ESecurity Cert

Umstellung ISO/IEC 27019:2017

Am 1. No­vem­ber 2017 wurde die über­ar­bei­tete ISO/IEC 27019:2017 „In­for­ma­ti­ons­tech­nik – Si­cher­heits­ver­fah­ren – In­for­ma­ti­ons­si­cher­heitsmaßnah­men für die En­er­gie­ver­sor­gung“ veröff­ent­licht. Alle Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen in Deutsch­land müssen sich seit 2017 ei­ner Zer­ti­fi­zie­rung nach dem IT-Si­cher­heits­ka­ta­log (nach­fol­gend IT-Si­Kat) nach § 11 Abs. 1a EnWG der Bun­des­netz­agen­tur (BNetzA) un­ter­zie­hen.

Die An­for­de­run­gen, die da­bei zu erfüllen sind, sind de­tail­liert im IT-Si­Kat auf­geführt. Dazu gehört auch die Um­set­zung der Nor­men DIN EN ISO/IEC 27001:2017-06 (nach­fol­gend ISO/IEC 27001) und DIN EN ISO/IEC 27019:2020-08 (nach­fol­gend ISO/IEC 27019) in der je­weils gülti­gen Fas­sung. Wie bei je­der Norm gibt es auch hier Überg­angs­fris­ten, die ein­zu­hal­ten sind.

Bis zum 31.12.2020 konnte al­ter­na­tiv für Erst-, Über­wa­chungs- und Re­zer­ti­fi­zie­rungs­au­dits noch die DIN ISO/IEC TR 27019:2015-3 berück­sich­tigt wer­den. Ab dem 1.1.2021 ist je­doch die An­wen­dung der neuen DIN EN ISO/IEC 27019:2020-08 bzw. der ent­spre­chen­den DIN-Norm ver­pflich­tend.

Wei­ter­hin wird durch die BNetzA spe­zi­fi­ziert, dass der Fa­ch­ex­perte, so­fern not­wen­dig, mit dem Au­dit­team vor Ort an­we­send sein muss. Als ESe­cu­rity-CERT stel­len wir si­cher, dass der Fa­ch­ex­perte über die Kom­pe­ten­zen ent­lang dem Kon­for­mitäts­be­wer­tungs­pro­gramm verfügt.

Was ändert sich mit der ISO/IEC 27019:2017?

Durch die neue ISO/IEC 27019 wird eine Her­aus­for­de­rung be­sei­tigt, wel­che die Um­set­zung der ergänzen­den An­for­de­run­gen in der Ver­gan­gen­heit et­was er­schwert hatte. Die DIN ISO/IEC TR 27019:2015 war gemäß der al­ten DIN EN ISO/IEC 27002:2005 auf­ge­baut. Da sich die Struk­tur der Maßnah­men in der ak­tu­el­len Ver­sion je­doch geändert hat, mus­ste man mit Hilfe ei­ner Map­ping-Ta­belle die en­er­gie­spe­zi­fi­schen Ergänzun­gen der ISO/IEC 27019 zu­ord­nen. Ein ein­heit­li­ches Vor­ge­hen konnte nicht si­cher­ge­stellt wer­den und ver­ur­sachte häufig Dis­kus­sio­nen mit den Au­di­to­ren.

Bei der ak­tu­el­len ISO/IEC 27019 ist eine Map­ping-Ta­belle nicht mehr re­le­vant. Die Num­me­rie­rung der Con­trols (A.5-A.18) sind nun kom­pa­ti­bel zu den Con­trols aus dem An­nex A der ISO/IEC 27001 und der DIN EN ISO/IEC 27002:2017-06 (nach­fol­gend ISO/IEC 27002). Dies er­leich­tert zusätz­lich die Dar­stel­lung des State­ment of Ap­plica­bi­lity (SoA).

Neu hinzu kom­men die so­ge­nann­ten ENR-Kon­trol­len. ENR steht in die­sem Fall für „En­ergy“.
Dies be­trifft ins­ge­samt 39 Kon­trol­len, wo­bei nur bei 13 Ände­run­gen vor­ge­nom­men wur­den, zu wel­chen die so­ge­nann­ten Um­set­zungs­an­lei­tun­gen er­wei­tert wur­den und im ISMS berück­sich­tigt wer­den müssen. Diese ver­wei­sen zusätz­lich auf den ak­tu­el­len „Stand der Tech­nik“. Die tatsäch­li­chen An­pas­sun­gen an den In­hal­ten sind so­mit sehr ge­ring. Ins­ge­samt sind zwei Maßnah­men zusätz­lich zu be­trach­ten mit Be­zug zur ISO/IEC 27002 so­wie die 13 Ergänzun­gen.

Die neue Norm for­dert auch, dass von wich­ti­gen Dienst­leis­tern ein gleich­wer­ti­ges Si­cher­heits­ni­veau nach­ge­wie­sen wird. Die Be­trei­ber sind in der Pflicht, dies ein­zu­for­dern und zu do­ku­men­tie­ren.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren  Sie uns gern.

Ri­cky Ste­wart | Juni 2021

Gerne beant­wor­ten wir Ihre Fra­gen