Methoden zur Befreiung von ISMS-Zertifizierung

Die Süd-IT AG hat für die BNetzA Verfahren und Methoden entwickelt, die zeigen, ob sich EVU von der ISMS-Zertifizierungspflicht befreien lassen können.

Nach dem IT-Sicherheitskatalog müssen EVU, die ein Strom- oder Gasnetz betreiben, bis zum 31. Januar 2018 ein Informationssicherheitsmanagement (ISMS) nach ISO/IEC 27001 zertifizieren lassen. Allerdings sind mittelständische und kleinere Anbieter davon ausgenommen, wenn sie bestimmte Kriterien erfüllen.

Für diesen Nachweis hat die Süd-IT AG mit der KOV mbH und der ICG "geeignete Verfahren und Gutachten entwickelt", die sie jüngst der Bundesnetzagentur (BNetzA) präsentiert haben, so das Softwareunternehmen aus Germering bei München. "Der Austausch und das positive Feedback der Behörde sind ein wichtiger Schritt zum Ziel abgestimmter Gutachten, die formal und inhaltlich anerkannt werden und eine Befreiung von der Zertifizierungspflicht sicherstellen", erklärt Dr. Stefan Krempl, Auditor und Datenschutzbeauftragter der Süd-IT AG.

Bei der ISMS-Zertifizierungspflicht gibt es drei Gruppen: Diejenigen, die keine Computer- und Telekommunikationssysteme (IKT) mit direkter oder indirekter Netzeinwirkung betreiben, sind von der Pflicht befreit. Diejenigen, die Schalthandlungen am Netz mithilfe von IKT-Systemen durchführen fallen unter die Pflicht; ebenso, wenn ein IKT-Ausfall die Sicherheit des Netzbetriebs oder die Wiederherstellung der Energieversorgung gefährdet. Und die dritte Gruppe betreibt zwar IKT-Systeme mit indirekter Netzeinwirkung. Sie können sich aber von der Zertifizierung befreien lassen – falls sie begründen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht.

Für letztere Gruppe liefert die Süd-IT Unterstützung. EVU können damit anhand von Verfahren und klaren Kriterien ihren Zertifizierungsstatus praxisnah ermitteln, so das Unternehmen. Ergibt sich kein eindeutiger Status, gibt es erweiterte Checklisten, die helfen sollen, die Chancen auf eine Zertifizierungsbefreiung realistisch zu ermitteln. Daneben liefere man Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel sei es, standardisierte und behördlich abgestimmte Muster zu erstellen, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen, so Krempl. (sg)