Zertifizierung des ISMS nach dem IT-sicherheitskatalog gem. §11 Abs. 1a EnWG

Der IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG stellt spezifische Anforderungen in Bezug auf die Informationssicherheit an Netzbetreiber, bspw. Stadtwerke. Mit der Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur gemäß §11 Absatz 1a Energiewirtschaftsgesetz (EnWG) weist die geprüfte Organisation den Stand und die Qualität des eingerichteten Informations-sicherheitsmanagements (ISMS) durch eine unabhängige Prüfung für den sicheren Netzbetrieb nach.

 

Der IT-Sicherheitskatalog fordert in dem Zusammenhang ein ISMS, welches:

  • Den Anforderungen der DIN EN ISO/IEC 27001:2017-06,
  • Den Anforderungen der DIN EN ISO/IEC TR 27019:2015-03,
  • Weiteren Anforderungen aus dem „IT-Sicherheitskatalog gem. § 11 Absatz 1a EnWG“,
  • Ergänzenden Anforderungen aus dem „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“

genügt.

 

Das ISMS wird durch die ESecurity-CERT GmbH im Hinblick auf die Identifikation, Analyse und Ableitung von Maßnahmen zur Steuerung der Informationssicherheitsrisiken geprüft.

 

Die Norm DIN EN ISO/IEC 27001:2017-06hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Das ISMS ist als ein ganzheitliches System zur Absicherung der Informationssicherheit in der Organisation zu sehen. Es wird hierbei nicht nur auf die IT-Sicherheit abgestellt.

 

Mit der Zertifizierung nach dem IT-Sicherheitskatalog eröffnet sich die Möglichkeit Dritten, (Kunden, Lieferanten, Mitarbeitern, Behörden, etc.) transparent nachzuweisen, dass ein angemessenes Sicherheitsniveau erreicht wurde und dieses kontinuierlich weiterentwickelt wird.


Der Zertifizierungszyklus (3 Jahre)

Jedes Zertifizierungsverfahren besteht aus den vier Phasen:

  • Erstzertifizierung
  • 1. Überwachungsaudit (10 Monate nach Abschluss der Stage-2 Prüfung bei Erstzertifizierung)
  • 2. Überwachungsaudit (12 Monate nach dem 1. Überwachungsaudit)
  • Rezertifizierung (3 Jahre nach Erstzertifizierung)

Der Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf 3 Jahre ausgelegt. Zu Beginn ist ein formaler Antrag zur Zertifizierung durch die zu prüfende Organisation an uns zu stellen. Hierzu stellen wir Ihnen ein Antragsformular zur Verfügung. Selbstverständlich stehen wir Ihnen hierbei, auch gerne im persönlichen Gespräch, zur Verfügung.

 

Im Anschluss erfolgt das Zertifizierungsaudit, das wir Ihnen im Folgenden unter Erst-/Rezertifizierung darstellen. Im Anschluss an das Zertifizierungsaudit erfolgt dann die Entscheidung über die Zertifizierung.

 

Durch das jährliche Überwachungsaudit, das im Jahr 2 und 3 erfolgt, wird sichergestellt, dass das ISMS während der gesamten Gültigkeitsdauer des Zertifikates aufrechterhalten wird. Der Prüfungsumfang ist hierbei deutlich geringer als der im Rahmen des Zertifizierungsaudits angesetzten.

 

Der Unterschied zwischen der Erst- und Rezertifizierung ist methodisch gering, aber aufgrund der bestehenden Zertifizierung ist der Zeitbedarf für das Audit in der Rezertifizierung i.d.R. nicht so umfassend wie bei der Erstzertifizierung.

 

Die ESecurity-CERT GmbH  setzt insgesamt auf ein mehrstufiges Verfahren. Im ersten Schritt prüft der (Lead) Auditor die Konformität des ISMS gegen das entsprechende Regelwerk und fertigt einen Report an. Dieser wird in einer weiteren Stufe durch die ESecurity-CERT GmbH geprüft, um eine Vergleichbarkeit zwischen den einzelnen Audits sicherstellen zu können.

 

Erst-/Rezertifizierung

Stage 1-Prüfung (Aufbauprüfung)

  • Grundlegende Beurteilung und Würdigung des Geltungsbereiches
  • Durchsicht und Bewertung des Managementhandbuches sowie der erweiterten Systemdokumentationen
  • Beurteilung der grundsätzlichen Anforderungserfüllung
  • Ermittlung der grundlegenden Prüfungsbereitschaft im Hinblick auf den nächsten Schritt (Funktionsprüfung) und ggf. Aufzeigen von Handlungsbedarfe
  • Ableitung des individuellen Auditplans für die Stage 2-Prüfung

 

 Stage 2-Prüfung (Funktionsprüfung)

  • Prozessorientierte Prüfung und Beurteilung des Managementsystems auf Anforderungserfüllung unter Berücksichtigung der entsprechenden Infrastruktur und Applikationsobjekte
  • Prüfung erfolgt vor Ort an den vorgesehenen Standorten
  • Erstellung eines Auditberichtes

 

Zertifikatsverwaltung (Laufzeit von 3 Jahren)

  • Zertifikaterstellung
  • Nutzung des Zertifikates für eigene Werbezwecke
  • Veröffentlichung des Zertifikates im Internet
  • Ggf. Ausstellung von Zertifikatskopien [optional)

Das Zertifizierungsaudit lässt sich folglich wie folgt darstellen:

Erstes und zweites Überwachungsaudit

Das erste und zweite Überwachungsaudit findet in den beiden Folgejahren nach der Erst-/Rezertifizierung statt.

  • Das Überwachungsaudit wird auf den Kenntnissen aus dem Zertifizierungsaudit aufgebaut und es wird im Wesentlichen die Weiterentwicklung des Managementsystems beurteilt.
  • Es ergibt sich somit der im Rahmen der DIN EN ISO/IEC 27001:2017-06 i.V.m. der ISO/IEC 27006:2015-10 vorgesehene reduzierte zeitliche Prüfungsumfang. Für Audits gemäß IT-Sicherheitskatalog der Bundesnetzagentur gemäß §11 Absatz1a EnWG gelten zusätzlich die Anforderungen der ISO/IEC 27006:2015-10 sowie der DIN EN ISO/IEC 17021-1:2015-11 u.a. bezüglich der Auditdauer sowie der entsprechenden DAkkS-Regeln, ergänzt um den „Auditumfang“ des „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß §11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ der Bundesnetzagentur.
  • Die wesentlichen Schritte sind:
    • Prüfung und Beurteilung des Managementsystems
    • Erstellung des Auditberichtes

Akkreditierung

Die ESecurity-CERT GmbH ist nach der abgeschlossenen Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) berechtigt, international anerkannte Zertifikate für DIN EN ISO/IEC 27001:2017-06 konforme Informationssicherheitsmanagementsysteme für die Sparten Gas und Strom für Netzbetreiber, die den Anforderungen des IT-Sicherheitskatalogs und des zugehörigen Konformitätsbewertungsprogramm entsprechen, auszustellen.