Nach der Aktualisierung der Vorgaben für die Zertifizierung von Energieanlagenbetreibern gem. § 11 Abs. 1b EnWG – vgl. dazu unsere News vom 02.05.2022 – wurden nun von der Bundesnetzagentur auch die Vorgaben für die Zertifizierung von Netzbetreibern gem. § 11 Abs. 1a EnWG aktualisiert.

Hintergrund

Alle Netzbetreiber – übrigens unabhängig von einer Einstufung als Kritische Infrastruktur gem. KRITIS-VO und damit unabhängig von etwaigen KRITIS-Schwellenwerten – müssen ein Informationssicherheits-Managementsystem (ISMS) etablieren und zertifizieren lassen. Die Zertifizierung dürfen nur von der DAkkS eigens hierfür akkreditierte Stellen durchführen; Basis ist das Konformitätsbewertungsprogramm gem. § 11 Abs. 1a EnWG. Dieses Programm wurde nun mit Datum vom 05.04.2022 aktualisiert.

Das Programm ist auf den Seiten der Bundesnetzagentur veröffentlicht (siehe hier).

Was sind die Änderungen?

Im Wesentlichen wurden zwei Änderungen vorgenommen, die allerdings zu signifikant höheren Auditaufwänden führen werden:

  1. Fachexperte*in: Der*die Fachexperte*in muss in allen Stufen des Erst-Zertifizierungsaudits (Stage 1 und Stage 2), beim Re-Zertifizierungsaudit und bei den Überwachungsaudits das Auditteam vor Ort beim Netzbetreiber die gesamte Zeit des Audits über begleiten.
  2. Audit der als „hoch“ klassifizierten Anwendungen, Systeme und Komponenten: Bislang galt die Regel, diese „innerhalb eines Zertifizierungszyklus stichprobenartig“ zu auditieren; neuerdings entfällt die Stichprobe: „Die Zertifizierungsstelle hat innerhalb eines Zertifizierungszyklus alle im Rahmen der Risikoeinschätzung mindestens als “hoch” eingestuften Anwendungen, Systeme und Komponenten mindestens einmal zu auditieren.“

Ferner wurden die Hinweise zu den Übergangsfristen – insbesondere wegen der neuen ISO/IEC 27002 – konkretisiert: Das Konformitätsbewertungsprogramm sieht grundsätzlich vor, dass stets die aktuellsten Fassungen der ISO/IEC 27001, 27002 und 27019 zu nutzen sind – gleichwohl unter Berücksichtigung einer Übergangsfrist von 2 Jahren. Diese Übergangsfrist wird jetzt greifen müssen, da die ISO/IEC 27002 in diesem Jahr neu veröffentlicht wurde und die Aktualisierung der ISO/IEC 27001 kurz bevorsteht.

Herausforderung hier ist, dass die ISO/IEC 27019 für besondere Anforderungen der Energiewirtschaft noch auf der alten ISO/IEC 27002 basiert und eine Anpassung erst 2024/2025 zu erwarten ist. Für die Übergangszeit wird die Bundesnetzagentur eine Mappingtabelle zur Verfügung stellen. Zur Thematik der neuen ISO/IEC 27002:2022 informieren wir in einem eigenen Blog-Beitrag.

Bei Fragen sprechen Sie uns gerne an.