Die datenschutz cert GmbH ist als erste Zertifizierungsstelle* von der Deutschen Akkreditierungsstelle (DAkkS) für die Zertifizierung von Energieanlagenbetreibern gemäß IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG akkreditiert worden. Damit können nun endlich Kraftwerksbetreiber ihrer Verpflichtung aus dem IT-Sicherheitskatalog nachkommen, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und zertifizieren zu lassen.

Kritische Infrastrukturen (KRITIS) sind verstärkt Cyberangriffen ausgesetzt. Eine staatliche Maßnahme, um diesen Angriffen zu begegnen, ist, Standards zur Informationssicherheit einzufordern und sich Nachweise vorlegen zu lassen. Dies gilt schon länger für Strom- und Gasnetzbetreiber mit dem IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG gegenüber der Bundesnetzagentur und für KRITIS-Betreiber gemäß § 8a BSI-Gesetz in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV) gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Auch Betreiber von Energieanlagen, z. B. Kraftwerke, zählen zu den KRITIS und sind von dieser Nachweispflicht nicht ausgenommen: Der IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG der Bundesnetzagentur fordert die Einführung eines ISMS gemäß ISO/IEC 27001 für Anlagen, die die in der BSI-KritisV festgelegten Schwellenwerte überschreiten. Die Frist zur Vorlage eines akkreditierten Zertifikates gegenüber der Bundesnetzagentur ist im IT-Sicherheitsgesetz selbst festgelegt: 31.03.2021.

Die Krux an der Sache war jedoch bislang, dass diese Frist gar nicht eingehalten werden konnte, weil es bundesweit noch keine einzige Stelle gab, die über die zur Ausstellung eines solchen Zertifikates notwendige Akkreditierung verfügte.

*Sind wir jetzt die Ersten?

Nun, wir wissen es nicht genau. In Österreich gibt es bereits Stellen, die Zertifikate vergeben können, aber nicht bei der DAkkS akkreditiert sind. Allerdings verpflichtet der IT-Sicherheitskatalog gemäß § 11 Absatz 1b EnWG, „Anlagenbetreiber […], die Konformität seines ISMS mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer für die Zertifizierung des IT-Sicherheitskatalogs bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten unabhängigen Zertifizierungsstelle zu belegen“ und schließt damit von anderen europäischen Stellen akkreditierte Zertifizierungsstellen aus.

Legen wir los, es gibt viel zu tun!

Für uns, die datenschutz cert GmbH, geht mit der Akkreditierungsurkunde eine längere Vorbereitungszeit zu Ende und die eigentliche Arbeit jetzt erst richtig los.

Ausschnitt der Akkreditierungsurkunde der datenschutz cert GmbH
Ausschnitt der Akkreditierungsurkunde

 

Für das ISMS bzw. den sicheren Netzbetrieb in den Sparten Strom und Gas waren wir bereits akkreditierte Zertifizierungsstelle und wir freuen uns, nun auch Energieanlagenbetreiber nach dem IT-Sicherheitskatalog prüfen und zertifizieren zu können.

Weitere Informationen finden Sie auf der Website der datenschutz cert.