- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Welche Zertifikate notwendig sind


Was Energieversorger über die anstehende ISMS-Pflicht wissen müssen
Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen

(24.03.15) - Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert, worauf sich die Energieversorger einstellen müssen.

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

"Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen", sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. "Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen." (prego services: ra)

prego systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Datenschutz als Wettbewerbsvorteil

    Seit dem 25. Mai 2018 gilt in allen Ländern der EU ein einheitliches Datenschutzrecht (Datenschutz-Grundverordnung - DSGVO). Für kleine und mittlere Unternehmen (KMU) haben sich mit der Verordnung neue Anforderungen an den Datenschutz gestellt. Um die Übersicht zu verbessern, stellt Deutschland sicher im Netz e.V. (DsiN) im Verbund mit seinen Mitgliedern und Unterstützung des Bundesdatenschutzbeauftragten den Datenschutz-Navigator.org als neues Hilfsangebot bereit. Der Onlinecheck führt durch sämtliche praxisrelevante Themen rund um Datensicherheit und zeigt, wie Betriebe Datenschutz praxisgerecht umsetzen können.

  • Elektronische Rechnungen & EU-MwSt.-Richtlinie

    Nach der Verkündung der EU-Kommission vom 18. April 2019 wissen Unternehmen nun zumindest theoretisch dass die Richtlinie für elektronische Rechnungen gültig ist. "Theoretisch", weil es sich dabei auf den ersten Blick nicht unbedingt um Neuigkeiten von großer Bedeutung handelt. Vor allem, da Unternehmen höchst wahrscheinlich schon seit einiger Zeit ein System für ihre Rechnungsstellung nutzen. Dieser Beitrag fasst zusammen was Unternehmen beachten müssen um den Richtlinien zu entsprechen und weist zusätzlich auf einige Fälle hin, bei denen Unternehmen möglicherweise schon seit geraumer Zeit die EU-MwSt.-Richtlinie missachten.

  • Praxishilfe zur EU-Verordnung elDAS

    Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich komplexer Prozess. TÜV Trust IT hat deshalb hierzu eine umfangreiche Praxishilfe herausgegeben. Mit elDAS ist erstmals die digitale Kommunikation von Wirtschaft, Verwaltung und Bürgern rechtsverbindlich, grenzüberschreitend, vollständig medienbruchfrei und sicher möglich. Dass diese Verordnung tatsächlich schon zu einer deutlichen Zunahme der qualifizierten Vertrauensdienste in Europa geführt hat, lässt sich an dem durch die EU geführten Verzeichnis der qualifizierten Anbieter ablesen: EU Trusted List of Trust Service Providers (TSL). Zudem wird die Nutzung von Vertrauensdiensten nach eIDAS in immer neuen Anwendungsbereichen zur Pflicht. Dies gilt beispielsweise im Finanzwesen, wo zur Erfüllung der Anforderungen der Payment Services Directive 2 (PSD2) die Nutzung von sogenannten Qualifizierten Siegeln und Zertifikaten (QWACS) zur Absicherung der Maschinenkommunikation vorgegeben wurde.

  • Was effektive Verschlüsselungsstrategie ausmacht

    Simon Keates, Business Development Director, EMEA bei Thales eSecurity, erläutert wie man eine effektive Verschlüsselungsstrategie am besten umsetzt und wie man die dazu notwendige Kommunikation mit der Führungsebene verbessert. "Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den Vorstandsetagen angekommen. Neben den unmittelbaren wirtschaftlichen Folgen einer Datenschutzverletzung gibt es ein breit gefächertes Arsenal an weiteren, potenziell verheerenden Auswirkungen.

  • Die Hölle sind die anderen

    Konflikte am Arbeitsplatz sind keine Seltenheit. Schließlich treffen hier täglich verschiedene Charaktere und Standpunkte aufeinander. Besonders unterschiedliche Erwartungen an die Gestaltung von Arbeit, mangelhafte Kommunikation und der Umgang mit Stress sorgen oftmals für Probleme. Dabei können schon kleine Missverständnisse eskalieren - Sticheleien, Witze hinter dem Rücken von Kollegen oder ein frustrierter Mitarbeiter, der sich im Ton vergreift. "All das erzeugt Stress und ist anstrengend. Solche Konflikte lenken nicht nur von den eigentlichen Aufgaben ab, sondern wirken sich auf lange Sicht negativ auf die Atmosphäre im gesamten Team aus", weiß Kommunikationsexperte und Konfliktmanager Robert Häckl von der Executive Mediation GmbH. Damit sich der Arbeitsplatz nicht dauerhaft in eine Kampfarena verwandelt, kann jeder Einzelne einen Beitrag zu einem harmonischen Miteinander leisten.