IT-Sicherheitskatalog § 11 Absatz 1a/b EnWG – Schutz der Öffentlichkeit
Um die Stabilität und Sicherheit des Netzbetriebs und der Energieerzeugung zu gewährleisten, wurden verbindliche Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ definiert.
Der IT-Sicherheitskatalog (ITSK) richtet sich an Betreiber und Betriebsführer, betriebsgeführte Betreiber von Energieversorgungsnetzen sowie Energieanlagen, die als Kritische Infrastruktur gelten und deren Anlagen mit dem öffentlichen Versorgungsnetz verbunden sind (Strom und/oder Gas).
Sein Fokus richtet sich auf die Systeme, Anwendungen und Komponenten, die für einen sicheren Netz- und Anlagenbetrieb erforderlich sind.
Prüfung der Systeme zur Angriffserkennung (SzA) und Ausstellung des Nachweisdokument P*
Die Nachweispflicht bestand für Strom- und Gasnetzbetreiber sowie alle Anlagenbetreiber, die unter die KRITIS-VO fallen, erstmalig zum 1. Mai 2023, sowie darauffolgend alle 2 Jahre.
Die GUTcert bietet ihren Kunden eine Checkliste über alle Forderungen entsprechend der Orientierungshilfe des BSI. Unsere Auditoren gehen alle Anforderungen mit den Kunden durch und bewerten den Umsetzungsgrad. Im Anschluss werden die Nachweisdokumente ausgestellt, die beim BSI eingereicht werden können.
Fakten und Hinweise
Neben dem ITSK dienen die Normen ISO 27001 und ISO 27019 als zentrale Grundlage für die Zertifizierung. Die ISO 27019 wurde speziell für Betreiber kritischer Infrastruktur entwickelt und baut auf den bewährten Sicherheitsrichtlinien der ISO 27002 auf. Sie ergänzt diesen durch sektorspezifische Anforderungen und verbindliche Erweiterungen, die gezielt auf die Risikoreduktion in der Energieversorgung ausgerichtet sind.
Im Rahmen des unternehmensweiten Risikomanagements müssen die in den Normen beschriebenen Maßnahmen nicht vollständig umgesetzt werden. Sie sind jedoch individuell auf ihre Relevanz zu prüfen und ggf. in das ISMS zu integrieren.
Der ITSK gilt für alle Strom- und Gasnetzbetreiber sowie Anlagenbetreiber, die KRITIS-relevante Schwellenwerte überschreiten und mit dem Versorgungsnetz verbunden sind. Auch bei Auslagerung des Betriebs auf Dritte besteht eine Zertifizierungspflicht.
Schwellenwerte nach BSI-KritisV (Anhang 1, Teil 3):
104 MW elektrischer Anschlussleistung (Stromerzeugung) und
5.190 GWh/ Jahr entnommene Arbeit (Verteilung Gas)
3.700 GWh/Jahr entnommene Arbeit (Verteilung Strom)
Pflicht zur Transition ISO/IEC 27001:2022, seit dem 01.11.2024 werden alle Audits nach der neuen Norm durchgeführt.
Die ISO/IEC 27019:2024 gilt verpflichtend bis spätestens 31.10.2027.
Durchführung per Rezertifizierungs-, Überprüfungs- oder Sonderaudit erforderlich.
GAP-Analyse der Organisation mit den daraus abgeleiteten Maßnahmenplan für die Umstellung (Notwendigkeit von Änderungen am bestehenden ISMS),
Aktualisierung der Anwendbarkeitserklärung (SoA) und des Risikobehandlungsplans,
Umsetzung und Wirksamkeit der neuen oder geänderten Maßnahmen
Kostenfreies Webinar: IT-Sicherheit im Unternehmen - Effektive Bewertung mit dem Cybersicherheits-Check
Ein niederschwelliger Ansatz zur Überprüfung des Stands der Cyber-Sicherheit im Unternehmen: Jetzt registrieren für das kostenfreie Webinar am 10. Dezember.
Trends und Entwicklungen in der Informationssicherheit – GUTcert im Interview mit Joachim Reinke (einfachISO GmbH)
Im Gespräch mit Joachim Reinke (Berater und Lead Auditor u.a. für ISO 27001 und TISAX®) diskutieren wir aktuelle Trends und Entwicklungen rund um die Themen Informationssicherheit und ISO 27001.
Die Rolle von IT-Sicherheitsprüfungen im Schwachstellenmanagement
Proaktiver Umgang mit IT-Schwachstellen ist ein essenzieller Bestandteil jedes Informationssicherheits-Managementsystems (ISMS) und Softwareentwicklungsprozesses. Die zentrale Rolle von regelmäßigen Sicherheitsprüfungen wird dabei häufig übersehen.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Die GUTcert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.
Jan Hotzel, Vision2B GmbH
Informationssicherheitsbeauftragter/-auditor (gn) nach ISO/IEC 27001 (GUTcert) mehr Infos
ISO/IEC 27001 – Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur mehr Infos
Fortbildungsveranstaltung & Erfahrungsaustausch für ITSK-Auditoren mehr Infos
Systematisch Informationssicherheitsrisiken und Gegenmaßnahmen erfassen – für Compliance und Existenz von Betreiber Kritischer Infrastrukturen ein Muss
