung und erfolgreichen Zertifizierung unterstützt. Wir stehen Ihnen gerne für eine unverbindliche Erstberatung zur Verfügung: 089 / 418 560 170 oder anfrage@activemind.de
 

Das könnte Sie auch interessieren:
ISO 27001 Zertifizierung zum Festpreis
Vorbereitung einer ISO 27001 Zertifizierung
Pentest: Wie sicher ist Ihr Netzwerk?
Sicherer Umgang mit mobilen Geräten im Unternehmen
Elektronische Signatur: Was ist zu beachten?

Artikelbild: Symbolbild (c) tpsdave

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.