- die unabhängige deutsche Zertifizierungsstelle in einer globalisierten Welt.

IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG

Heute durchdringen Systeme der Informationstechnik (IT) alle Bereiche der Gesellschaft. Für Betreiber kritischer Infrastrukturen gilt in diesem Zusamenhang seit 25.07.2015 das IT-Sicherheitsgesetz der deutschen Bunderegierung.
Was sind kritische Infrastrukturen?

  • Energie-Sektor (z.B. Stadtwerke, Verteilernetzbetreiber)
  • Informationstechnik-/ Telekommunikationssektor (z.B. Provider, Mobilfunkanbieter)
  • Transport- und Verkehrssektor (z.B. Flughafenbetreiber, Bahnbetreiber)
  • Gesundheitssektor (z.B. Krankenhäuser, Rettungsdienste)
  • Wasser-Sektor (z.B. Wasserwerk- oder Klärwerkbetreiber)
  • Finanz- und Versicherungssektor (z.B. Banken, Versicherung).

Speziell für den Energie-Sektor ist auf Grund der Digitalisierung der Netzleit- und Messtechnik eine intakte Informations- und Kommunikationstechnik unverzichtbar. Daher veröffentlichte die Bundesnetzagentur (BNetzA) am 12. August 2015 den IT-Sicherheitskatalog gemäß § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG).
Danach sind Strom- und Gasnetzbetreiber in Deutschland verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und die Erfüllung der diesbezüglichen Anforderungen durch ein Zertifikat einer bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditierten Zertifizierungstelle gegenüber der BNetzA zu belegen. Die Bundesnetzagentur erarbeitete hierzu gemeinsam mit der DAkkS eine entsprechende Zertifizierungsgrundlage auf Basis der ISO/IEC 27001:2013.
Bis 31. Januar 2018 mussten alle Strom- und Gasnetzbetreiber die Zertifizierung gemäß IT-Sicherheitskatalog abgeschlossen haben.

Mitte April 2016 veröffentlichte die BNetzA das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG auf der Grundlage der ISO/IEC 27006. Inzwischen gilt hier die Fassung vom 16. November 2017.
In diesem Dokument sind neben den Anforderungen an die Akkreditierung von Zertifizierungsstellen auch die Anforderungen an die Strom- und Gasnetzbetreiber konkretisiert.

Der IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG bietet einen systematischen, strukturierten Ansatz,

  1. die Verfügbarkeit der eigenen IT-Systeme inklusive der vorhandenen Daten und Informationen zu erhöhen,
  2. die Integrität der vorhandenen Informationen zu schützen,
  3. die Vertraulichkeit der vorhandenen Daten und deren Schutz vor unbefugten Zugriff sicherzustellen sowie
  4. die Authentizität (Echtheit) von Informationen zu gewährleisten.

Strom- und Gasnetzbetreiber in Deutschland können mittels einer Zertifizierung durch eine akkreditierte Zertifizierungsstelle wie DeuZert®,

  • die Erfüllung der Anforderungen aus dem IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG gegenüber der BNetzA nachweisen,
  • eine kontinuierliche Informationssicherheit gemäß dem PDCA-Zyklus zu gewährleisten,
  • Risiken zu erkennen und zu beherrschen und damit eine ständige Verbesserung zu erreichen,
  • vertrauliche Daten zu schützen sowie
  • externen Anforderungen an die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen, z.B. von Wirtschaftsprüfern, gerecht zu werden.

Dabei ist DeuZert® Deutsche Zertifizierung in Bildung und Wirtschaft GmbH speziell auf die Bedürfnisse kleinerer Stadtwerke/ Energieversorger fokussiert und kann trotz des Einsatzes vieler langjährig erfahrener Auditoren günstige finanzielle Konditionen bieten.

Der Verfahrensablauf der DeuZert® Zertifizierung sieht vor:

  1. Angebot auf Grundlage eines standardisierten Fragebogens
  2. Beauftragung der Zertifizierung
  3. Optionales Voraudit
  4. Planung des Zertifizierungsaudits
  5. Stufe 1 Audit als vorrangige Dokumentationsprüfung auf Zertifizierungsfähigkeit
  6. Stufe 2 Audit mit abschließenden Auditbericht
  7. Entscheidung zur Zertifizierung im DeuZert(R)-Zertifizierungsausschuss
  8. Zertifikatserteilung für drei Jahre
  9. ab dem Folgejahr zwei kalenderjährliche Überwachungsaudits
  10. Re-Zertifizierungsaudit mit Verlängerung des Zertifikats um weitere drei Jahre [auf Wunsch]

Zur Angebotsabfrage und für weitere Informationen können folgende Verweise genutzt werden:

Anfrage/ Antrag zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Allgemeine Informationen
WP04 K - F01_15_AntragAnfrage.docx (117.31KB)
Anfrage/ Antrag zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Allgemeine Informationen
WP04 K - F01_15_AntragAnfrage.docx (117.31KB)
Anfrage/ Antrag zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Betriebsstättenbezogene Informationen
WP04 K - F01a_11_AntragAnfrage Betriebsstaette.doc (127.5KB)
Anfrage/ Antrag zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Betriebsstättenbezogene Informationen
WP04 K - F01a_11_AntragAnfrage Betriebsstaette.doc (127.5KB)
DeuZert-Verfahren zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Beschreibung des Verfahrens
WP04 K - D01_12_Zertifizierungsverfahren.pdf (183.99KB)
DeuZert-Verfahren zur Zertifizierung nach IT-Sicherheitskatalog gem. § 11 Abs. 1a EnWG
Beschreibung des Verfahrens
WP04 K - D01_12_Zertifizierungsverfahren.pdf (183.99KB)
IT- Sicherheitskatalog, Stand August 2015
Grundlage: § 11 Absatz 1a Energiewirtschaftsgesetz
IT_Sicherheitskatalog_08-2015.pdf (319.47KB)
IT- Sicherheitskatalog, Stand August 2015
Grundlage: § 11 Absatz 1a Energiewirtschaftsgesetz
IT_Sicherheitskatalog_08-2015.pdf (319.47KB)

Ergänzende Informationen

Die Zahl verfügbarer IT-Sicherheitskatalog Auditoren ist eng begrenzt. Daher ist eine sehr frühzeitige Kontaktaufnahme und Reservierung von Zertifizierungskapazität dringend empfohlen.