Übergangsreglung für Betreiber von Strom- und Gasnetzen endet am 31.12.2020
Für Betreiber von Strom- und Gasnetzen bestand nach „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ die Pflicht, bis spätestens 31.01.2018 den Nachweis zu erbringen, dass die Anforderungen des IT-Sicherheitskatalogs umgesetzt wurden. Diese Umsetzung ist seitdem mit einem gültigen Zertifikat zu belegen und aufrechtzuerhalten. Grundlage für dieses Zertifikat bilden neben dem IT-Sicherheitskatalog die Normen ISO/IEC 27001:2013 und die ISO/IEC TR 27019:2013.
Mit dem 16.11.2017 wurde ein neues „Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT- Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006“ veröffentlicht, welches vorsieht, dass die Betreiber neben den Anforderungen der ISO/IEC 27001:2013 nun die Anforderungen der aktualisierten ISO/IEC 27019:2017 einhalten müssen.
Für die Verantwortlichen heißt dies, dass vor allem die vorhandenen Kontrollmaßnahmen an die neue Normstruktur angepasst werden müssen. Neben der neuen Struktur sind auch die überarbeiteten Inhalte zu berücksichtigen und deren Umsetzung in der Erklärung zur Anwendbarkeit (Statement of Applicability – SoA) zu belegen.
Die Umsetzungsfrist hierfür endet am 31.12.2020. Ab dem 01.01.2021 müssen demnach alle „Audits zur Erst- oder Rezertifizierung und Überwachungsaudits im Rahmen des IT-Sicherheitskatalogs gemäß § 11 Absatz 1a EnWG […] verpflichtend unter Berücksichtigung der ISO/IEC 27019:2017 […] erfolgen“.
(Quelle: Konformitätsbewertungsprogramm der BNetzA, Stand 16.11.2017).
Das Konformitätsbewertungsprogramm sowie der IT-Sicherheitskatalog können auf der Webseite der BNetzA heruntergeladen werden.
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Umsetzung der neuen Anforderungen? Sprechen Sie uns an.
Wir freuen uns auf Sie.