0
ISMS-Einführung

Aufbau eines ISMS für KRITIS-Betreiber

ISMS nach ISO 27001 Einführung für KRITIS-Betreiber

Der sichere Weg zur ISO-27001-Zertifizierung für Betreiber kritischer Infrastrukturen (KRITIS). KRITIS-Betreiber sind durch das IT-Sicherheitsgesetz (IT-SiG) zur Einführung von technischen und organisatorischen Mindestmaßnahmen, sowie zur Meldung von IT-Sicherheitsvorfällen verpflichtet.

Die zum Kreis der KRITIS zuzurechnenden Branchen sind Energie, Gesundheit, Informations- und Kommunikationstechnik, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung, Staat und Verwaltung. Auch deren Dienstleister können betroffen sein.

Einführung eines ISO 27001-konformen ISMS

Unsere Experten – auf diesem Gebiet allesamt zertifizierte ISO-27001-Auditoren – stehen dir auf dem Weg zur erfolgreichen Zertifizierung zur Seite: Vom initialen Audit des prozessualen und organisatorischen Reifegrads mit Gap-Analyse und Maßnahmenplan über die geforderten regelmäßigen Sicherheitsüberprüfungen (internes ISO/IEC 27001 Audit) bis hin zur Begleitung der abschließenden Zertifizierung.

  • Leistungsspektrum für Betreiber kritischer Infrastrukturen

  • Mitarbeit bei Planung, Umsetzung, Überwachung und Weiterentwicklung eines ISMS, auch in Kooperativ-Modellen

  • Voraudit: Prinzipielle Überprüfung der Zertifizierungsreife mit Identifikation von Lücken (Gaps) und Risiken

  • Erstellung eines Katalogs mit konkreten und pragmatischen Maßnahmen

  • Bereitstellung der benötigten Templates für Leitlinie, Policies und Prozesse

  • Coaching zur Umsetzung der notwendigen Maßnahmen

  • Einübung der Mitarbeiter im ISMS auf eine reale Auditsituation

  • Begleitung der eigentlichen Zertifizierung

  • Interne Überwachungsaudits des ISMS nach der Zertifizierung

Verpflichtungen aus dem IT-Sicherheitskatalog

Der IT-Sicherheitskatalog gemäß § 11 Absatz 1a ENWG (Energiewirtschaftsgesetz) ist der branchenspezifische Sicherheitsstandard für die Energiewirtschaft und damit für sämtliche Strom- und Gasnetzbetreiber verpflichtend. Zentrale Forderung ist die Etablierung eines ISMS (Informationssicherheits-Managementsystem) gemäß ISO 27001 und dessen Zertifizierung.

Zweite Kritisverordnung in Kraft getreten

Im ersten Teil der BSI-Kritisverordnung (BSI-KritisV) vom Mai 2016 wurden die Kritierien für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung festgelegt. Seit 30. Juni 2017 gilt das IT-Sicherheitsgesetz auch für Betreiber Kritischer Infrastruktruren aus den Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr.

Die von der Verordnung betroffenen Betreiber sind verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen, wie beispielsweise durch ein ISMS nach ISO 27001.

Ansprechpartner für IT-Sicherheit

Der im IT-Sicherheitskatalog geforderte Ansprechpartner für IT-Sicherheit darf laut ISO/IEC 27001 nicht nur einfach ernannt werden, er muss auch nachweislich kompetent sein. Die Personenzertifizierung ISMS Security Officer nach ISO 27001 weist grundlegende Expertise aus.

Kostenlose ISMS-Erstberatung vom Experten

Hast du Fragen? Nutze unser Angebot eines kostenlosen und unverbindlichen, rund dreißigminütigen Beratungsgesprächs am Telefon. Vereinbare dazu einen Termin mit einem unserer Experten telefonisch unter +49 89 – 44 44 31 88 0 oder über unseren Anfrage-Service:


Das mITSM ist Partner der Allianz für Cyber-Sicherheit von BSI und BITKOM und Kooperationspartner der TÜV SÜD Management GmbH.


?

Fragen, Antworten und weiterführende Informationen zum IT-Sicherheitskatalog

  • Welche Verbindung gibt es zwischen IT-Sicherheitsgesetz, § 11 ENWG und dem IT-Sicherheitskatalog?

    Im Juli 2015 ist das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz „IT-Sicherheitsgesetz“, in Kraft getreten. Grundsätzlich handelt es sich um ein „Artikelgesetz“, d.h. es ist ein Gesetz, das mehrere Gesetze unter sich vereint bzw. Ergänzungen zu bestehenden Fachgesetzen liefert. Diese Änderungen betrafen das BSI-Gesetz, das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Atomgesetz und das Energiewirtschaftsgesetz (ENWG).

    Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie zu Meldungen im Fall von Cyber-Angriffen. Zu den KRITIS-Betreibern zählen auch die Energieversorger. Für sie wurden im Rahmen des IT-Sicherheitsgesetzes Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. In die EnWG-Novelle von 2011 wurde die Verpflichtung aufgenommen, für einen angemessenen Schutz gegen Bedrohungen der IKT, welche der Netzsteuerung dient, zu sorgen.

    Der in § 11 Abs. 1a EnWG formulierte Auftrag an die Bundesnetzagentur (BNetzA) und das BSI, einen IT-Sicherheitskatalog mit entsprechenden Sicherheitsanforderungen vorzulegen, wurde mit seiner Veröffentlichung im August 2015 erfüllt.

  • Was sind die Ziele des IT-Sicherheitskatalogs?

    Die definierten Ziele IT-Sicherheitskatalogs sind

    – die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
    – die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
    – die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

  • Welche Verpflichtungen gehen aus dem IT-Sicherheitskatalog hervor?

    Der IT-Sicherheitskatalog der Bundesnetzagentur beinhaltet eine Reihe von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.

    Das heißt, Netzbetreiber müssen ihre IT-Systeme und Komponenten schützen, die der Netzsteuerung direkt dienen beziehungsweise unmittelbar Einfluss auf die Netzfahrweise nehmen. Hierzu zählen unter anderem die zentralen Netzleit- und Netzführungssysteme, steuerbare Wechselrichter und Rundsteueranlagen. Diese schutzbedürftigen Systeme eines Energieversorgungsnetzes sind in einem Netzstrukturplan zu erfassen und eine individuelle Risikoanalyse ist durchzuführen.

    Als Nachweis für die korrekte Umsetzung der Anforderungen aus dem IT-Sicherheitskatalog haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, zu betreiben und zu zertifizieren. Die Bundesnetzagentur behält sich vor, hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) eine entsprechende Ergänzung zur internationalen Norm ISO/IEC 27001 zu erstellen.

    Darüber hinaus ist laut Kapitel 2.4 und Seite 14 ff. IT-Sicherheitskatalog die Bestellung und Nennung eines Ansprechpartners für IT-Sicherheit verpflichtend. Das Formular zur Nennung des Ansprechpartner findest du bei der Bundesnetzagentur.

  • Wer benötigt eine Zertifizierung?

    Alle Betreiber eines Energieversorgungsnetzes. Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen (vgl. IT-Sicherheitskatalog, Abschnitt D – Geltungsbereich).

  • Wer darf die Zertifizierung durchführen?

    Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung des IT-Sicherheitskatalogs kann auf der Internetseite der DAkkS abgerufen werden, sobald entsprechende Akkreditierungsverfahren abgeschlossen sind. Das mITSM vertraut bei der ISO 27001-Zertifizierung auf die bewährte Zusammenarbeit mit seinen langjährigen Partnern, die TÜV SÜD Management GmbH und die DEKRA.

  • Bin ich mit einer Zertifizierung „aus dem Schneider“?

    Trotz Nachweises der ordnungsgemäßen Umsetzung des IT-Sicherheitskataloges durch ein 27001-Zertifikat hat die Bundesnetzagentur (BNetzA) das Recht, die Einhaltung des IT-Sicherheitskataloges zu prüfen und gegebenenfalls Aufsichtsmaßnahmen anzuordnen.

  • Wie sieht die Rolle des Ansprechpartners für IT-Sicherheit aus?

    Die Bestellung eines Ansprechpartners für IT-Sicherheit ist gemäß IT-Sicherheitskatalog der BNetzA verpflichtend (siehe Kapitel 2.4 und Seite 14 ff. im IT-Sicherheitskatalog). Er ist der Empfänger von Informationen über aktuelle Bedrohungen und Schwachstellen. Seine Aufgaben umfassen laut Katalog, gegenüber der BNetzA zu folgenden Punkten unverzüglich Auskunft geben zu können:

    – Zum Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog
    – Zu aufgetretenen Sicherheitsvorfällen sowie der Art und des Umfangs etwaiger hierdurch hervorgerufener Auswirkungen
    – Zur Ursache aufgetretener Sicherheitsvorfälle sowie zu Maßnahmen zu deren Behebung und zukünftigen Vermeidung

    Mehr zur Rolle des Ansprechpartners für IT-Sicherheit findest du unter den Punkten 3.2.1 und 5.4 im Praxisleitfaden des BSI und VKU 

  • Ist auch die Besetzung der Rolle des IT-Sicherheitsbeauftragten gesetzlich vorgeschrieben?

    Das ist sie nicht. Es empfiehlt sich jedoch, eine zentrale Stelle mit dem Aufgabengebiet Informationssicherheit zu betrauen. Bewährte Praxis ist, diejenige Person im Unternehmen als IT-Sicherheitsbeauftragten zu benennen, welche die Einführung und den Betrieb des ISMS operativ verantwortet.

    Zur fachlichen Weiterbildung und Personenzertifizierung (TÜV Süd) auf diesem Gebiet findest du Angebote unter ISMS Security Officer nach ISO 27001 und ISMS Auditor nach ISO 27001.

    Mehr zur Rolle des des IT-Sicherheitsbeauftragten findest du unter Punkt 3.2.1 und und 5.4 im Praxisleitfaden des BSI und VKU 

  • Und wenn ich die vom IT-Sicherheitskatalog betroffenen Systeme durch Dritte betreiben lasse?

    Betreibt ein Netzbetreiber die Anwendungen, Systeme und Komponenten, auf die sich die Sicherheitsanforderungen des IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch einen externen Dienstleister, muss er durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen einhält. Zu den Auswirkungen auf die erforderliche Zertifizierung, findest du mehr Informationen bei der Bundesnetzagentur.

  • Wo finde ich das IT-Sicherheitsgesetz im Wortlaut?

    Das Gesetz „zur Erhöhung der Sicherheit informationstechnischer Systeme“ und zum „Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind“ (IT-Sicherheitsgesetz) vom 24.07.2015 findest du als PDF im Bundesgesetzblatt.

  • Wo finde ich den IT-Sicherheitskatalog im Wortlaut?

    Den IT-Sicherheitskatalog vom 12.08.2015 findest du als PDF bei der Bundesnetzagentur.

  • Wo finde ich den Praxisleitfaden „IT-Sicherheitskatalog“ von BITKOM und VKU?

    Der Praxisleitfaden von BSI und VKU mit Ratschlägen für den Aufbau eines ISMS nach IT-Sicherheitskatalog steht als kostenloser Download (PDF) zur Verfügung unter Leitfaden des BSI und VKU 

+49 89 - 44 44 31 88 0