Wie in unseren letzten News bereits mitgeteilt, stehen wir im regen Austausch mit Akkreditierungs-, Prüf- und Zertifizierungsstellen, um die Möglichkeiten in laufenden Prüf- und Zertifizierungsverfahren auszuloten und die Auswirkungen von COVID-19 so gering wie möglich zu halten.

Die folgenden Erkenntnisse konnten wir in den vergangenen Tagen sammeln:

Verfahren nach ISO 27001 auf der Basis von IT-Grundschutz – (Stand 20.03.2020)

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat alle Auditoren darüber informiert, dass generell „bevorstehende Vor-Ort-Audits bis auf Weiteres als Web-Konferenz durchgeführt werden“ sollten. „Sollte dies nach Einschätzung des Auditors nicht sinnvoll erscheinen, muss das Audit verschoben werden“.
  • „Wird seitens der zu zertifizierenden Institution signalisiert, dass z.Z. kein Audit möglich ist muss das Audit ebenfalls entsprechend verschoben werden.“

In der Kommunikation mit dem BSI versuchen wir die bestmöglichen Maßnahmen zusammen mit unseren Kunden auszuwählen. Es wird immer versucht, mögliche Fristen einzuhalten und eine lückenlose Ausstellung von Zertifikaten bei Re-Zertifizierungen zu gewährleisten. Wir sind bis jetzt immer auf ein sehr kulantes Vorgehen beim BSI gestoßen. Alle Verschiebungen oder Änderungen der Vorgehensweise sind aber vorab immer mit dem BSI abzustimmen.

Verfahren nach ISO 27001 native – (Stand 04.05.2020)

Laut veröffentlichten FAQs der IAF, an die auch deutsche Akkreditierungsstellen gebunden sind, werden Remote-Audits in der COVID-19 Pandemie auch bis 100% Remote-Tätigkeit unterstützt.

Viele Zertifizierungsstellen geben allerdings zu bedenken, dass generell immer eine individuelle Abstimmung der Kunden und Auditoren mit den jeweils zuständigen Zertifizierungsstellen erforderlich ist. Das Verschieben von Audits für Zeiträume von nicht mehr als 6 Monaten ist ebenfalls weiterhin in Abstimmung zulässig. Die Remote-Tätigkeiten können aber Audits vor Ort nicht ersetzen, sofern diese durch Behörden oder andere Programmeigner vorgegeben sind.

Jede Überlegung zur Ausführung der Audittätigkeiten sollte unter risikobasiertem Ansatz erfolgen.

Verfahren nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz – (Stand 04.05.2020)

Es gelten dieselben Vorgaben wie beim „Verfahren nach ISO 27001 native“. In eigenen „Handlungsanweisungen zum Umgang mit den Risiken im Zusammenhang mit der Ausbreitung von SARS-CoV-2 für die Tätigkeit von Konformitätsbewertungsstellen im Bereich des IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen“, Stand 16.03.2020 wird noch einmal spezifiziert, dass der Anteil von Remote-Audits bei Überwachungsaudit 50% und bei Rezertifizierungsaudits 70% der Auditzeit nicht überschreiten darf. Ein vollständiger Ersatz der vor Ort Audits durch Remote-Audits ist ebenfalls nicht möglich.

Einige unserer Kunden stehen aktuell in Kontakt mit der Bundesnetzagentur (BNetzA), um diese Vorgaben vor dem Hintergrund anhaltender Kontaktbeschränkungen in den Unternehmen zur Wahrung der Versorgungssicherheit und somit drohenden Aussetzungen von gesetzlich vorgeschriebenen Verfahren zu hinterfragen. Wir halten Sie an dieser Stelle über neue Erkenntnisse informiert.

Audits im Umfeld der TR-03109-6 – (Stand 20.03.2020)

Für alle Audits im Umfeld der TR-03109-6, die für die Smart Meter Gateway Administration relevant sind, gelten dieselben Vorgaben wie im „Verfahren nach ISO 27001 auf der Basis von IT-Grundschutz“. Bei der Durchführung der Audits ist allerdings das BSI vorab nicht zu informieren. Hier muss lediglich im Prüfbericht vermerkt werden, in welcher Art und Weise das Audit durchgeführt wurde. Ein vollständiges Remote-Audit ist also möglich.

Zusätzlich weist das BSI darauf hin, dass die „TR-Anforderung, dass der GWA grundsätzlich nicht von zu Hause oder mobil arbeiten darf“, „aus den bekannten Gründen derzeit ausgesetzt“ ist.

Prüfungen im Umfeld von §8a (3) BSIG und KritisV – (Stand 17.04.2020)

Nach aktuellen Informationen unserer Kunden erhalten diese derzeit Schreiben seitens des KRITIS-Büros, mit der Information dass das BSI davon ausgeht, das Personal der kritischen Infrastruktur für die Aufrechterhaltung der Versorgungssicherheit einzusetzen und nicht in Prüfungen zu binden. Das BSI sieht nach eigenen Aussagen derzeit davon ab, Mahnschreiben, Anordnungen und Zwangsgeldfestsetzungen zu versenden, um die Nachweiserbringung durchzusetzen. Es wird erwartet, dass die Vorlage der von März bis Juli 2020 fälligen Nachweise bis spätestens 5 Monate nach der bisherigen Fälligkeit beim BSI vorliegen. [Quelle: Anschreiben des Kritis-Büros an einen Kunden]

Auch die Durchführung von Remote-Audios soll möglich werden, die Begehung von kritischen Infrastrukturen muss dennoch durchgeführt und ggf. kurzfristig nachgeholt werden.

Laut BSI müssen die „Betreiber das Folgende tun:

  1. Wir benötigen eine Bestätigung des Managements über die ergriffenen Maßnahmen zur Pandemievorsorge, aus der deutlich wird, dass es derzeit keine Möglichkeit für die Auditoren gibt, die Vor-Ort-Prüfung durchzuführen. Diese ist von den Betreibern zusammen mit den restlichen Nachweisunterlagen einzureichen. Diese Bestätigung ist dem BSI monatlich unaufgefordert erneut vorzulegen, solange die Maßnahmen zur Pandemievorsorge in Kraft sind.
  2. Der Auditor führt die Prüfung bis auf die Vor-Ort-Prüfung vollständig durch und erstellt darüber die entsprechenden Nachweisunterlagen.
  3. Der Fakt, dass eine Vor-Ort-Prüfung nicht möglich war, muss dabei in der mit den Nachweisunterlagen eingereichten Mängelliste als entsprechend schwerwiegender Mangel auch vermerkt sein.“

[Quelle: E-Mail des Kritis-Büros auf unsere Anfrage]

Bitte stimmen Sie Ihre individuelle Vorgehensweise immer mit dem Kritis-Büro ab.

Fragen / Unterstützung?

Benötigen Sie Unterstützung in Ihren aktuellen Verfahren oder haben Sie Fragen zur weitern Vorgehensweise? Sprechen Sie uns gerne an.

Wir wünschen Ihnen allen einigermaßen ruhige Tage und bleiben Sie vor allem gesund!