Die Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS-Verordnung vom 05.05.2016) definiert für die Branchen Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation, welche Dienstleistungen als kritisch zu bezeichnen sind. Gleichzeitig definiert die Verordnung Schwellenwerte für den Versorgungsgrad, ab dem die gesetzlichen Vorgaben greifen.
Es sind also nicht automatisch alle Unternehmen einer Branche betroffen, sondern nur solche, die den in der Verordnung genannten Schwellenwert erreichen oder überschreiten. Die Verordnung versetzt Betreiber kritischer Infrastrukturen in die Lage, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Voraussichtlich Anfang 2017 wird eine Änderungsverordnung in Kraft treten, die die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit regeln soll.
Für Energieversorger (Strom und Gas) gelten zusätzlich die Anforderungen des IT-Sicherheitskatalogs gem. § 11 Absatz 1a Energiewirtschaftsgesetz. Dieser fordert explizit den Nachweis über eine Zertifizierung nach ISO 27001 bis zum 31.01.2018 und das Umsetzen der im Sicherheitskatalog aufgeführten Anforderungen.
IT-Sicherheit gewinnt auch im Bereich Smart Meter Einzug
Mit dem Anfang September veröffentlichten Gesetz zur Digitalisierung der Energiewende sind zudem weitere Anforderungen für die Energieversorgungsbranche aufgestellt worden: Laut Gesetz müssen diese als Messstellenbetreiber ab 2017 bis spätestens 2032 alle klassischen Ferraris-Zähler durch moderne Messeinrichtungen (Smart Meter) ersetzen. Bestimmte Kundengruppen sind zudem verpflichtet, sie mit sog. Gateways zu einem intelligenten Messsystem zu kombinieren, das die Messwerte digital an definierte Empfänger wie Netzbetreiber, Lieferanten oder sonstige berechtigte Marktteilnehmer leitet.
Damit wird das Thema Datenschutz und IT-Sicherheit auch im Bereich der Zählerinfrastruktur immer bedeutender. Mit dem neuen Gesetz werden umfangreiche Regelungen für Smart Meter Gateways und die Gateway Administratoren durch gesetzliche Vorgaben festgesetzt. In der Schnittmenge wird für Netzbetreiber und Smart Meter Gateway Administratoren gleichermaßen ein ISMS als Basis gefordert: Netzbetreiber müssen entsprechend IT-Sicherheitskatalog ihr ISMS nach ISO/IEC 27001 zertifizieren lassen, Smart Meter Gateway Administratoren müssen gemäß TR-03109-6 ihr ISMS nach ISO/IEC 27001 auf IT-Grundschutz-Basis zertifiziert werden.
Die GUTcert bietet die Zertifizierung nach ISO 27001 in Kooperation mir der AFNOR Group an. Der Akkreditierungstermin ist bereits mit der DAkkS vereinbart, der Abschluß der Akkreditierung ist für Anfang 2017 vorgesehen.
Anforderungen für Auditoren
Speziell für den deutschen Markt werden noch Auditoren gesucht. Dazu muss neben den gewohnten Nachweisen (Grundausbildung zum Auditor in diesem Bereich) eine zweijährige Tätigkeit in IT-sicherheitsrelevanten Bereichen nachgewiesen werden.
Zusätzlich zu den in der ISO 27001 definierten Anforderungen müssen Auditoren den Nachweis erbringen, dass sie eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich abgeschlossen haben.
Die GUTcert Akademie führt einen sechstägigen, von der Bundesnetzagentur zugelassenen Kurs dazu durch. Referenten mit langjähriger Praxiserfahrung vermitteln das nötige Know-how, um die Prüfung erfolgreich zu absolvieren – eine unverzichtbare Bedingung, um von Zertifizierungsstellen für Audits nach ISO 27001 bei Netzbetreibern eingesetzt werden zu können.