IT-Sicherheit: GUTcert-Kurs bei Bundesnetzagentur gelistet

Noch bis Ende Januar 2018 haben Strom- und Gasnetzbetreiber Zeit, einen geeigneten IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Aber auch für weitere Betreiber kritischer Infrastrukturen (KRITIS) besteht Handlungsbedarf.

Die GUTcert ist einer der wenigen von der Bundesnetzagentur gelisteten Anbieter anerkannter Schulungen zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas.

Das IT-Sicherheitsgesetz vom 25.05.2015 verpflichtet in Deutschland Betreiber sog. kritischer Infrastrukturen, ihre IT-Systeme durch Mindeststandards zu schützen. Als „kritisch“ gilt eine Infrastruktur, wenn die Beeinträchtigung oder der Ausfall der Versorgung mit der entsprechenden Dienstleistung gravierende Folgen für die Allgemeinheithat. Als Mindeststandard, um das zu verhindern, wird zum Beispiel ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 angesehen.

Die Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS-Verordnung vom 05.05.2016) definiert für die Branchen Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation, welche Dienstleistungen als kritisch zu bezeichnen sind. Gleichzeitig definiert die Verordnung Schwellenwerte für den Versorgungsgrad, ab dem die gesetzlichen Vorgaben greifen. Es sind also nicht automatisch alle Unternehmen einer Branche betroffen, sondern nur solche, die den in der Verordnung genannten Schwellenwert erreichen oder überschreiten. Die Verordnung versetzt Betreiber kritischer Infrastrukturen in die Lage, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Voraussichtlich Anfang 2017 wird eine Änderungsverordnung in Kraft treten, die die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit regeln soll.

Für Energieversorger (Strom und Gas) gelten zusätzlich die Anforderungen des IT-Sicherheitskatalogs gem. § 11 Absatz 1a Energiewirtschaftsgesetz. Dieser fordert explizit den Nachweis über eine Zertifizierung nach ISO 27001 bis zum 31.01.2018 und das Umsetzen der im Sicherheitskatalog aufgeführten Anforderungen.

IT-Sicherheit gewinnt auch im Bereich Smart Meter Einzug

Mit dem Anfang September veröffentlichten Gesetz zur Digitalisierung der Energiewende sind zudem weitere Anforderungen für die Energieversorgungsbranche aufgestellt worden: Lt. Gesetz müssen diese als Messstellenbetreiber ab 2017 bis spätestens 2032 alle klassischen Ferraris-Zähler durch moderne Messeinrichtungen (Smart Meter) ersetzen. Bestimmte Kundengruppen sind zudem verpflichtet, sie mit sog. Gateways zu einem intelligenten Messsystem zu kombinieren, das die Messwerte digital an definierte Empfänger wie Netzbetreiber, Lieferanten oder sonstige berechtigte Marktteilnehmer leitet. Damit wird das Thema Datenschutz und IT-Sicherheit auch im Bereich der Zählerinfrastruktur immer bedeutender. Mit dem neuen Gesetz werden umfangreiche Regelungen für Smart Meter Gateways und die Gateway Administratoren durch gesetzliche Vorgaben festgesetzt. In der Schnittmenge wird für Netzbetreiber und Smart Meter Gateway Administratoren gleichermaßen ein ISMS als Basis gefordert: Netzbetreiber müssen entsprechend  IT-Sicherheitskatalog ihr ISMS nach ISO/IEC 27001 zertifizieren lassen, Smart Meter Gateway Administratoren müssen gemäß TR-03109-6 ihr ISMS nach ISO/IEC 27001 auf IT-Grundschutz-Basis zertifiziert werden.

Die GUTcert bietet die Zertifizierung nach ISO 27001 in Kooperation mir der AFNOR Group an.  Der Akkreditierungstermin ist bereits mit der DAkkS vereinbart, Abschluß der Akkredtierung ist für Anfang 2017 vorgesehen.

Anforderungen für Auditoren   

Speziell für den deutschen Markt werden noch Auditoren gesucht. Dazu muss neben den gewohnten Nachweisen (Grundausbildung zum Auditor in diesem Bereich) eine 2jährige Tätigkeit in IT-Sicherheitsrelevanten Bereichen nachgewiesen werden.

Zusätzlich zu den in der ISO 27001 definierten Anforderungen müssen Auditoren den Nachweis erbringen, dass sie eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich abgeschlossen haben.

Die GUTcert Akademie führt einen sechstägigen, von der Bundesnetzagentur zugelassenen Kurs dazu durch. Referenten mit langjähriger Praxiserfahrung vermitteln das nötige Know-how, um die Prüfung erfolgreich zu absolvieren – unverzichtbare Bedingung, um von Zertifizierungsstellen für Audits nach ISO 27001 bei Netzbetreibern eingesetzt werden zu können.

Fragen zum Thema IT-Sicherheit beantwortet Ihnen gerne Herr Henrik Netzow, Tel.: +49 30 2332021-47