IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz
Produktions- und Verwaltungsprozesse sind ohne Unterstützung durch Informationstechnik (IT) nicht mehr denkbar. Das ermöglicht oder beschleunigt die Steuerung solcher Prozesse. Die IT-Unterstützung an sich vergrößert jedoch zunächst das Sicherheitsrisiko. Die häufigsten Bedrohungen sind Datenverlust durch technisches Versagen, Naturkatastrophen, Hackerangriffe, unbefugtes Offenlegen oder Missbrauch vertraulicher Informationen. In betroffenen Unternehmen können die Prozesse ausfallen, die zu enormen finanzielle Schäden bis hin zu Imageverlust führen können.
Für den besten Schutz gegen solche Angriffe sorgen Unternehmen, wenn sie ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 aufbauen, einführen und es regelmäßig überprüfen und zertifizieren lassen. Diesem Managementstandard liegt ein risikobasierter Ansatz zu Grunde. Das bedeutet, jedes Unternehmen nimmt seine eigene Priorisierung der Risiken vor. Dabei kann es sich um hohe Verfügbarkeitsanforderungen oder um die Forderung nach höchster Vertraulichkeit handeln.
KRITIS-Betreiber
Unternehmen, die eine besondere Bedeutung für das Funktionieren des staatlichen Gemeinwesens haben, werden als Betreiber kritischer Infrastrukturen (KRITIS) bezeichnet. Der Ausfall oder die Beeinträchtigung ihrer Infrastruktur könnte zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen für das Gemeinwesen führen.
Solche Unternehmen unterliegen deshalb seit dem Inkrafttreten des IT-Sicherheitsgesetzes am 25.07.2015 der Verpßichtung, ein ISMS zu betreiben. Das betrifft vornehmlich Unternehmen aus den Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Medien und Kultur, Staat und Verwaltung, Transport und Verkehr sowie Wasser.
Informationssicherheitsmanagementsystem gemäß ISO/IEC 27001
Nutzen Sie die Möglichkeiten und Instrumente des internationalen Standards für ISMS. Die ISO/IEC 27001 ist ein effektives Werkzeug für die Planung, Realisierung, Überwachung und regelmäßige Anpassung der Informationsprozesse im Unternehmen. Wenn Sie ein solches Managementsystem einführen und es zertifizieren lassen, profitieren Sie von folgenden Vorteilen:
- Schutz Ihrer Informationen und Daten vor Zerstörung, Diebstahl, Manipulation und Veröffentlichung
- Transparenz der Sicherheitsrisiken und Risikominimierung
- Zuverlässiges Erfüllen der IT-Compliance
- Sinkende Kosten durch weniger IT-Ausfälle
- Kontinuierliche Verbesserung der Prozesse
- Vertrauen bei Kunden, Mitarbeitern und der Öffentlichkeit
IT-Sicherheitskatalog für Energienetzbetreiber
Unter den Betreibern kritischer Infrastrukturen (KRITIS) heben sich die Energieversorger und Energienetzbetreiber besonders hervor. Der Ausfall oder Teilausfall ihrer Infrastruktur würde eine starke Beeinträchtigung des Lebens und der Wirtschaft zur Folge haben. Daher und weil die Informations- und Kommunikationstechnik-Systeme zunehmend externen Bedrohungen wie technisches Versagen, Naturkatastrophen, Hackerangriffe, unbefugtes Offenlegen oder Missbrauch vertraulicher Informationen unterliegen, müssen besondere Maßnahmen getroffen werden.
Um Angriffe und Bedrohungen von vornherein abzuwehren, hatte die Bundesnetzagentur (BNetzA) im August 2015 den IT-Sicherheitskatalog (gemäß § 11 Absatz 1a Energiewirtschaftsgesetz) für Energienetzbetreiber vorgelegt. Er verpflichtet zur Einführung eines Informationssicherheitsmanagementsystems (ISMS), das auf der um spezifische Aspekte der Netzsteuerung erweiterten ISO/IEC 27001 basiert. Die Strom- und Gasnetzbetreiber müssen seit 31.01.2018 diese Zertifikate vorlegen.