Zertifizierungspflicht nach ITSK für Betreiber, die einen Betriebsführer einsetzen.
Mit der Mitteilung vom 29.03.2022 hat die BNetzA klargestellt, wie die ursprüngliche Mitteilung vom 19.01.2021 richtig zu interpretieren ist. Die Zertifizierungspflicht umfasst beide: Betreiber und Betriebsführer.
Auch Betreiber, die die Betriebsführung durch Dritte ausführen lassen, müssen nach IT-Sicherheitskatalog § 11 Abs. 1a und 1b EnWG zertifiziert sein. Dies stellt die BNetzA in ihrer Mitteilung vom 29.03.2022 ausführlich klar.
Bisher war die Zertifizierung eines Netzbetreibers nach ITSK in zwei Fällen nicht nachzuweisen:
- im Fall der Nicht-Anwendbarkeit und
- im Fall der „Betriebsführung durch Dritte“.
Fall 2 entfällt künftig. Auch Betreiber in der Konstellation „Betriebsführung durch Dritte“ müssen
ab dem 01.04.2024
der BNetzA ein Zertifikat vorlegen. Dieses Vorgehen wird im Abschnitt 2 der Mitteilung ausführlich mit den Pflichten des Betreibers und den bisher begrenzen Möglichkeiten zur Durchsetzung der Zertifizierungsstelle begründet.
Im darauffolgenden Abschnitt werden dann Beispiele für Betriebsführungsstrukturen erörtert, wobei auch auf den Fall eingegangen wird, dass der Betreiber einen konzerneigenen Betriebsführer einsetzt. In diesem Fall kann der Betriebsführer als Standort benannt werden. Es existiert dann nur ein ISMS: das des Betreibers. In einer Fußnote werden auch Risiken benannt, die gegenseitig von Betreiber und Betriebsführer zu identifizieren sind.
Betreiber, die bisher von der Zertifizierungspflicht befreit waren, müssen nun ebenfalls ein ISMS aufbauen und zertifizieren lassen Dabei sollte beachtet werden, dass Audits zu diesem Zeitpunkt mit sehr hoher Wahrscheinlichkeit bereits nach der neuen ISO/IEC 27001:2022 durchzuführen sind, die auf der ISO/IEC 27002:2022 fußt.
Ansprechperson
Haben Sie Fragen oder Hinweise zum Thema Informationssicherheits-Managementsysteme? Wenden Sie sich gerne an Bozena Jakubowska.