Anstehende ISMS-Pflicht für Energieversorger

Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass viele Energieversorger künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister Prego Services erläutert, worauf sich die Unernehmen einstellen müssen.

23. März 2015

Für Energieversorger verschärft sich die Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der ebenfalls noch im Entwurfsstadium ist, so der Dienstleister weiter. Der Katalog verlange von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

»Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher«, so der Dienstleister. Betroffen von dieser Pflicht seien nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Nur Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

Das künftige Information Security Management System der Energieversorger soll zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus soll es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen, so Prego weiter. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

Der Aufbau und Betrieb eines solchen ISMS bringt etwa die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen, erläutert der Dienstleister. Der Sicherheitsbeauftragte betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung.

Neue Version der VDE|DKE-Normungsroadmap IT-Sicherheit

Unabhängig von diesen gesetzlichen und regulativen Entwicklungen hat die VDE|DKE Kontaktstelle Informationssicherheit (KSI) und die Koordinierungsstelle IT-Sicherheit im DIN (KITS) eine neue Version der Normungs-Roadmap IT-Sicherheit herausgebracht, um eventuelle Sicherheitslücken zu schließen. Im Fokus stehen unter anderm Datenschutz, Smart Grid, Elektromobilität, Smart Home und Smart Cities.

Dabei hat die Normungs-Roadmap aktuelle Entwicklungen in Europa im Visier. Thematisiert werden zum Beispiel die europäischen Aktivitäten im Bereich Cybersecurity-Normung, insbesondere die Empfehlungen der Cybersecurity Coordination Group (CSCG) sowie die Anforderungen des geplanten deutschen IT-Sicherheitsgesetzes an die IT-Sicherheit der kritischen Infrastrukturen auch in den Branchen Energie, Transport und Verkehr sowie Wasser.

Die Deutsche Normungs-Roadmap IT-Sicherheit Version 2 steht im InfoCenter unter www.vde.com als Download zur Verfügung.