Beitrag

Konformitätsbewertungsprogramm für Netzbetreiber aktualisiert

Do 09.11.2017

Noch bis zum 31.01.2018 läuft die Frist, wonach alle Netzbetreiber in den Sparten Strom und Gas ein Informationssicherheits-Managementsystem (ISMS) etablieren sowie auditieren und zertifizieren lassen müssen. Grundlage ist neben dem „IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG“ der Bundesnetzagentur auch das zugehörige „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“, das am 02.11.2017 aktualisiert wurde.

Es gibt zwei wesentliche Änderungen:

Grundlage der Zertifizierung ist ein ISMS gem. ISO/IEC 27001 und ISO/IEC 27019. Da die „alte“ ISO/IEC 27019 noch auf die alte ISO/IEC 27002 verwies, musste etwas umständlich über ein Mapping dargelegt werden, dass die ISO/IEC 27019-Anforderungen im Rahmen des ISO/IEC 27001-Audits berücksichtigt werden konnten. Durch die jetzt veröffentlichte ISO/IEC 27019:2017 kann dieser Umweg entfallen. Das Mapping, das bislang als Anhang zum Konformitätsbewertungsprogramm enthalten war, entfällt damit.

Die neue ISO/IEC 27019:2017 macht damit auch Übergangsfristen erforderlich; diese sind im neuen Konformitätsbewertungsprogramm aufgeführt: „Audits zur Erst- oder Rezertifizierung und Überwachungsaudits im Rahmen des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a EnWG haben spätestens ab dem 01.01.2021 verpflichtend unter Berücksichtigung der ISO/IEC 27019:2017 bzw. – sofern bis zu diesem Zeitpunkt vorliegend – unter Berücksichtigung der entsprechenden deutschen Übersetzung (DIN) zu erfolgen. Bei Audits zur Erst- oder Rezertifizierung und Überwachungsaudits kann bis zum 31.12.2020 alternativ die bisherige DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 berücksichtigt werden.“
Damit haben Sie die Wahl; welche Norm Sie konkret anwenden wollen, sprechen Sie am besten mit Ihrem Auditor ab.

Die zweite Änderung betrifft den Fachexperten, der das Auditteam beim Scoping und der Risikoeinschätzung beraten soll – und zwar vor Ort.

Weitere Informationen zu Audits für Netzbetreiber finden Sie auf unseren Webseiten.