Umsetzung IT-Sicherheitsgesetz (ITSig)

ISO 27001 Audit

Der sichere Weg zur ISO-27001-Zertifizierung für Betreiber kritischer Infrastrukturen (KRITIS)

Betreiber kritischer Infrastrukturen sind durch das IT-Sicherheitsgesetz (IT-SiG) zur Einführung von technischen und organisatorischen Mindestmaßnahmen, sowie zur Meldung von IT-Sicherheitsvorfällen verpflichtet.

Die zum Kreis der KRITIS zu rechnenden Branchen sind Energie, Gesundheit, Informations- und Kommunikationstechnik, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung, Staat und Verwaltung. Auch deren Dienstleister können betroffen sein.

Im Rahmen des IT-Sicherheitsgesetzes wurden beispielsweise für Energieversorger Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. Nach IT-Sicherheitskatalog der Bundesnetzagentur haben Betreiber von Energieversorgungsnetzen nunmehr bis zum 31. Januar 2018 Zeit, ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 einzuführen und zu zertifizieren.

Einführung eines ISO 27001-konformen ISMS

Die Experten des mITSM – auf diesem Gebiet allesamt zertifizierte ISO-27001-Auditoren – stehen Ihnen auf dem Weg zur erfolgreichen Zertifizierung zur Seite: vom initialen Audit des prozessualen und organisatorischen Reifegrads mit Gap-Analyse und Maßnahmenplan über die geforderten regelmäßigen Sicherheitsüberprüfungen (internes ISO/IEC 27001 Audit) bis hin zur Begleitung der abschließenden Zertifizierung.

Der sichere Weg zur ISO 27001-Zertifizierung

Leistungsspektrum für Betreiber kritischer Infrastrukturen

  • Mitarbeit bei Planung, Umsetzung, Überwachung und Weiterentwicklung eines ISMS, auch in Kooperativ-Modellen
  • Voraudit: Prinzipielle Überprüfung der Zertifizierungsreife mit Identifikation von Lücken (Gaps) und Risiken
  • Erstellung eines Katalogs mit konkreten und pragmatischen Maßnahmen
  • Bereitstellung der benötigten Templates für Leitlinie, Policies und Prozesse
  • Coaching zur Umsetzung der notwendigen Maßnahmen
  • Einübung der Mitarbeiter im ISMS auf eine reale Auditsituation
  • Begleitung der eigentlichen Zertifizierung
  • Interne Überwachungsaudits des ISMS nach der Zertifizierung


Kostenlose Erstberatung vom Experten

Haben Sie Fragen? Nutzen Sie unser Angebot eines kostenlosen und unverbindlichen, rund dreißigminütigen Beratungsgesprächs am Telefon. Vereinbaren Sie dazu einen Termin mit einem unserer Experten telefonisch unter 089 - 55 27 55 70 oder unter Beratungen.

Verpflichtungen aus dem IT-Sicherheitskatalog

Der IT-Sicherheitskatalog gemäß § 11 Absatz 1a ENWG (Energiewirtschaftsgesetz) ist der branchenspezifische Sicherheitsstandard für die Energiewirtschaft und damit für sämtliche Strom- und Gasnetzbetreiber verpflichtend.

Zentrale Forderung ist die Etablierung eines ISMS (Informationssicherheits-Managementsystem) gemäß DIN ISO/IEC 27001 und dessen Zertifizierung.

Zweite BSI-Kritisverordnung in Kraft getreten

Im ersten Teil der BSI-Kritisverordnung (BSI-KritisV) vom Mai 2016 wurden die Kritierien für die Sektoren "Energie", "Informationstechnik und Telekommunikation", „Wasser" und "Ernährung" festgelegt.

Seit 30. Juni 2017 gilt das IT-Sicherheitsgesetz auch für Betreiber Kritischer Infrastruktruren aus den Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ sowie „Transport und Verkehr“.

Die von der Verordnung betroffenen Betreiber sind verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen, wie beispielsweise durch ein ISMS nach ISO 27001.

Ansprechpartner für IT-Sicherheit

Der im IT-Sicherheitskatalog geforderte Ansprechpartner für IT-Sicherheit darf laut ISO/IEC 27001 nicht nur einfach ernannt werden, er muss auch nachweislich kompetent sein. Die Personenzertifizierung ISMS Security Officer nach ISO 27001 weist grundlegende Expertise aus.



Fragen, Antworten und weiterführende Informationen zum IT-Sicherheitskatalog

Welche Verbindung gibt es zwischen IT-Sicherheitsgesetz, § 11 ENWG und IT-Sicherheitskatalog?

Im Juli 2015 ist das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz „IT-Sicherheitsgesetz“, in Kraft getreten. Grundsätzlich handelt es sich um ein „Artikelgesetz“, d.h. es ist ein Gesetz, das mehrere Gesetze unter sich vereint bzw. Ergänzungen zu bestehenden Fachgesetzen liefert. Diese Änderungen betrafen das BSI-Gesetz, das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Atomgesetz und das Energiewirtschaftsgesetz (ENWG).

Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie zu Meldungen im Fall von Cyber-Angriffen. Zu den KRITIS-Betreibern zählen auch die Energieversorger. Für sie wurden im Rahmen des IT-Sicherheitsgesetzes Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. In die EnWG-Novelle von 2011 wurde die Verpflichtung aufgenommen, für einen angemessenen Schutz gegen Bedrohungen der IKT, welche der Netzsteuerung dient, zu sorgen.

Der in § 11 Abs. 1a EnWG formulierte Auftrag an die Bundesnetzagentur (BNetzA) und das BSI, einen IT-Sicherheitskatalog mit entsprechenden Sicherheitsanforderungen vorzulegen, wurde mit seiner Veröffentlichung im August 2015 erfüllt.

Wozu ein verbindlicher IT-Sicherheitskatalog?

Durch die fortschreitende Energiewende, die zunehmend dezentrale Stromerzeugung und die allgemeine IKT-Bedrohungslage steigen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Sie ist in hohem Maße von einer intakten Informations- und Kommunikations-Technologie (IKT) abhängig. Mit einem Katalog von "Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen" will die Bundesnetzagentur einen Beitrag zur Sicherheit der Energieversorgungsnetze leisten. Dies fordert § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) ein.

Was sind die Ziele des IT-Sicherheitskatalogs?

Die definierten Ziele IT-Sicherheitskatalogs sind

- die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
- die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
- die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

Welche Verpflichtungen gehen aus dem IT-Sicherheitskatalog hervor?

Der IT-Sicherheitskatalog der Bundesnetzagentur beinhaltet eine Reihe von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.

Das heißt, Netzbetreiber müssen ihre IT-Systeme und Komponenten schützen, die der Netzsteuerung direkt dienen beziehungsweise unmittelbar Einfluss auf die Netzfahrweise nehmen. Hierzu zählen unter anderem die zentralen Netzleit- und Netzführungssysteme, steuerbare Welchselrichter und Rundsteueranlagen. Diese schutzbedürftigen Systeme eines Energieversorgungsnetzes sind in einem Netzstrukturplan zu erfassen und eine individuelle Risikoanalyse ist durchzuführen.

Als Nachweis für die korrekte Umsetzung der Anforderungen aus dem IT-Sicherheitskatalog haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, zu betreiben und zu zertifizieren. Die Bundesnetzagentur behält sich vor, hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) eine entsprechende Ergänzung zur internationalen Norm ISO/IEC 27001 zu erstellen.

Darüber hinaus ist laut Kapitel 2.4 und Seite 14 ff. IT-Sicherheitskatalog die Bestellung und Nennung eines Ansprechpartners für IT-Sicherheit verpflichtend. Das Formular zur Nennung des Ansprechpartner finden Sie bei der Bundesnetzagentur.

Wer benötigt eine Zertifizierung?

Alle Betreiber eines Energieversorgungsnetzes. Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen (vgl. IT-Sicherheitskatalog, Abschnitt D – Geltungsbereich).

Wer darf die Zertifizierung durchführen?

Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung des IT-Sicherheitskatalogs kann auf der Internetseite der DAkkS abgerufen werden, sobald entsprechende Akkreditierungsverfahren abgeschlossen sind. Das mITSM vertraut bei der ISO 27001-Zertifizierung auf die bewährte Zusammenarbeit mit seinem langjährigen Partner, die TÜV SÜD Management GmbH.

Bin ich mit einer Zertifizierung „aus dem Schneider“?

Trotz Nachweises der ordnungsgemäßen Umsetzung des IT-Sicherheitskataloges durch ein 27001-Zertifikat hat die Bundesnetzagentur (BNetzA) das Recht, die Einhaltung des IT-Sicherheitskataloges zu prüfen und gegebenenfalls Aufsichtsmaßnahmen anzuordnen.

Wie sieht die Rolle des Ansprechpartners für IT-Sicherheit aus?

Die Bestellung eines Ansprechpartners für IT-Sicherheit ist gemäß IT-Sicherheitskatalog der BNetzA verpflichtend (siehe Kapitel 2.4 und Seite 14 ff. im IT-Sicherheitskatalog). Er ist der Empfänger von Informationen über aktuelle Bedrohungen und Schwachstellen. Seine Aufgaben umfassen laut Katalog, gegenüber der BNetzA zu folgenden Punkten unverzüglich Auskunft geben zu können:

- Zum Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog
- Zu aufgetretenen Sicherheitsvorfällen sowie der Art und des Umfangs etwaiger hierdurch hervorgerufener Auswirkungen
- Zur Ursache aufgetretener Sicherheitsvorfälle sowie zu Maßnahmen zu deren Behebung und zukünftigen Vermeidung

Mehr zur Rolle des Ansprechpartners für IT-Sicherheit finden Sie unter den Punkten 3.2.1 und 5.4 im Praxisleitfaden des BSI und VKU 

Ist auch die Besetzung der Rolle des IT-Sicherheitsbeauftragten gesetzlich vorgeschrieben?

Das ist sie nicht. Es empfiehlt sich jedoch, eine zentrale Stelle mit dem Aufgabengebiet Informationssicherheit zu betrauen. Bewährte Praxis ist, diejenige Person im Unternehmen als IT-Sicherheitsbeauftragten zu benennen, welche die Einführung und den Betrieb des ISMS operativ verantwortet.

Zur fachlichen Weiterbildung und Personenzertifizierung (TÜV Süd) auf diesem Gebiet finden Sie Angebote unter ISMS Security Officer nach ISO 27001 und ISMS Auditor nach ISO 27001.

Mehr zur Rolle des des IT-Sicherheitsbeauftragten finden Sie unter Punkt 3.2.1 und und 5.4 im Praxisleitfaden des BSI und VKU 

Und wenn ich die vom IT-Sicherheitskatalog betroffenen Systeme durch Dritte betreiben lasse?

Betreibt ein Netzbetreiber die Anwendungen, Systeme und Komponenten, auf die sich die Sicherheitsanforderungen des IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch einen externen Dienstleister, muss er durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen einhält. Zu den Auswirkungen auf die erforderliche Zertifizierung, finden Sie mehr Informationen bei der Bundesnetzagentur.

Wo finde ich das IT-Sicherheitsgesetz im Wortlaut?

Das Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" und zum „Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind" (IT-Sicherheitsgesetz) vom 24.07.2015 finden Sie als PDF im Bundesgesetzblatt.

Wo finde ich den IT-Sicherheitskatalog im Wortlaut?

Den IT-Sicherheitskatalog vom 12.08.2015 finden Sie als PDF bei der Bundesnetzagentur.

Wo finde ich den Praxisleitfaden „IT-Sicherheitskatalog“ von BITKOM und VKU?

Der Praxisleitfaden von BSI und VKU mit Ratschlägen für den Aufbau eines ISMS nach IT-Sicherheitskatalog steht als kostenloser Download (PDF) zur Verfügung unter Leitfaden des BSI und VKU 


                                    ISO 27001 Schulung und Personenzertifizierung

ITSec Schulung- Foundation in ISMS
- IT Security Officer
- Auditor in ISMS
- inklusive Prüfungsvorbereitung
- TÜV-SÜD ZertifikatMehr erfahren


Das mITSM ist Partner der Allianz für Cyber-Sicherheit von BSI und BITKOM und Kooperationspartner der TÜV SÜD Management GmbH.