Aktuelle Vorgaben von Prüf- und Zertifizierungsstellen bei COVID-19

Wie in unseren letzten News bereits mitgeteilt, stehen wir im regen Austausch mit Akkreditierungs-, Prüf- und Zertifizierungsstellen, um die Möglichkeiten in laufenden Prüf- und Zertifizierungsverfahren auszuloten und die Auswirkungen von COVID-19 so gering wie möglich zu halten.

Die folgenden Erkenntnisse konnten wir in den vergangenen Tagen sammeln:

Verfahren nach ISO 27001 auf der Basis von IT-Grundschutz

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat alle Auditoren darüber informiert, dass generell „bevorstehende Vor-Ort-Audits bis auf Weiteres als Web-Konferenz durchgeführt werden“ sollten. „Sollte dies nach Einschätzung des Auditors nicht sinnvoll erscheinen, muss das Audit verschoben werden“.
  • „Wird seitens der zu zertifizierenden Institution signalisiert, dass z.Z. kein Audit möglich ist muss das Audit ebenfalls entsprechend verschoben werden.“

In der Kommunikation mit dem BSI versuchen wir die bestmöglichen Maßnahmen zusammen mit unseren Kunden auszuwählen. Es wird immer versucht, mögliche Fristen einzuhalten und eine lückenlose Ausstellung von Zertifikaten bei Re-Zertifizierungen zu gewährleisten. Wir sind bis jetzt immer auf ein sehr kulantes Vorgehen beim BSI gestoßen. Alle Verschiebungen oder Änderungen der Vorgehensweise sind aber vorab immer mit dem BSI abzustimmen.

Verfahren nach ISO 27001 native

Die Vorgaben der Deutschen Akkreditierungsstelle (DAkkS) sind an dieser Stelle deutlich strenger. In den auf der Webseite der DAkkS veröffentlichten Informationen verweist die Akkreditierungsstelle auf das IAF-Dokument „IAF ID3:2011 (IAF Informative Document For Management of Extraordinary Events or Circumstances Affecting ABs, CABs and Certified Organizations)“. Generell ist es in Abstimmung mit den jeweils zuständigen Zertifizierungsstellen möglich, Audits für Zeiträume von nicht mehr als 6 Monaten zu verschieben und für Teile der Audits sogenannte „alternative Methoden“ zu nutzen. Die Remote-Tätigkeiten können aber Audits vor Ort nicht ersetzen, sofern diese durch Behörden oder andere Programmeigner vorgegeben sind. Sollten aktuell keine vor Ort Audits möglich sein, ist eine Verschiebung unumgänglich.

Verfahren nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz

Es gelten dieselben Vorgaben wie beim „Verfahren nach ISO 27001 native“. In eigenen „Handlungsanweisungen zum Umgang mit den Risiken im Zusammenhang mit der Ausbreitung von SARS-CoV-2 für die Tätigkeit von Konformitätsbewertungsstellen im Bereich des IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen“, Stand 16.03.2020 wird noch einmal spezifiziert, dass der Anteil von Remote-Audits bei Überwachungsaudit 50% und bei Rezertifizierungsaudits 70% der Auditzeit nicht überschreiten darf. Ein vollständiger Ersatz der vor Ort Audits durch Remote-Audits ist ebenfalls nicht möglich.

Audits im Umfeld der TR-03109-6

Für alle Audits im Umfeld der TR-03109-6, die für die Smart Meter Gateway Administration relevant sind, gelten dieselben Vorgaben wie im „Verfahren nach ISO 27001 auf der Basis von IT-Grundschutz“. Bei der Durchführung der Audits ist allerdings das BSI vorab nicht zu informieren. Hier muss lediglich im Prüfbericht vermerkt werden, in welcher Art und Weise das Audit durchgeführt wurde. Ein vollständiges Remote-Audit ist also möglich.

Zusätzlich weist das BSI darauf hin, dass die „TR-Anforderung, dass der GWA grundsätzlich nicht von zu Hause oder mobil arbeiten darf“, „aus den bekannten Gründen derzeit ausgesetzt“ ist.

Prüfungen im Umfeld von §8a (3) BSIG und KritisV

Für die anstehenden Prüfungen im Umfeld von §8a (3) BSIG und KritisV haben wir in Abstimmung mit unseren Kunden das BSI bereits angeschrieben. Eine telefonische Erreichbarkeit des Kritis-Büros war nicht gegeben, die Anfragen sind schriftlich per E-Mail zu stellen. Wir warten bisher auf Antwort, wie wir vor Ort Prüfungen und Begehungen von Anlagen umgegangen werden soll.

Fragen / Unterstützung?

Benötigen Sie Unterstützung in Ihren aktuellen Verfahren oder haben Sie Fragen zur weitern Vorgehensweise? Sprechen Sie uns gerne an.

Wir wünschen Ihnen allen einigermaßen ruhige Tage und bleiben Sie vor allem gesund!