die Bundesnetzagentur (BNetzA) hat vor Kurzem den IT-Sicherheitskatalog für Energieversorger gemäß §11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) veröffentlicht. Somit sind Energieversorger jetzt verpflichtet, den effektiven Schutz ihrer IT-Infrastrukturen bis zum 31.1.2018 gemäß ISO 27001 nachzuweisen.

WER IST BETROFFEN?

Wie Dr. Stefan Krempl, ISO-27001 Auditor und Vorstand bei SÜD-IT berichtet, sind insbesondere die Energieversorger betroffen. Das geht aus dem IT-Sicherheitskatalog1 hervor, wo es in Abschnitt D heißt, das in den Geltungsbereich „alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind“ fallen. Darin enthalten sind alle TK- und EDV-Systeme (ITK), die als integraler Teil der Netzsteuerung Einfluss auf die Netzfahrweise nehmen. Dies gilt ebenso für alle ITK-Systeme, die vielleicht nicht direkt zur Netzsteuerung gehören, deren Ausfall aber die Sicherheit des Netzbetriebs gefährden könnte.
Ob Sie damit auch unter die Regelung fallen und zertifizierungspflichtig sind, lässt sich laut Stefan Krempl anhand dreier Kontrollfragen klären:
• Werden Schalthandlungen am Netz unter Verwendung von ITK-Systemen durchgeführt?
• Würde der Ausfall von ITK Systemen die Sicherheit des Netzbetriebes gefährden?
• Sind für die Wiederherstellung der Energieversorgung nach einem Ausfall ITK Systeme erforderlich?
Wenn Sie auch nur eine dieser Fragen mit „Ja“ beantworten können, ist eine Zertifizierung unumgänglich.

WAS GENAU IST ZU ZERTIFIZIEREN?

Zertifizierungspflichtig ist vor allem der Bereich der Netzsteuerung. Also normalerweise die Netzleitwarte und angeschlossene Steuer- und Messeinrichtungen. Ebenso wichtig sind die unterstützenden Prozesse, wie IT-Administration und Personalwesen. Eher unwichtig sind dagegen Bereiche wie Abrechnung oder Kundenpflege.

WIRD DIE ZEIT SCHON KNAPP?

Bis Ende November dieses Jahres sollten Sie zumindest schon mal die Kontaktdaten eines Ansprechpartners für die Koordination und Kommunikation der IT-Sicherheit in Ihrem Unternehmen an die BNetzA weitergeben. Die Projektplanung sollte idealerweise bis Mitte oder spätestens Ende 2016 abgeschlossen werden. Somit sollte dann das Zertifizierungsaudit spätestens bis Ende September 2017 durchgeführt werden, da die Ausfertigung der Bestätigung durch den akkreditierten Zertifizierer in aller Regel auch nochmal mehrere Wochen dauert.