Egal ob Sie sich in den Branchen Energie, Informationstechnik/Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen oder Medien bewegen, Informationstechnik nimmt einen immer höheren Stellenwert ein. Neben möglichen negativen Auswirkungen auf Ihr Unternehmen wie z. B. Produktionsausfall nehmen auch die staatlichen Anforderungen an die Informationssicherheit in diesen Branchen stetig zu.
Wir unterstützen Sie bei der Umsetzung der Belange der Informationssicherheit in Ihrem Unternehmen unter Berücksichtigung der branchenspezifischen Herausforderungen und der behördlichen Vorgaben. Hierbei verfolgen wir einen ganzheitlichen Ansatz und begleiten Sie nach Wunsch von der Umsetzung spezifischer Einzelmaßnahmen über die Implementierung eines ISMS bis zur Zertifizierung und dem Nachweis gegenüber Behörden.
Informationssicherheitsmanagementsystem und Nachweis nach § 11 (1a) und (1b) EnWG
Energieerzeuger und Betreiber von Energieversorgungsnetzen sind nach § 11 Abs. 1a u. 1b EnWG verpflichtet, die Anforderungen des IT- Sicherheitskatalogs der Bundesnetzagentur umzusetzen. Hierzu gehören insbesondere die Einführung eines ISMS und die Vorlage eines entsprechenden Zertifikats.
Wir unterstützen Sie bei der Projektierung für die Einführung eines ISMS unter Berücksichtigung der energiewirtschaftsspezifischen Herausforderungen und den Belangen Ihres Unternehmens entlang des PDCA-Zyklus (Plan-Do-Check-Act). Dabei begleiten wir Sie mit unserer Expertise sowohl in der Ausgestaltung des Managementsystems, als auch in der Konzeption und Umsetzung risikoreduzierender Maßnahmen.
Informationssicherheit bei der Betriebsführung durch Dritte
Betreiber von Energieversorgungsnetzen sind nach § 11 Abs. 1a EnWG verpflichtet, die Anforderungen des IT- Sicherheitskatalogs der Bundesnetzagentur umzusetzen. Hierzu gehören insbesondere die Einführung eines ISMS und die Vorlage eines entsprechenden Zertifikats. Viele Betreiber von Energieversorgungsnetzen unterhalten keine eigene Leitstelle, um ihre eigenen Energieanlagen überwachen und / oder steuern zu können. Diese werden über die Leitstellen anderer Netzbetreiber mit betrieben.
Bislang war eine Zertifizierung nach IT-Sicherheitskatalog nicht notwendig, wenn der Dritte welcher Systeme, Anwendungen und Komponenten im Geltungsbereich des IT-Sicherheitskatalogs vollständig betrieben hat, eine Zertifizierung vorweisen konnte. Hier hat die Bundesnetzagentur bisher eine Kopie des Zertifikats eines Dritten als Nachweis akzeptiert.
Das bisher angewandte Verfahren stand im Widerspruch zu geltenden Zertifizierungsnormen. Mit ihrer Mitteilung bezüglich der Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte hat die Bundesnetzagentur klargestellt, dass mit einer Übergangsfrist bis zum 31.11.2022 auch der ursprüngliche Netzbetreiber ein Zertifikat vorweisen muss. Eine Ausnahme besteht zukünftig nur noch, wenn der Netzbetreiber als solches nicht zertifizierungsfähig ist.
Wir unterstützen Sie bei der Projektierung für die Einführung eines ISMS unter Berücksichtigung der energiewirtschaftsspezifischen Herausforderungen und den Belangen Ihres Unternehmens entlang des PDCA-Zyklus (Plan-Do-Check-Act). Dabei begleiten wir Sie mit unserer Expertise sowohl in der Ausgestaltung des Managementsystems, als auch in der Konzeption und Umsetzung risikoreduzierender Maßnahmen.
Nachweis nach § 8a BSIG
Gemäß § 8a BSIG müssen Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Hierüber muss gemäß § 8a Abs. 3 BSIG ein Nachweis gegenüber dem Bundesamt für Sicherheit in der Informationstechnik geführt werden.
Mit der Änderung der BSI-Kritisverordnung vom 18.08.2021 wurde der Schwellwert für die Einstufung von Energieerzeugungsanlagen als kritische Infrastruktur nach unten gesetzt – von 420 MW auf 104 MW (bei Präqualifizierung für Primärregelleistung 36 MW). Mehrere Anlagen werden in einem betriebstechnischen Zusammenhang als eine Anlage betrachtet. Damit können auch Betreiber von EEG-Anlagen schnell unter die KRITIS-Regelungen fallen. Das bedeutet: eine Verpflichtung zur Einführung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN EN ISO/IEC 27001 und abhängiger branchenspezifischer Normen.
Verpflichtende Nachweisprüfung von Angriffserkennungssystemen für Betreiber kritischer Infrastrukturen und Erzeugungsanlagen
Für Sie als Betreiber einer kritischen Infrastruktur, Energienetzes oder Erzeugungsanlagen ergibt sich auf Grundlage unterschiedlicher gesetzlicher Vorgaben eine verpflichtende Nachweisprüfung für den effektiven Einsatz eines Systems zur Angriffserkennung gegenüber dem BSI.
Wir unterstützen Sie bei der Projektierung für die Einführung und den Betrieb eines Angriffserkennungssystems unter Berücksichtigung der energiewirtschaftlichen Herausforderungen und den Belangen ihres Unternehmens. Hierbei beachten wir die spezifischen Anforderungen des BSI und unterstützen Sie bei der Nachweiserbringung nach § 8a (1a) BSIG und § 11 (1d) EnWG.