Sie sind hier: Home » Markt » Hinweise & Tipps

Welche Zertifikate notwendig sind


Was Energieversorger über die anstehende ISMS-Pflicht wissen müssen
Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen

(24.03.15) - Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert, worauf sich die Energieversorger einstellen müssen.

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

"Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen", sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. "Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen." (prego services: ra)

prego systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

IT-Revision als unabhängige Überwachungsinstanz Verdachtskündigung eines Auszubildenden

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen