Welchen Anforderungen unterliegen Auditoren, die Netzbetreiber gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auditieren möchten? In unseren beiden letzten Beiträgen haben wir uns bereits mit den aus dem IT-Sicherheitskatalog resultierenden Anforderungen an Netzbetreiber und Zertifizierungsstellen beschäftigt. Heute, im dritten und letzten Teil der Serie, geht es um die Auditoren.
Anforderungen an Auditoren
Auditoren, die Netzbetreiber auditieren möchten, müssen die Anforderungen des „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ (Konformitätsbewertungsprogramm) [KBP] erfüllen.
Lizenzierung bei akkreditierter Zertifizierungsstelle
Sie müssen bei einer akkreditierten Zertifizierungsstelle lizenziert sein; hierfür gelten die Anforderungen der Akkreditierungsnorm, insb. Abs. 7.1 der ISO/IEC 27006.
Schulung
Darüber hinaus müssen alle Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren (Die Bundesnetzagentur veröffentlicht eine Liste der anerkannten Schulungen auf ihrer Internetseite.). Schulungsthemen sind:
- IT-Kritische Infrastrukturen für den Netzbetrieb – Scope des ISMS nach IT-Sicherheitskatalog als Schulungsschwerpunkt;
- Rechtliche Rahmenbedingungen und Anforderungen in der Energiewirtschaft (insbesondere Unbundling);
- Technische Grundlagen der Strom- und Gasversorgung;
- Grundlagen für den Netzbetrieb;
- Netzsteuerung, Dispatching.
Hier endet unsere 3-teilige Serie zu den Anforderungen an Netzbetreiber, Zertifizierungsstellen und Auditoren, die sich aus dem IT-Sicherheitskatalog und dem zugehörigen Konformitätsbewertungsprogramm direkt ergeben.