Transition zur ISO/IEC 27019:2024 – Rechtzeitig umstellen!
Mit einer Frist von zwei Jahren nach Veröffentlichung der neuen ISO/IEC 27019:2024 müssen Audits nach dem IT-Sicherheitskatalog auf Grundlage der neuen Fassung erfolgen.
Nach dem IT-Sicherheitskatalog sind zertifizierte Unternehmen gefordert, spätestens bis zum 31.10.2026 die Änderungen in Bezug zur neuen ISO-Norm zu analysieren, Auswirkungen bezogen auf ihr Managementsystem zu bewerten und dieses entsprechend umzustellen, insbesondere im Rahmen der Dokumentation.
Es gibt auch bereits einen Entwurf für die deutsche Ausgabe als DIN EN ISO/IEC 27019:2025. Daher ist zu erwarten, dass es nicht wie 2017 drei Jahre dauert zwischen dem Erscheinen des englischen Originals ISO/IEC und der DIN-Norm.
Was sich wirklich verändert hat
Ein Vergleich beider Normversionen zeigt, dass der Hauptunterschied in der Übernahme der Taxonomie der ISO/IEC 27002:2022 liegt, als Resultat der voranschreitenden Harmonisierung zwischen den Normen. Das bisherige Mapping zwischen der ISO/IEC 27002:2022 und der DIN EN ISO/IEC 27019:2020 wird damit obsolet.
Zudem orientiert sich der Aufbau der ENR an dem der ISO/IEC 27002:2022. Die Controls sind nun zum Teil in einer komprimierteren Version aufgeführt. Die ausführlichere ursprüngliche Form folgt als Guidance. Auch wird nun immer der Zweck der Maßnahme gesondert aufgeführt (Control->Purpose->Guidance).
Eine weitere wesentliche Änderung ist die Anzahl der Energy Controls (ENR), also der Maßnahmen, die nicht in der ISO/IEC 27002:2022 enthalten sind. Diese belief sich 2020 noch auf 14 Controls und wird in der neuen ISO/IEC 27019:2024 auf 12 ENR reduziert. Die Abschnitte 11.3.1 ENR „Equipment sited on the premises of other energy utility organizations“ und 11.3.2 ENR „Equipment sited on customer’s premises” sind in der neuen Version keine ENR-Controls mehr. Die Inhalte beider finden sich aber weiterhin mit zusätzlichen Anleitungen in den Abschnitten 7.9 „Security of assets off-premises” sowie 5.39 wieder.
In sechs der Maßnahmen, die zu den Maßnahmen der ISO/IEC 27002:2022 ergänzende Hinweise für die Energieindustrie enthalten, wurden Satzteile bzw. Abschnitte entfernt, da sich diese zum Großteil bereits in anderen Maßnahmen der ISO/IEC 27002:2022 wiederfinden (siehe Tabelle).
| DIN EN ISO/IEC 27019:2020 | ISO/IEC 27002:2022 |
| 12.1.4: Sicherung von Entwicklungs- und Testsystemen | in 8.31 beschrieben |
| 12.5.1: Aufbewahrung von Software, Parametersätzen und Konfigurationsdaten | entfallen (offenbar nicht mehr zeitgemäß) |
| 13.1.1: Sicherung von Funk und anderen drahtlosen Kommunikationstechnologien | in 8.20 beschrieben |
| 13.1.3: Unterteilung der Netzwerkinfrastruktur in Zonen mit unterschiedlichem Schutzbedarf | in 8.22 beschrieben |
| 6.2.2: Multi factor authentication | in 8.5 beschrieben |
| 16.1.5: Kommunikation mit anderen betroffenen Instanzen | in 5.26 beschrieben |
Des Weiteren enthält die neue 5.19 (ehemals Bestandteil des Umsetzungsleitfadens der 6.1.6 ENR) einen neuen Verweis zu den in 6.7 aufgeführten Sicherheitsmaßnahmen bei Fernzugriff auf Prozesssteuerungssysteme durch Mitarbeitende, die auch bei Fernzugriff externer Lieferanten Anwendung finden sollen.
Sprachlich wurden ebenfalls kleinere Anpassungen vorgenommen. Es kam zu folgenden Änderungen:
- external parties --> suppliers
- mobile --> user endpoint
- assets --> information and other associated assets
- sector --> industry
Im Vergleich zur DIN EN ISO/IEC 27019:2020 gibt es also keinen großen Änderungsaufwand für die betroffenen Betreiber.
Anders sieht es allerdings aus, wenn ein Vergleich zur Kombination aus neuer ISO/IEC 27001:2022 und alter DIN EN ISO/IEC 27019:2020 in Verbindung mit der Mapping-Tabelle der BNetzA gezogen wird. Danach gab es nur noch sechs ENR, alle anderen in der alten 27019 aufgeführten ENR wurden Controls der neuen 27001 zugeordnet – eine gesonderte Aufnahme in die Anwendbarkeitserklärung (SoA) war also nicht notwendig. Zusammengefasst haben Betreiber mit einer Zertifizierung nach IT-Sicherheitskatalog also folgenden Änderungsbedarf:
|
von DIN EN ISO/IEC 27001:2017 i.V.m. |
von ISO/IEC 27001:2022 i.V.m. |
| die ENRs 11.3.1 und 11.3.2 können aus der SoA entfernt werden | |
| Analyse der (geringfügigen) Änderungen der neuen 27019 und Anpassung der eingeführten Maßnahmen | |
| Analyse der neuen Anforderungen der ISO/IEC 27001:2022 und Umstellung der SoA auf die neue Struktur |
Analyse der neuen Anforderungen der ISO/IEC 27001:2022 und Umstellung der SoA auf die neue Struktur 8 ENR (die in der alten 27019 vorhanden waren) müssen wieder in die SoA aufgenommen werden: 5.38 ENR (ex 6.1.6) |
Die Umstellung im Zertifizierungsprozess
Für unsere Kunden stellen wir weiterhin entsprechend angepasste Checklisten für die ISO/IEC 27002:2022 mit Verweisen zu ergänzenden Anleitungen der ISO/IEC 27019:2024 sowie eine Checkliste der weiterführenden Energy Controls (ENR) der ISO/IEC 27019:2024 einschließlich der Anforderungen aus dem IT-Sicherheitskatalog zur Verfügung.
Wie bereits bei der Transition in die ISO/IEC 27002:2022 kann die Umstellung im Rahmen eines Re-Zertifizierungs- oder Überwachungsaudits geprüft werden. Ein Mehraufwand ist hierbei jedoch nicht erforderlich. Des Weiteren kann die Umstellung auch im Rahmen eines eigenständigen Transitionsaudits geprüft werden. Gern erstellen wir Ihnen hierfür ein gesondertes Angebot.
In der Regel ist dabei eine Anpassung der Zertifikate nach IT-Sicherheitskatalog erforderlich, da sich der Inhalt der Anwendbarkeitserklärung bzgl. der eingeführten Controls ändert.
Sollten Sie an der Zertifizierung nach IT-Sicherheitskatalog durch die GUTcert interessiert sein, uns in der Funktion als Fachexperte unterstützen wollen oder Fragen oder Hinweise zu diesem Thema haben, sprechen Sie gerne Nicole Petzke an.