Neues Konformitätsbewertungsprogramm IT-Sicherheitskatalog Netze
Die BNetzA hat ein neues Konformitätsbewertungsprogramm (KBP) zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog Netze (§11 Abs. 1a EnWG) veröffentlicht. Eine wesentliche Änderung betrifft den Einsatz von Fachexperten.
Um die Zweckmäßigkeit des festgelegten Geltungsbereichs des ISMS beurteilen zu können und die Risikoeinschätzung zu prüfen, sieht das KBP auch in der bisherigen Fassung das Hinzuziehen eines Fachexperten / einer Fachexpertin vor. Bisher konnten diese Aufgabe aber auch erfahrene Auditorinnen und Auditoren übernehmen. Dies ist nach dem aktuellen KBP nicht mehr der Fall:
„Die Beratung des Auditteams durch die Fachexpertin / den Fachexperten im Rahmen der Audits […] erfordert die dauerhafte Anwesenheit der Fachexpertin / des Fachexperten während des jeweiligen Audits beim Netzbetreiber vor Ort.“
Was bedeutet das für das auditierte Unternehmen?
Diese Änderung wird leider den Aufwand für Zertifizierungs- und Überprüfungsaudits nach ITSK erhöhen, wir werden mit unseren Kunden dazu rechtzeitig Kontakt aufnehmen. Dabei sind wir bestrebt, den Mehraufwand so gering wie möglich zu halten.
Andererseits werden unsere bisherigen Ressourcen an ITSK-Fachexperten zukünftig nicht mehr ausreichen, daher sind wir aktuell bestrebt, neue Fachexperten zu rekrutieren. Wer Interesse an einer freiberuflichen Tätigkeit hat und die Voraussetzungen dafür erfüllt (technische Ausbildung ab Meisterniveau und 3 Jahre Berufserfahrung im Netzbetrieb) kann sich gerne bei unserem Auditorenmanagement bewerben.
Als weitere Änderung wurde nun auch das bisher schon umgesetzte Konzept der Trennung der Zertifizierung nach ITSK von anderen Zertifizierungen (z.B. ISO 9001, aber auch ISO/IEC 27001) explizit gefordert. Das gilt insbesondere bei abweichenden Geltungsbereichen der verschiedenen Zertifizierungen.
Im Konformitätsbewertungsprogramm selbst wird leider keine Übergangsfrist für dessen Anwendung genannt. Wir sind deshalb im Kontakt mit der DAkkS, um diese Frage zu klären und werden die betroffenen Kunden rechtzeitig über Änderungen im Auditpogramm informieren.
Ansprechperson
Haben Sie Fragen oder Hinweise zum Thema Informationssicherheit und IT-Sicherheitskataloge? Wenden Sie sich gerne an Markus Altenburg.