- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Welche Zertifikate notwendig sind


Was Energieversorger über die anstehende ISMS-Pflicht wissen müssen
Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen

(24.03.15) - Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert, worauf sich die Energieversorger einstellen müssen.

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

"Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen", sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. "Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen." (prego services: ra)

prego systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Erfordernis einer digitalen Due Diligence

    Fusionen und Übernahmen (Mergers & Acquisitions, M&As) bieten Unternehmen bedeutende Möglichkeiten, ein schnelles Wachstum zu erzielen oder Wettbewerbsvorteile zu erlangen. Diese reichen von der Bündelung von Ressourcen über die Diversifizierung des Produkt- und Dienstleistungsportfolios, die Erschließung neuer Märkte bis hin zum Erwerb neuer Technologien oder Fachkenntnisse. Mit dem Verlauf der Pandemiekrise wird voraussichtlich in Branchen weltweit Bewegung durch Fusionen und Übernahmen kommen. Dabei kommt dem Digitalisierungsgrad von Unternehmen eine immer höhere Bedeutung zu. Welche Rolle dabei die Datensicherheit spielt und wie sich diese im Vorfeld prüfen lässt, wird im nachfolgenden Artikel erläutert.

  • Einsatz von KI-Anwendungen

    NTT identifiziert die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen. Der Siegeszug Künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn sie müssen sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert.

  • Für welche Unternehmen gilt die XRechnungspflicht?

    Zulieferer öffentlicher Behörden auf Bundesebene sowie in Bremen müssen ihre Rechnungen ab 27. November 2020 elektronisch ausstellen: PDF-Dokumente ohne strukturierte Zusatzinformationen gelten dann nicht mehr als elektronische Rechnung. Unternehmen, welche diese Verpflichtung unmittelbar betrifft, haben bereits vorgesorgt oder rüsten jetzt ihr Unternehmen rechtssicher - mit der XRechnung. Um die Kriterien zu erfüllen müssen E-Rechnungen zwingend als strukturierter Datensatz ausgetauscht und ausgelesen werden können. Dazu wird hierzulande das Format XRechnung als Standard etabliert - die XRechnung ist ein XML-basiertes semantisches Datenmodell, mit dem Deutschland die Vorgaben des Europäischen Komitees für Normung (CEN) für die in einer elektronischen Rechnung enthaltenen Daten realisiert. Von Seiten des Bundes wurden bereits mit Stichtag 18. April die Weichen für die Umstellung auf die digitale Rechnung gestellt.

  • Die E-Rechnung in Wirtschaft und Verwaltung

    Die öffentliche Verwaltung treibt den Abschied vom Papier voran: Ab dem 27. November 2020 wird die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Länder und Kommunen müssen bereits seit April elektronische Rechnungen annehmen. Für viele Unternehmen ist diese Umstellung eine Herausforderung, immerhin erstellt derzeit noch ein Drittel Rechnungen überwiegend oder sogar ausschließlich in Papierform (33 Prozent). Der Digitalverband Bitkom hat jetzt eine neue Version des Faktenpapiers "10 Merksätze für elektronische Rechnungen" veröffentlicht, das kleinen, mittleren und großen Betrieben bei der Umstellung auf die E-Rechnung hilft. Denn diese muss in einem bestimmten strukturierten Format erstellt werden und eine automatische Verarbeitung ermöglichen - es handelt sich also nicht um eine elektronisch versendete Rechnung, die etwa als PDF an eine Mail angehängt wird.

  • Einrichtung eines Überwachungssystems

    Die Frage, wie das Überwachungssystem eines Unternehmens und das Zusammenspiel der einzelnen Unternehmensfunktionen ausgestaltet werden, lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen ist nun Thema einer neuen Stellungnahme von DIIR - Deutsches Institut für Interne Revision e.V. und RMA Risk Management & Rating Association e.V.