Der Countdown läuft! Für Betreiber von Energienetzen, die eine Zertifizierung nach dem IT-Sicherheitskatalog gemäß §11 (1)a Energiewirtschaftsgesetz (EnWG) gegenüber der Bundesnetzagentur nachweisen müssen, beginnt nun eine spannende Phase.
Zum einen sollten, nach 3 Jahren der Erstzertifizierung, in den kommenden Wochen und Monaten die Re-Zertifizierungsaudits vor der Türe stehen und zum anderen wird die Umsetzung der Anforderungen aus der neuen ISO/IEC 27019:2017 überprüft. Zu beachten ist, dass diese neuen Anforderungen auch im Falle eines Überwachungsaudits ab dem 01.01.2021 nachzuweisen sind.
Relevant ist die Auditierung durch eine akkreditierte Zertifizierungsstelle für Stadtwerke, Energieversorger und Netzbetreiber welche unter den Geltungsbereich des §11 (1)a des EnWG fallen. Diese müssen den Nachweis der Umsetzung bereits seit dem 31.01.2018 gegenüber der Bundesnetzagentur erbringen.
Neu hinzu kommen nun die Betreiber von Energieanlagen, zum Beispiel Erzeugungsanlagen mit Wärmeauskopplung, zentralen und dezentralen Erzeugungsanlagen oder Speicheranlagen, gemäß §11 (1)b des EnWG, welche eine Erstzertifizierung bis spätestens 31.03.2021 nachweisen müssen. Auch für diese Erstzertifizierungen müssen die Anforderungen der neuen ISO 27019 ab dem 01.01.2021 umgesetzt sein. Weitere Informationen zu diesem Thema, sind hier zu finden.
Anforderungen der ISO/IEC 27019:2017: Was ist neu, was bleibt?
Die wichtigsten Änderungen im Vergleich zur vorherigen Ausgabe sind:
- der Geltungsbereich wurde geändert und umfasst nun auch den Energieölsektor
- das Dokument wurde von einem technischen Bericht zu einer internationalen Norm geändert
- die vorherige Ausgabe war an die ISO/IEC 27002:2005 angeglichen. Die neue Struktur wurde an ISO/IEC 27002:2013 angeglichen
- es wurde der technische Inhalt überarbeitet und aktualisiert, um den aktuellen technologischen Entwicklungen im Energiesektor Rechnung zu tragen
Nicht alles, was mit der neuen Version der ISO 27019 kommt, bedeutet gleich mehr Arbeit. Eine große Erleichterung dürfte sein, dass die Nummerierung der Controls (A.5 – A.18) nun kompatibel zu den Controls aus dem Annex A der ISO 27001 und der ISO 27002 sind. Ein Mapping, welches bislang erforderlich war, entfällt nun. Dies erleichtert die Darstellung des Statement of Applicability (SoA) und macht auch die interne Kommunikation und Abarbeitung leichter. Auch Auditoren dürften über die Vereinheitlichung glücklich sein.
Neu hinzu kommen die sogenannten ENR-Controls. ENR steht in diesem Fall für „Energy“. Dies sind Erweiterungen der bereits bekannten Controls um Anforderungen, welche eigentlich “Stand der Technik“ sind. Diese müssen nun mit in das ISMS übernommen werden.
Im Themengebiet der physischen Sicherheit gibt es unter anderem Erweiterungen bei der „Sicherung von Leitstellen und Technikräumen“ aber auch der „Sicherung von Außenstandorten“. Hierbei sollte darauf geachtet werden, dass diese Räumlichkeiten möglichst gegen externe Schadenseinwirkungen, zum Beispiel Umwelteinflüsse oder Naturkatastrophen, geschützt sind.
Die Prüfung der ENR-Erweiterungen und das Ergebnis sollte natürlich normkonform dokumentiert werden.
Die neue Norm fordert auch, dass von wichtigen Dienstleistern ein gleichwertiges Sicherheitsniveau nachgewiesen wird. Die Betreiber sind in der Pflicht dies einzufordern und zu dokumentieren.
Neben den Erweiterungen um die ENR-Controls, werden in der neuen ISO 27019 auch einige der Controls aus der ISO 27002 um Anforderungen für die Energieversorgung erweitert. Dies betrifft 39 Controls, zu welchen die sogenannten Umsetzungsanleitungen erweitert werden.
Ein Beispiel für eine erweiterte Umsetzungsanleitung für Energieversorger betrifft das Control A.6.2.2 – Telearbeit. Diese Erweiterung fordert, dass Fernzugriffe auf Prozesssteuerungssysteme durch mehrfache Sicherheitsmaßnahmen geschützt sein sollen. Dies betrifft sowohl Zugriffe durch eigene Mitarbeiter aber auch externe Parteien, wie zum Beispiel Dienstleister. Wie genau man eine mehrfache Sicherung einrichtet, bleibt dem Betreiber selber überlassen. Auch hierbei muss eine Dokumentation der Umsetzung erfolgen.
Was sollten nun die nächsten Schritte sein?
Um die Einführung und Umsetzung der neuen Maßnahmen zu erleichtern ohne den Betrieb des bereits bestehenden ISMS zu beeinträchtigen, sollte als erstes das Statement of Applicability (SoA) angepasst werden. Hierbei sollten die bisherigen Controls der ISO 27001 beziehungsweise der ISO 27002 um die ENR-Controls erweitert werden. Es ist darauf zu achten, dass die Gründe für die Einbeziehung oder den Ausschluss von Maßnahmen dokumentiert werden.
Anhand der erstellten SoA sollten nun die einzelnen Maßnahmen zu den Controls kritisch überprüft und angepasst werden. Besonders bei den ENR-Controls, welche ab dem 01.01.2021 das erste Mal geprüft werden, sollten zeitnah Maßnahmen definiert werden, welche die Umsetzung bis zum Audit sicherstellen.
Bei der Planung sollte beachtet werden, dass die Umsetzung der Anforderungen aus der neuen Norm nicht erst kurz vor dem externen Audit fertig sein sollte. Es macht Sinn vorab ein internes Audit auf die Umsetzung durchzuführen, damit es beim Audit durch die akkreditierte Zertifizierungsstelle kein böses Erwachen gibt.
Die Experten der migosens management GmbH bieten hierzu das entsprechende Fachwissen und die langjährige Erfahrung zur Umsetzung der Anforderungen aus der neuen ISO/IEC 27019:2017. Sprechen Sie uns an!
Zum Autor:
Stephan Auge ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.
