ESecurity Cert

Zertifizierung des ISMS nach dem IT-Sicherheitskatalog gem. § 11 ABS. 1a ENWG

Der IT-Si­cher­heits­ka­ta­log gem. § 11 Abs. 1a EnWG stellt spe­zi­fi­sche An­for­de­run­gen in Be­zug auf die In­for­ma­ti­ons­si­cher­heit an Netz­be­trei­ber, bspw. Stadt­werke. Mit der Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log der Bun­des­netz­agen­tur gemäß § 11 Ab­satz 1a En­er­gie­wirt­schafts­ge­setz (EnWG) weist die geprüfte Or­ga­ni­sa­tion den Stand und die Qua­lität des ein­ge­rich­te­ten In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (ISMS) durch eine un­abhängige Prüfung für den si­che­ren Netz­be­trieb nach.

Der IT-Si­cher­heits­ka­ta­log for­dert in dem Zu­sam­men­hang ein ISMS, wel­ches:

  • den An­for­de­run­gen der DIN EN ISO/IEC 27019:2020-08,
  • den An­for­de­run­gen der DIN EN ISO/IEC TR 27019:2015-03,
  • wei­te­ren An­for­de­run­gen aus dem „IT-Si­cher­heits­ka­ta­log gem. § 11 Ab­satz 1a EnWG“,
  • ergänzen­den An­for­de­run­gen aus dem „Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Ab­satz 1a En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006“
    genügt.

Das ISMS wird durch die ESe­cu­rity-CERT GmbH im Hin­blick auf die Iden­ti­fi­ka­tion, Ana­lyse und Ab­lei­tung von Maßnah­men zur Steue­rung der In­for­ma­ti­ons­si­cher­heits­ri­si­ken geprüft.

Die Norm DIN EN ISO/IEC 27001:2017-06 hat sich in­ter­na­tio­nal als Stan­dard für In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men und Behörden eta­bliert. Das ISMS ist als ein ganz­heit­li­ches Sys­tem zur Ab­si­che­rung der In­for­ma­ti­ons­si­cher­heit in der Or­ga­ni­sa­tion zu se­hen. Es wird hier­bei nicht nur auf die IT-Si­cher­heit ab­ge­stellt.

Mit der Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log eröff­net sich die Möglich­keit Drit­ten, (Kun­den, Lie­fe­ran­ten, Mit­ar­bei­tern, Behörden, etc.) trans­pa­rent nach­zu­wei­sen, dass ein an­ge­mes­se­nes Si­cher­heits­ni­veau er­reicht wurde und die­ses kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt wird.

DER ZERTIFIZIERUNGSZYKLUS (3 JAHRE)

Jedes Zertifizierungsverfahren besteht aus den vier Phasen:

  • Erst­zer­ti­fi­zie­rung
  • Über­wa­chungs­au­dit (10 Mo­nate nach Ab­schluss der Stage-2 Prüfung bei Erst­zer­ti­fi­zie­rung)
  • Über­wa­chungs­au­dit (12 Mo­nate nach dem 1. Über­wa­chungs­au­dit)
  • Re­zer­ti­fi­zie­rung (3 Jahre nach Erst­zer­ti­fi­zie­rung)

Der Zer­ti­fi­zie­rungs­zy­klus ist auf­grund der Gültig­keit der Zer­ti­fi­kate auf 3 Jahre aus­ge­legt. Zu Be­ginn ist ein for­ma­ler An­trag zur Zer­ti­fi­zie­rung durch die zu prüfende Or­ga­ni­sa­tion an uns zu stel­len. Hierzu stel­len wir Ih­nen ein An­trags­for­mu­lar zur Verfügung. Selbst­verständ­lich ste­hen wir Ih­nen hier­bei auch gerne im persönli­chen Ge­spräch zur Verfügung. 

Im An­schluss er­folgt dann das Zer­ti­fi­zie­rungs­au­dit, das wir Ih­nen im Fol­gen­den un­ter Erst-/Re­zer­ti­fi­zie­rung dar­stel­len. Im An­schluss an das Zer­ti­fi­zie­rungs­au­dit er­folgt dann die Ent­schei­dung über die Zer­ti­fi­zie­rung. 

Durch das jähr­li­che Über­wa­chungs­au­dit, das im Jahr 2 und 3 er­folgt, wird si­cher­ge­stellt, dass das ISMS während der ge­sam­ten Gültig­keits­dauer des Zer­ti­fi­ka­tes auf­recht­er­hal­ten wird. Der Prüfungs­um­fang ist deut­lich ge­rin­ger an­ge­setzt, als die Au­dit­zeit bei der Erst­zer­ti­fi­zie­rung.

Der Un­ter­schied zwi­schen der Erst- und Re­zer­ti­fi­zie­rung ist me­tho­di­sch ge­ring, je­doch ist auf­grund der be­reits be­ste­hen­den Zer­ti­fi­zie­rung der Zeit­be­darf für das Au­dit in der Re­zer­ti­fi­zie­rung i.d.R. nicht so um­fas­send wie bei der Erst­zer­ti­fi­zie­rung. 

Die ESe­cu­rity-CERT GmbH setzt da­bei auf ein mehr­stu­fi­ges Ver­fah­ren. Im ers­ten Schritt prüft der (Lead) Au­di­tor die Kon­for­mität ei­nes ISMS ge­gen das Re­gel­werk und fer­tigt einen Re­port an. Die­ser wird in ei­ner wei­te­ren Stufe durch die ESe­cu­rity-CERT GmbH geprüft, um eine Ver­gleich­bar­keit zwi­schen den ein­zel­nen Au­dits si­cher­stel­len zu können.

Erst-/Rezertifizierung

Stage 1-Prüfung 

(Aufbauprüfung)
  • Grund­le­gende Be­ur­tei­lung und Würdi­gung des Gel­tungs­be­rei­che
  • Durch­sicht und Be­wer­tung des Ma­nage­ment­hand­bu­ches so­wie der er­wei­ter­ten Sys­tem­do­ku­men­ta­tio­nen
  • Be­ur­tei­lung der grundsätz­li­chen An­for­de­rungs­erfüllung
  • Er­mitt­lung der grund­le­gen­den Prüfungs­be­reit­schaft im Hin­blick auf den nächs­ten Schritt (Funk­ti­on­sprüfung) und ggf. Auf­zei­gen von Hand­lungs­be­darfe
  • Ab­lei­tung des in­di­vi­du­el­len Au­dit­plans für die Stage 2-Prüfung

Stage 2-Prüfung 

(Funktionsprüfung)
  • Pro­zess­ori­en­tierte Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems auf An­for­de­rungs­erfüllung un­ter Berück­sich­ti­gung der ent­spre­chen­den In­fra­struk­tur und Ap­pli­ka­ti­ons­ob­jekte
  • Prüfung er­folgt vor Ort an den vor­ge­se­he­nen Stand­or­ten
  • Er­stel­lung ei­nes Au­dit­be­rich­tes

Zertifikatsverwaltung 

(Laufzeit von drei Jahren)
  • Zer­ti­fi­ka­ter­stel­lung
  • Nut­zung des Zer­ti­fi­ka­tes für ei­gene Wer­be­zwe­cke
  • Veröff­ent­li­chung des Zer­ti­fi­ka­tes im In­ter­net
  • Ggf. Aus­stel­lung von Zer­ti­fi­kats­ko­pien [op­tio­nal)

Das Zertifizierungsaudit lässt sich folglich wie folgt darstellen:


ERSTES UND ZWEITES ÜBERWACHUNGSAUDIT

Das er­ste und zweite Über­wa­chungs­au­dit fin­det in den bei­den Fol­ge­jah­ren nach der Erst-/Re­zer­ti­fi­zie­rung statt.

  • Das Über­wa­chungs­au­dit wird auf den Kennt­nis­sen aus dem Zer­ti­fi­zie­rungs­au­dit auf­ge­baut und es wird im We­sent­li­chen die Wei­ter­ent­wick­lung des Ma­nage­ment­sys­tems be­ur­teilt.
  • Es er­gibt sich so­mit der im Rah­men der DIN EN ISO/IEC 27001:2017-06 i.V.m. der ISO/IEC 27006:2015-10 vor­ge­se­hene re­du­zierte zeit­li­che Prüfungs­um­fang. Für Au­dits gemäß IT-Si­cher­heits­ka­ta­log der Bun­des­netz­agen­tur gemäß § 11 Ab­satz 1a EnWG gel­ten zusätz­lich die An­for­de­run­gen der ISO/IEC 27006:2015-10 so­wie der DIN EN ISO/IEC 17021-1:2015-11 u.a. bezüglich der Au­dit­dauer so­wie der ent­spre­chen­den DAkkS-Re­geln, ergänzt um den „Au­dit­um­fang“ des „Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Ab­satz 1a En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006“ der Bun­des­netz­agen­tur.

Die wesentlichen Schritte sind:

  • Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems
  • Er­stel­lung des Au­dit­be­rich­tes