IT-Sicherheitsgesetz: IT-Sicherheitskatalog veröffentlicht

Die Bundesnetzagentur hat gemäß § 11 Abs. 1a Energiewirtschaftsgesetz den IT-Sicherheitskatalog in Office 2015 veröffentlicht. Basis ist die Vorschrift in § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG), das die Bundesnetzagentur beauftragt hat, einen Katalog von Sicherheitsanforderungen zu erstellen. Dazu sollte ein Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erzielt werden. Die Vorschrift ist mit dem IT-Sicherheitsgesetz novelliert worden. In dem Gesetz heißt es nunmehr, dass ein angemessener Schutz eines Energieversorgers gemäß § 11 Abs. 1a Satz 4 EnWG vorliegt, wenn der Katalog der Sicherheitsanforderungen eigehalten wird. Die Betreiber von Energieversorgungsnetzen sollen sich an den im IT-Sicherheitskatalog formulierten Mindeststandard halten. 

Die Kernforderung und Kernaussage des IT-Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001. Weiterhin wird die Zertifizierung durch eine unabhängige, hierfür zugelassene Stelle gefordert. Außerdem sollen die Betreiber von Energieversorgungsnetzen einen Ansprechpartner für IT-Sicherheit der Bundesnetzagentur benennen. Über diesen Ansprechpartner soll auch die Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnik erfolgen. 

Wichtig ist der Hinweis, dass die Verantwortung für die Erfüllung der Anforderungen aus dem IT-Sicherheitskatalog auch dann noch beim Netzbetreiber liegt, wenn er Dritte einsetzt. Die Delegation von Leistungen setzt also voraus, dass sofort ein intensives und gutes Controlling der jeweiligen Dienstleister durch die Netzbetreiber erfolgt. 

Zwar haben die Netzbetreiber noch Zeit für die Umsetzung, die Fristen sind allerdings nicht unbegrenzt. Netzbetreiber haben der Bundesnetzagentur bis zum 31.01.2018 en Abschluss des Zertifizierungsverfahrens zu melden. Dafür ist eine Kopie des Zertifikats vorzulegen. 

Weiterhin ist ein Ansprechpartner IT-Sicherheit und dessen Kontaktdaten der Bundesnetzagentur bis zum 30.11.2015 mitzuteilen. Gerade die Einrichtung entsprechender Meldestellen ist eine hohe organisatorische Herausforderung, da nicht nur die externe Kommunikation mehr organisiert werden muss, sondern auch eine interne Kommunikationsstruktur notwendig ist, um die Anforderungen aus dem IT-Sicherheitskatalog zu erfüllen. Der Zeitraum bis Ende November diesen Jahres ist dabei eher „sportlich“ zu sehen. 

Mit anderen Worten: Energieversorger müssen alsbald und mit einer guten Zeit- und Projektsteuerung die neuen Anforderungen umsetzen, insbesondere ein entsprechendes Zertifizierungsverfahren einleiten. Die Hoffnung des Gesetzgebers ist, dass die Geschäftsmodelle der Energieversorger stärker geschützt werden und die entsprechenden Prozesse für die IT-Sicherheit insgesamt produktiver werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*