„Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen veröffentlicht.“ Diese Mitteilung der Bundesnetzagentur (BNetzA) elektrisiert Netzbetreiber wie Akkreditierungs- und Zertifizierungsstellen gleichermaßen. Denn damit liegt der letzte Baustein zur Zertifizierung von Netzbetreibern gem. IT-Sicherheitskatalog vor.
Wie bereits berichtet, verpflichtet der „IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG“ Netzbetreiber zur Einführung eines Informationssicherheits-Managementsystems (ISMS). Das ISMS muss dabei insbesondere die Telekommunikations- und EDV-Systeme umfassen, die für einen sicheren Netzbetrieb notwendig sind. Die Standards dazu liegen mit ISO/IEC 27001 und ISO/IEC 27019 vor.
Ferner verpflichtet der IT-Sicherheitskatalog die Netzbetreiber zur Vorlage eines entsprechenden Zertifikates bei der BNetzA – bis spätestens 31. Januar 2018. Wer unter welchen Rahmenbedingungen dieses Zertifikat erteilen darf, ist nun mit dem „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ fixiert worden.
Das Konformitätsbewertungsprogramm ist auf den Webseiten der BNetzA verfügbar. Darin sind im Besonderen Anforderungen an Stellen formuliert, die Zertifikate gem. IT-Sicherheitskatalog erteilen möchten, sowie an Auditoren, die entsprechende Audits bei Netzbetreibern durchführen wollen. Hierzu wird vor allem auf eine entsprechende Ausbildung und Fachkenntnis abgehoben.
Cappel
21. April 2016 @ 11:25
Ein Problem dabei ist, dass die ISO 27019 auf Controls der veralteten ISO 27002:2005 verweist, die bereits durch die ISO 27002:2013 abgelöst wurde. Die BNetzA gibt eine Abbildungstabelle vor, die aber unvollständig ist. Besser wäre, die ISO 27019 auf den neuesten Stand zu bringen, sprich auf die ISO 27002:2013 zu referenzieren.
Daniela Windelband
21. April 2016 @ 11:59
Hallo Cappel,
Bei Normen heißt es häufig: „Nach der Norm ist vor der Norm“. Denn die Normen sind einem ständigen Umstellungsprozess unterworfen. Dass die ISO 27019 noch auf die alte ISO 27002 verweist, ist in der Tat nicht glücklich. Dies wird dann mit der Überarbeitung der ISO 27019 behoben. Um keine Zeit zu verlieren, müssen wir jetzt mit der Mapping-Tabelle leben.
Mit freundlichen Grüßen
Ihre Blogredaktion