IT-Sicherheitskatalog (BNetzA) Hinweise zur Umsetzung im Falle

Whitepaper
IT-Sicherheitskatalog (BNetzA)
Hinweise zur Umsetzung im Falle outgesourcter Leittechnik
09/2015
Die Präzisierungen und Änderungen des Energiewirtschaftsgesetzes (EnWG) sowie der am 12. August 2015 von der BNetzA
veröffentlichte IT-Sicherheitskatalogs fordert als Mindeststandard die Einführung und Umsetzung eines Informations-SicherheitsManagement-Systems (ISMS), nach den Vorgaben der ISO/IEC 27001 ff. Bis zum 31.01.2018 muss der BNetzA eine Kopie des
Zertifikats vorgelegt werden. Doch müssen Sie den IT-Sicherheitskatalog überhaupt umsetzen, wenn Sie Ihre Leittechnik teilweise
oder ganz outgesourct haben?
Outsourcing oder Betriebsführung
Was ist, wenn Sie die vom IT-Sicherheitskatalog betroffenen
Systeme nur teilweise oder überhaupt nicht selbst betreiben,
sondern durch Dritte betreiben lassen (Outsourcing, Betriebsführung durch Dienstleister)? Müssen Sie dennoch den ITSicherheitskatalog umsetzen bzw. ein ISMS implementieren
und zertifizieren lassen?
Hier erfahren Sie, was Sie tun müssen und was nicht:
Betreibt ein Netzbetreiber die Anwendungen, Systeme und
Komponenten, auf die sich die Sicherheitsanforderungen des
IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch
einen externen Dienstleister, entbindet ihn das nicht von seiner eigenen Verantwortung zur Umsetzung des ITSicherheitskatalogs. Er muss in diesem Falle durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der
beauftragte Dienstleister die Sicherheitsanforderungen einhält.
Im Rahmen der Zertifizierung sind sowohl die selbst betriebenen Systeme als auch die vom Dienstleister betreuten Systeme zu berücksichtigen.
Alle vom IT-Sicherheitskatalog erfassten Systeme werden
vollständig von einem Dienstleister betrieben: In diesem Fall
muss der Netzbetreiber Umsetzung und Einhaltung des ITSicherheitskatalogs durch den Dienstleister sicherstellen. Zum
Nachweis darüber reicht es im Rahmen der Zertifizierung aus,
dass ein Duplikat des Zertifikates, das auf den mit der Betriebsführung beauftragten Dienstleister ausgestellt ist, vorgelegt wird. Eine darüber hinausgehende Zertifizierung des
Netzbetreibers ist in diesem Fall nicht erforderlich. Im Regelfall wird die Betriebsführung nämlich durch einen Dienstleister
erfolgen, der selbst Netzbetreiber und somit zur Einhaltung
des IT-Sicherheitskatalogs und zur Zertifizierung verpflichtet
ist. Darüber hinaus ist ein Nachweis darüber zu erbringen,
dass der Netzbetreiber selbst keine weiteren Systeme betreibt, die vom IT-Sicherheitskatalog erfasst sind.
Betreibt ein Netzbetreiber nur Anlagen ohne Gefährdungspotential, ohne Anschluss an das Internet oder hat kein Leitsystem, so besteht auch keine Umsetzungspflicht für die diesbezüglichen
Sicherheitsanforderungen
des
IT Sicherheitskatalogs und somit bedarf es auch keiner Zertifizierung. Dies ist jedoch zu begründen und durch geeignete
Nachweise zu belegen. Die TK- und elektronischen DVSysteme eines Netzbetreibers, die für einen sicheren Netzbetrieb notwendig sind, sind im Rahmen der geforderten Risikoeinschätzung zu ermitteln. Insofern kann ein geeigneter
Nachweis durch Vorlage der Dokumentation zur dieser Risikoanalyse oder durch sonstige Pläne zur Struktur des Netzes
erfolgen.
Erfolgt hingegen die Betriebsführung der Systeme durch einen
Dienstleister, der selbst kein Netzbetreiber ist, so müssen Sie
als Auftraggeber den IT-Sicherheitskatalog umsetzen und
mittels vertraglicher Regelungen ggü. dem Dienstleiter/ Betriebsführer sicherstellen, dass dieser die Sicherheitsanforderungen einhält.

Ausgestaltung der vertraglichen Vereinbarungen zur
Sicherstellung der Sicherheitsanforderungen durch
Dienstleister und Betriebsführer
Werden die vom IT-Sicherheitskatalog erfassten TK- und ITSysteme, die für einen sicheren Netzbetrieb notwendig sind,
über einen Betriebsführungsvertrag von einem Dritten betrieben, so kann wie folgt unterschieden werden:

Durchführung einer Strukturanalyse/ Erstellung eines
Netzstrukturplanes zur Identifikation der vom IT-SiK
betroffenen Systeme und Komponenten
Ein Teil der vom IT-Sicherheitskatalog erfassten Systeme wird
von einem Dienstleister betrieben, ein Teil vom Netzbetreiber
selbst: Da der Netzbetreiber selbst auch Systeme betreibt, die
vom Anwendungsbereich des IT-Sicherheitskatalogs erfasst
sind, muss er zum Nachweis der Umsetzung des ITSicherheitskatalogs eine Zertifizierung vornehmen lassen.
Die certigo GmbH bietet Ihnen in diesem Zusammenhang
folgende Unterstützungsleistungen an
-> als Basis für eine nachgelagerte Risikoanalyse
-> als Nachweis für BNetzA, dass der Netzbetreiber
selbst keine weiteren Systeme betreibt, die vom ITSicherheitskatalog erfasst sind.
certigo GmbH
Jan Arfwedson und Dr. Guido Moritz
certigo GmbH // Seestraße 11 // 63571 Gelnhausen // TEL +49 06051 916 752 900 // E-MAIL [email protected] // www.certigo.de

Download Report