ESecurity Cert

IT-Sicherheit im Energiesektor - Update der Bundesnetzagentur

Die Un­terstützung durch In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT)-Sys­teme bringt viele Vor­teile, je­doch ge­hen mit der wach­sen­den Abhängig­keit von die­sen Sys­te­men auch Ri­si­ken für die Ver­sor­gungs­si­cher­heit ein­her. Die Bun­des­netz­agen­tur (BNetzA) hatte da­her den Auf­trag, im Be­neh­men mit dem Bun­des­amt für Si­cher­heit, in der In­for­ma­ti­ons­tech­nik (BSI) Min­dest­stan­dards für die IT-Si­cher­heit im En­er­gie­sek­tor zu er­stel­len und zu veröff­ent­li­chen.

Zum Schutz ge­gen Be­dro­hun­gen für Te­le­kom­mu­ni­ka­ti­ons- und elek­tro­ni­sche Da­ten­ver­ar­bei­tungs­sys­teme, die für einen si­che­ren Netz­be­trieb not­wen­dig sind, sind diese Min­dest­stan­dards in den so­ge­nann­ten „IT-Si­cher­heits­ka­ta­lo­gen“ (IT-Si­kat) ent­hal­ten:

  • IT-Si­cher­heits­ka­ta­log für Be­trei­ber von Strom- und Gas­net­zen (veröff­ent­licht im Au­gust 2015)
  • IT-Si­cher­heits­ka­ta­log für Be­trei­ber von En­er­gie­an­la­gen, die nach der BSI-Kri­tis­ver­ord­nung als Kri­ti­sche In­fra­struk­tur be­stimmt wur­den und an ein En­er­gie­ver­sor­gungs­netz an­ge­schlos­sen sind (veröff­ent­licht im De­zem­ber 2018)

Die Bun­des­netz­agen­tur (BNetzA) hat Ende März / An­fang April ei­nige we­sent­li­che neue Ände­run­gen be­kannt ge­ge­ben, wel­che ab so­fort um­ge­setzt wer­den müssen.

1. Mit­tei­lung zur Zer­ti­fi­zie­rung nach IT-Si­cher­heits­ka­ta­log § 11 Abs. 1a und 1b EnWG im Fall ei­ner Be­triebsführung durch Dritte

2. Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Ab­satz 1a En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006

3. Kon­for­mitäts­be­wer­tungs­pro­gramm zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß § 11 Ab­satz 1b En­er­gie­wirt­schafts­ge­setz auf der Grund­lage der ISO/IEC 27006

Mitteilung - Betriebsführung durch Dritte

Bis­her war es in zwei Umständen nicht not­wen­dig, eine Zer­ti­fi­zie­rung nach den IT-Si­cher­heits­ka­ta­lo­gen nach­zu­wei­sen. Dazu gehört auch die Be­triebsführung durch Dritte. Dies sind Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen, de­ren Sys­teme, An­wen­dun­gen und Kom­po­nen­ten im Gel­tungs­be­reich des IT-Si­cher­heits­ka­ta­logs lie­gen, wel­che aber vollständig von einem oder meh­re­ren Drit­ten be­trie­ben wer­den.

Nach­dem hin­sicht­lich die­ses Sach­ver­hal­tes ei­nige Zeit keine ein­deu­tige Hand­ha­bung vor­ge­ge­ben war, wurde nun fest­ge­legt, dass sich die Netz­be­trei­ber und die Be­trei­ber von als Kri­ti­sche In­fra­struk­tur klas­si­fi­zier­ten En­er­gie­an­la­gen selbst zu zer­ti­fi­zie­ren ha­ben. Beide ha­ben also je­weils ein ei­ge­nes Zer­ti­fi­kat vor­zu­wei­sen. Die Überg­angs­frist für die Um­set­zung beträgt zwei Jahre bis zum 31. März 2024.

Für be­trof­fene Un­ter­neh­men ist nun im ers­ten Schritt zu prüfen, ob die ent­spre­chen­den An­for­de­run­gen erfüllt wer­den und wel­che Maßnah­men ggf. ein­zu­lei­ten sind.

Anpassung Konformitätsbewertungsprogramme (KBP)

Die An­pas­sung der Kon­for­mitäts­be­wer­tungs­pro­gramme (KBS) (§11 Abs.1a vom 5. April 2022 und 1b vom 30. März 2022) las­sen sich zu­sam­men­fas­sen. Beide an­ge­pass­ten KBS ha­ben einen iden­ti­schen in­halt­li­chen Auf­bau:

  • All­ge­mei­nes
  • Grund­lage für das Kon­for­mitäts­be­wer­tungs­pro­gramm
  • An­for­de­run­gen an das Ak­kre­di­tie­rungs­ver­fah­ren
    • Ge­schäftst­stel­len­be­gut­ach­tung
    • Durchführung von Wit­ness-Au­dits
  • An­for­de­run­gen an die Zer­ti­fi­zie­rungs­stel­len
  • An­for­de­run­gen an die Au­di­to­rin­nen und Au­di­to­ren
  • Au­dit­um­fang
  • Überg­angs­re­ge­lung

Fol­gende we­sent­li­che Ände­run­gen brach­ten die KBS mit sich:

1.) Konkretisierung der Grundlagen (nur für den IT-Sikat gem. §11 Abs.1a EnWG)

Es er­folgte eine Kon­kre­ti­sie­rung hin­sicht­lich der Tren­nung der Au­di­tie­rung und Zer­ti­fi­zie­rung des je­wei­li­gen KBP’s von den an­de­ren Nor­men (wie die DIN EN ISO 9001), so­fern der Gel­tungs­be­reich maßgeb­lich ab­weicht. Bis­her war dies im IT-Si­kat 1a gar nicht auf­geführt. Im IT-Si­kat 1b wurde eine kom­bi­nierte Au­di­tie­rung bis­her ka­te­go­ri­sch aus­ge­schlos­sen.

Für in­ter­es­sierte Kun­den be­steht so­mit eher die Möglich­keit ei­nes kom­bi­nier­ten Au­dits (bspw. IT-Si­kat 1a und DIN EN ISO 9001).

2.) Anforderungen an das Akkreditierungsverfahren

Um rechtskräftig Zer­ti­fi­zie­run­gen nach den IT-Si­cher­heits­ka­ta­lo­gen durchführen zu dürfen, be­darf es ei­ner Ak­kre­di­tie­rung. Seit In­kraft­tre­ten der EU-Ver­ord­nung 765/2008 ist der ge­samte Pro­zess der Ak­kre­di­tie­rung in der ge­sam­ten EU eine ho­heit­li­che Auf­gabe, wel­che in al­len Mit­glieds­staa­ten durch eine na­tio­nale Ak­kre­di­tie­rungs­stelle wahr­ge­nom­men wer­den muss. In Deutsch­land ist dies die Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS). Mit ei­ner Ak­kre­di­tie­rung wird die Kom­pe­tenz von Kon­for­mitäts­be­wer­tungs­stel­len überprüft und be­ur­teilt. Eine er­folg­rei­che Ak­kre­di­tie­rung ist die Bestäti­gung von un­abhängi­ger drit­ter Seite, dass eine Kon­for­mitäts­be­wer­tungs­stelle die (fach­li­che) Kom­pe­tenz zur Durchführung be­stimm­ter Kon­for­mitäts­be­wer­tungstätig­kei­ten be­sitzt.

Der Pro­zess und die An­for­de­run­gen an das Ak­kre­di­tie­rungs­ver­fah­ren, wel­che be­reits im KBP des IT-Si­kat 1b auf­geführt wa­ren, fin­den sich nun auch im KBP des IT-Si­kat 1a. Am lau­fen­den Pro­zess er­ga­ben sich keine Ände­run­gen.

Die Ausführun­gen ha­ben für be­ste­hende oder neue Kun­den keine Aus­wir­kun­gen, da sich am Pro­zess der Ak­kre­di­tie­rung keine Ände­run­gen er­ge­ben ha­ben.

3.) Anpassung der Anforderungen an die Zertifizierungsstellen

We­sent­li­che Ände­rung stellt die leichte An­pas­sung des Zer­ti­fi­kats­mus­ters dar, das durch die Bun­des­netz­agen­tur vor­ge­ge­ben wird. Für be­ste­hende Zer­ti­fi­kate hat dies keine Aus­wir­kun­gen.

Darüber hin­aus er­ge­ben sich Kon­kre­ti­sie­run­gen hin­sicht­lich des jähr­li­chen Er­fah­rungs­aus­tauschs so­wie eine Ver­pflich­tung zur Be­ru­fung ei­ner Fa­ch­ex­per­tin / ei­nes Fa­ch­ex­per­ten für die Ka­te­go­rie Strom und Gas oder je­weils ei­ner Fa­ch­ex­per­tin / ei­nes Fa­ch­ex­per­ten für die je­wei­lige Ka­te­go­rie.

Auch dies hat für be­ste­hende und zukünf­tige Kun­den keine Aus­wir­kun­gen.

4.) Erhöhung der Anforderungen an die Auditorinnen und Auditoren

In den Si­kats fin­den sich nun Kon­kre­ti­sie­run­gen zum ak­tu­el­len Schu­lungs­an­ge­bot. Gab es bis­her zwar kom­bi­nierte Schu­lun­gen für den Si­kat 1a und 1b, so wur­den diese sei­tens der DAkkS nicht ak­zep­tiert, da zwar die Schu­lun­gen durch die BNetzA frei­ge­ge­ben wur­den, aber die Schu­lun­gen nicht den Vor­ga­ben des je­wei­li­gen KBP ent­spra­chen.

Zen­trale Ände­rung stellt die Hin­zu­nahme ei­nes Fa­ch­ex­per­ten dar. Bis­her galt: Die Un­terstützung durch einen Fa­ch­ex­per­ten kann ent­fal­len, so­fern ein Mit­glied des Au­dit-Teams min­des­tens fünf­mal zu­sam­men mit einem Fa­ch­ex­per­ten im Rah­men von Au­dits zur Zer­ti­fi­zie­rung des IT-Si­cher­heits­ka­ta­logs gemäß § 11 Ab­satz 1a EnWG die Ri­si­ko­ein­schätzung und den Scope des ISMS ei­nes Netz­be­trei­bers be­ur­teilt hat. Erfüllt ein Mit­glied des Au­dit-Teams selbst die An­for­de­run­gen an die Qua­li­fi­ka­tion des Fa­ch­ex­per­ten, so ist es dem Fa­ch­ex­per­ten gleich­ge­stellt. Dies wurde in den ak­tu­el­len Fas­sun­gen ge­stri­chen, was dafür sor­gen wird, dass an zukünf­ti­gen Au­dits ver­mehrt Fa­ch­ex­per­ten teil­neh­men müssen. So kann es gleich­zei­tig auch zu ei­ner Erhöhung der Kos­ten des Au­dits führen.

5.) Anpassungen an den Auditumfang

Im Rah­men des Au­dit­um­fangs er­folgt die Klar­stel­lung, dass je­der Stand­ort an­hand der Vor­ga­ben aus Ta­belle B1 der ISO/IEC 27006 grundsätz­lich ein­zeln kal­ku­liert wer­den muss, um eine Aus­gangsgröße der zu er­brin­gen­den Au­dit­zeit zu er­mit­teln. Dies trifft ins­be­son­dere bei Mehr­stand­ort-Zer­ti­fi­zie­run­gen zu.

6.) Übergangsregelung - Ausblick auf andere Normen?

Die ISO/IEC 27002 wurde in der ak­tu­el­len in 2022 veröff­ent­lich­ten Ver­sion um­fang­reich über­ar­bei­tet. Dies führt auch dazu, dass die ISO/IEC 27001 an­ge­passt wer­den muss, da in den be­ste­hen­den ISMS die Pro­zesse und Do­ku­men­ta­tio­nen ent­spre­chend auch an­ge­passt wer­den müssen. Un­klar war, bis wann dies zu er­fol­gen hat. Im KBP ist dies nun ein­deu­tig de­fi­niert und ge­re­gelt.

„Au­dits zur Erst- oder Re­zer­ti­fi­zie­rung und Über­wa­chungs­au­dits im Rah­men des IT-Si­cher­heits­ka­ta­logs gemäß § 11 Ab­satz 1a EnWG ha­ben spätes­tens nach Ab­lauf von zwei Jah­ren seit de­ren Veröff­ent­li­chung ver­pflich­tend auf Ba­sis der ak­tua­li­sier­ten Fas­sun­gen zu er­fol­gen. Bei Au­dits zur Erst- oder Re­zer­ti­fi­zie­rung und Über­wa­chungs­au­dits können bis zu die­sem Zeit­punkt da­her al­ter­na­tiv auch die zu­vor gel­ten­den Fas­sun­gen berück­sich­tigt wer­den.“

Zusätz­lich gilt für die IT-Si­kats:

„Spe­zi­ell für die be­vor­ste­hende Über­ar­bei­tung der DIN EN ISO/IEC 27001 und DIN EN ISO/IEC 27002 zum Jah­res­wech­sel 2021/2022 ist zusätz­lich zur Überg­angs­re­ge­lung zu be­ach­ten, dass eine kom­pa­ti­ble Ver­sion der DIN EN ISO/IEC 27019 ver­mut­lich erst im Jahr 2024/2025 er­schei­nen wird. Aus die­sem Grund wurde ein Map­ping (Si­kat 1a und Si­kat 1b) zwi­schen den ak­tua­li­sier­ten ISO-Nor­men 27001 & 27002 so­wie der 27019:2020 durch die Bun­des­netz­agen­tur pu­bli­ziert, das bis zur Veröff­ent­li­chung der kom­pa­ti­blen Ver­sion der DIN EN ISO/IEC 27019 im Jahr 2024/2025 ge­nutzt wer­den muss.“

Dies be­deu­tet, dass man sich ab 2024 zu­min­dest be­reits auf die ak­tu­elle 27002 aus­rich­ten sollte. Es ist da­von aus­zu­ge­hen, da das KBP für die Si­kats u. a. un­ter Mit­wir­kung der DAkkS er­stellt wur­den, dass diese Überg­angs­frist auch für Zer­ti­fi­zie­run­gen nach der ori­ginären DIN EN ISO/IEC 27001:2017 an­ge­wen­det wer­den kann.

Wir hal­ten Sie auf dem Lau­fen­den.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | April 2022

 

Gerne beant­wor­ten wir Ihre Fra­gen