Bundesnetzagentur hat IT-Sicherheitskatalog veröffentlicht

Am Mittwoch, den 12.08.2015, veröffentlichte die Bundesnetzagentur (BNetzA) den IT-Sicherheitskatalog. Die finale Fassung wurde nun stark an internationale Standards, speziell die aktuelle Norm ISO/IEC 27001:2013, ausgerichtet. Ziele des Kataloges sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, der Integrität der verarbeiteten Informationen und die Gewährleistung der Vertraulichkeit - ein wichtiger Schritt, da mit wachsender Abhängigkeit von diesen Systemen auch große Risiken für die Versorgungssicherheit einhergehen. Zum Nachweis, dass die Anforderungen des IT-Sicherheitskataloges umgesetzt wurden, sind die Betreiber von Energieversorgungsnetzen nun verpflichtet, der Bundesnetzagentur bis zum 31. Januar 2018 den Abschluss des vorgesehenen Zertifizierungsverfahrens mitzuteilen. Bis zum 30. November 2015 müssen sie der BNetzA außerdem einen Ansprechpartner für IT-Sicherheit inklusive Kontaktdaten nennen.

Die Bundesnetzagentur leistet mit dem IT-Sicherheitskatalog einen wichtigen Beitrag zum Schutz der Informations- und Kommunikationssysteme von Energienetzbetreibern. Diese können sich damit vermehrt auf die Ermittlung des Risiko- und Gefährdungspotentials konzentrieren, da das Risikomanagement in der aktuellen Fassung wesentlich mehr Gewicht bekommt. Auch hier wird auf eine einschlägige internationale Norm, ISO/IEC 27005 und ISO 31000, verwiesen.

Eine weitere wichtige Änderung gegenüber früheren Versionen ergab sich in punkto Zertifizierung: Die BNetzA erarbeitet gemeinsam mit der Deutschen Akkreditierungsstelle ein spezielles Zertifikat auf der Basis von ISO/IEC 27001. In Zukunft dürfen dann nur noch für den IT-Sicherheitskatalog akkreditierte Zertifizierungsstellen auditieren und dieses Zertifikat vergeben.

Der IT-Sicherheitskatalog ist in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 11 Abs. 1a Energiewirtschaftsgesetz erstellt worden und ist unter www.bundesnetzagentur.de/it-sicherheitskatalog-energie veröffentlicht.

Sind Sie zertifizierungsreif?

Ein ISO 27001 Security Audit unterstützt Sie bei Ihrem Zertifizierungsvorhaben. Es klärt, inwieweit die Anforderungen des Standards erfüllt sind und ob eine Zertifizierung bereits möglich ist. Dabei werden Lücken (GAPs) identifiziert und die Spezialisten des mITSM geben konkrete Handlungsempfehlungen für den direkten Weg zur erfolgreichen Zertifizierung.