Neue Fristen für Nachweis IT-Sicherheitskatalog nach § 11 Abs. 1b EnWG

Betreiber von Energieanlagen, die zu Kritischen Infrastrukturen zählen, sind gemäß § 11 Abs. 1b EnWG verpflichtet, das Erfüllen der Anforderungen des IT-Sicherheitskatalogs für Energieanlagen durch ein Zertifikat nachzuweisen – was genau ist bis wann zu tun?

Nach IT-Sicherheitskatalog sind ausgewählte Energieanlagenbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichtet. Wichtigste Voraussetzung ist das Etablieren eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001 und dessen Zertifizierung.

Der IT-Sicherheitskatalog für Energieanlagen wurde im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Dezember 2018 veröffentlicht. Betroffen sind davon alle Erzeugungs- und Speicheranlagen für elektrische Energie mit einer Netto-Nennleistung über 420 MW sowie Gasförder- und -speicheranlagen mit mehr als 5.190 GWh/Jahr.

Es gab also genügend Zeit für die jeweiligen Betreiber, ein anforderungsgerechtes ISMS aufzubauen und sich auf die Zertifizierung vorzubereiten.

Allerdings mussten auch Regelungen für die Zertifizierung festgelegt und veröffentlicht werden – das erfolgte im September 2020 mit der Verabschiedung des Konformitäts¬bewer¬tungsprogramms zur Akkreditierung von Zertifizie¬rungsstellen für den IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG.

Erst seit diesem Zeitpunkt ist es für Zertifizierungsstellen möglich, ihre Prüfsystematik aufzubauen und eine Akkreditierung bei der Deutschen Akkreditierungsstelle (DAkkS) zu beantragen.

Durch die Covid-19-Pandemie wurden aber auch die Abläufe der DAkkS deutlich beeinträchtigt, so dass es bis zum heutigen Zeitpunkt keine Zertifizierungsstelle in Deutschland gibt, die diese Prüfungen durchführen darf. Die BNetzA reagierte darauf und informierte Ende Dezember 2020 in einem Schreiben alle Betreiber über die Umsetzungstermine für die Zertifizierung.

Die GUTcert hat daraufhin von der BNetzA Informationen dazu eingeholt, welche Aktivitäten genau die Betreiber nun bis wann umzusetzen haben. Den Prozess stellen wir hier in vier klaren Schritten vor:

Ein ISMS einrichten – Der Aufbau des Informationssicherheitsmanagementsystem steht seit spätestens 2018 auf der ToDo-Liste und sollte deshalb inzwischen abgeschlossen sein. Für mögliche Restarbeiten bleibt nur noch Zeit bis Ende März 2021.

Zum 31.03.2021 müssen Energieversorger eine Eigenerklärung über die wirksame Einführung eines ISMS abgeben und die Zertifizierungsreife ihres ISMS bestätigen. Beste Basis hierfür ist das erfolgreiche Durchführen eines internen Audits. Gerne unterstütz dabei auch die GUTcert mit ihren erfahrenen ISMS Auditoren und bewertet unparteilich in einem Voraudit die Reife des eingeführten ISMS.

Anschließend muss der Betreiber eine Zertifizierungsstelle seiner Wahl beauftragen und den Nachweis über die Beauftragung der Zertifizierungsstelle gemeinsam mit einem Ablaufplan für die Zertifizierung bis zum 30.06.2021 bei der BNetzA vorlegen.

Der Abschluss des Zertifizierungsverfahrens sollte schnellstmöglich erfolgen, hier gibt es jedoch keine konkrete Terminvorgabe. Wir gehen derzeit davon aus, dass ein Abschluss der Zertifizierung im 3. Quartal 2021 akzeptiert wird.

Wie kann Ihnen die GUTcert helfen?

• Qualität: Mit unserer langjährigen Erfahrung in der Energiebranche können wir Ihnen eine schnelle und kompetente Bearbeitung Ihrer Anfragen versprechen. Wir sind seit vielen Jahren als Partner der Energiebranche anerkannt und bieten ein umfangreiches Spektrum an Prüfdienstleistungen.
• Ressourcen: Über 60 GUTcert Mitarbeiter haben zusammen mit unserem Auditoren-Team in vielen anderen Projekten bewiesen, dass sich auch sehr große Organisationen voll und ganz auf uns verlassen können.
• Flexibilität: Durch kurze Dienstwege arbeiten wir flexibel und effizient und haben immer die Anforderungen unserer Kunden im Blick.
• Bedarfsorientierung: Unser Angebot wird individuell auf Ihr Unternehmen zugeschnitten.
• Verfügbarkeit: Wir sind immer für Sie erreichbar!

Haben Sie Fragen zum Thema ITSK-Energieanlagen? Warten sie nicht bis zum letzten Tag: Melden Sie sich gerne bei Andreas Lemke.