Der IT-Sicherheitskatalog und Zertifizierungsstellen

Nachdem wir uns vergangene Woche mit den Anforderungen an Netzbetreiber, die aus dem IT-Sicherheitskatalog der Bundesnetzagentur resultieren, beschäftigt haben, geht es heute um die Zertifizierungsstellen. Zur Erinnerung: Der IT-Sicherheitskatalog der Bundesnetzagentur stellt Anforderungen an Netzbetreiber hinsichtlich einer sicheren IT-Infrastruktur für den Netzbetrieb. Ein zentrales Element ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das bis 31.01.2018 auditiert und zertifiziert sein muss.

Zu dieser Auditierung und Zertifizierung gibt es gleichfalls Anforderungen der Bundesnetzagentur, die in einem Konformitätsbewertungsprogramm beschrieben sind.

Grundlage

Die Anforderungen an die Zertifizierungsstellen, die Netzbetreiber bzgl. des „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ (IT-Sicherheitskatalog) der Bundesnetzagentur (BNetzA) [IT-SichKat] zertifizieren wollen, sind im „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ (Konformitätsbewertungsprogramm) [KBP] der Bundesnetzagentur normiert.

Akkreditierung

Stellen, die Netzbetreiber bzgl. IT-Sicherheitskatalog [IT-SichKat] zertifizieren möchten, müssen sich hierzu auf Basis des Konformitätsbewertungsprogramms [KBP] gesondert von der Deutschen Akkreditierungsstelle (DAkkS) akkreditieren lassen.

Die Akkreditierung basiert auf ISO/IEC 27006 in Verbindung mit ISO/IEC 17021-1.

Neben der eigenen Akkreditierung sind die Zertifizierungsstellen verpflichtet, der Bundesnetzagentur eine Liste der Unternehmen, die ein Zertifikat erhalten haben, zu übermitteln.

Auch ist festgelegt, dass alle im Rahmen der Risikoeinschätzung als „hoch“ eingestuften Anwendungen, Systeme und Komponenten mindestens einmal innerhalb eines Zertifizierungszyklus auditiert werden müssen.Um sicherzustellen, dass die Zertifizierungsstelle über ausreichendes Fachwissen verfügt, muss das Auditteam bei den ersten fünf Verfahren durch einen sogenannten Fachexperten unterstützt werden.

Der Fachexperte soll das Audit-Team bei der Einschätzung, ob alle für den Netzbetrieb notwendigen Systeme, Komponenten und Anwendungen im Scope erfasst sind und die Risikoeinschätzung korrekt durchgeführt worden ist, beraten. Fachexperte darf nur sein, wer über ein Ingenieur- oder Naturwissenschaftliches (Fach-) Hochschulstudium verfügt und mindestens drei Jahre einschlägige Berufserfahrung in der leitungsgebundenen Energieversorgung nachweisen kann.

Ausblick

Soviel zu den Anforderungen, die auf Zertifizierungsstellen im Kontext des IT-Sicherheitskatalogs zukommen. Im nächsten und letzten Teil unserer 3-teiligen News-Serie geht es dann um die Anforderungen, die auf die Auditoren zukommen.

Dr. Sönke Maseberg | 17. September 2016 | Smart-Meter / Energie | Energiewirtschaftsgesetz, Gesetz zur Digitalisierung der Energiewende, IT-Sicherheitsgesetz, IT-Sicherheitskatalog, Netzbetreiber, Reihe IT-Sicherheitskatalog, sb-job_IT-SiEx_cert, Zertifizierungsstellen