In der heutigen Zeit, in der es häufig darum geht, ein Stückchen der knappen Aufmerksamkeit des Publikums zu erhaschen, tauchen immer wieder reißerische, widersprüchliche oder die Neugier weckende Überschriften auf – so wie hier mit „1b-KBP aktualisiert“. Da wir Sie – werte Lesende – aber keinesfalls in die Irre führen wollen, sondern stets mit wertschöpfenden Informationen versorgen möchten, sind Sie hier völlig richtig, wenn Sie erfahren möchten, welche Änderungen es im „Konformitätsbewertungsprogramm gem. § 11 Abs. 1b EnWG für Energieanlagenbetreiber“ gibt.
Aktualisierung des Konformitätsbewertungsprogramm für Energieanlagenbetreiber
Kurz zum Hintergrund: Der Gesetzgeber verpflichtet Betreiber von Energieanlagen, deren Anlage die in der KRITIS-VO festgelegten Schwellwerte übersteigt, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren und zertifizieren zu lassen. Das ISMS eines Energieanlagenbetreibers dürfen nur Stellen zertifizieren, die eigens hierfür von der DAkkS akkreditiert sind; Grundlage ist das „Konformitätsbewertungsprogramm gem. § 11 Abs. 1b EnWG für Energieanlagenbetreiber“ (KBP) der Bundesnetzagentur.
Die erste Fassung des KBP aus September 2020 wurde nun mit Datum vom 30.03.2022 aktualisiert; die aktuelle Fassung ist hier verfügbar.
Im neuen 1b-KBP sind vor allem drei inhaltliche Änderungen vorgenommen worden, die Auswirkungen auf die Audits- und Zertifizierungen haben werden:
- Fachexperte*in: Der*die Fachexperte*in muss in allen Stufen des Erst-Zertifizierungsaudits (Stage 1 und Stage 2), beim Re-Zertifizierungsaudit und bei den Überwachungsaudits das Auditteam vor Ort beim Energieanlagenbetreiber die gesamte Zeit des Audits über begleiten.
Dies wird die Kosten entsprechend erhöhen.
- Zertifikat – auch für Betriebsführer: Bislang konnte ein Zertifikat gem. IT-Sicherheitskatalog gem. § 11 Abs. 1b EnWG nur für Betreiber einer Energieanlage erteilt werden, nun ist dies auch für Betriebsführer zulässig.
Zur Thematik Betreiber vs. Betriebsführer informieren wir in einem eigenen Blog-Beitrag.
- Übergangsfristen: Das Konformitätsbewertungsprogramm sieht grundsätzlich vor, dass stets die aktuellsten Fassungen der ISO/IEC 27001, 27002 und 27019 zu nutzen sind – gleichwohl unter Berücksichtigung einer Übergangsfrist von 2 Jahren.
Diese Übergangsfrist wird jetzt greifen müssen, da die ISO/IEC 27002 in diesem Jahr neu veröffentlicht wurde und die Aktualisierung der ISO/IEC 27001 kurz bevorsteht.
Herausforderung hierbei ist, dass die ISO/IEC 27019 für besondere Anforderungen der Energiewirtschaft noch auf der alten ISO/IEC 27002 basiert und eine Anpassung erst 2024/2025 zu erwarten ist. Für die Übergangszeit wird die Bundesnetzagentur eine Mappingtabelle zur Verfügung stellen.
Zur Thematik der neuen ISO/IEC 27002:2022 werden wir in einem eigenen Blog-Beitraginformieren (hier).
Bei Fragen sprechen Sie uns gerne an.