10.11.2015 - Pressemitteilungen

TOTAL unterstützt bei IT-Sicherheitsmanagement

tenag.jpg

Joint Venture TENAG bietet Kunden über seine Managementsysteme nach ISO 50001 für Energiemanagement auch Lösungen zu Fragen der IT-Sicherheit an. Die neue Regulierung nach dem IT-Sicherheitsgesetz verpflichtet Betreiber von Energieversorgungsnetzen und Energieanlagen zur Einführung von IT-Sicherheitsmanagementsystemen nach ISO 27001.

Die ISO 27001 entspricht in Ihrem Aufbau bekannten Managementsystemen wie der ISO 50001 für Energiemanagement oder der ISO 9001 für Qualitätsmanagement und fokussiert bereichsübergreifend auf IT Sicherheitsfragen. Aufgrund der Komplexität des Themas und der direkten Auswirkung auf alle IT-Nutzer empfiehlt TENAG Unternehmen eine frühzeitige Beschäftigung mit der Thematik.

Matthias Lisson, Geschäftsführer des TOTAL Joint Ventures TENAG GmbH in Wiesbaden sagte: „Die ISO 27001 kann strukturell gut in bestehende integrierte Managementsysteme aufgenommen werden. Energieversorgungsunternehmen und Netzbetreiber haben in den letzten Jahren verstärkt Energiemanagementsysteme eingeführt. So bietet die ISO 50001, wie jedes Qualitätsmanagementsystem, einen passenden Rahmen, um das Thema IT-Sicherheit im Unternehmen nach Prozessabläufen zu erfassen.“

Die für das Thema verantwortliche TENAG Abteilungsleiterin Inna Nickel führt weiter aus: „Wir sind ein natürlicher Partner der Energie- und Wasserwirtschaft, um den Anforderungen nach ISO 27001 und dem neuen IT-Sicherheitsmanagementsystem gerecht zu werden. TENAG bietet sowohl Managementsystemdienstleistungen als auch Monitoringlösungen und Individualsoftwareentwicklung. Für den Einstieg in das Thema und zur Begutachtung der Ist-Situation eines Unternehmens führen wir Gap-Analysen durch, die den konkreten Handlungsbedarf für ein Unternehmen aufzeigen.“

Betreiber kritischer Infrastrukturen im Fokus

Das neu in Kraft getretene IT-Sicherheitsgesetz verpflichtet „Betreiber kritischer Infrastrukturen“ (siehe KRITIS) Sicherheitsmanagementsysteme nach ISO 27001 einzuführen. Dazu zählen folgende Sektoren: Energieversoger, Finanz- und Versicherungswesen, Informationstechnik- und Telekommunikationsanbieter falls nach §2 des IT-Sicherheitsgesetzes eingestuft als „von hoher Bedeutung für das Funktionieren des Gemeinwesens” Die nähere Bestimmung der kritischen Infrastrukturen wird durch Rechtsverordnung nach §10 Abs. 1 des IT-Sicherheitsgesetztes bestimmt. Für Betreiber von Energieversorgungsnetzen und Energieanlagen werden damit die Anforderungen aus §11 des Energiewirtschaftsgesetzes konkretisiert. 

Die Verpflichtung gilt seit In-Kraft-Treten des Gesetzes, Betreiber kritischer Infrastrukturen, erhalten jedoch eine Übergangszeit bis zum 30. November 2018 zugesprochen. Nach §8b Abs. 3 des IT-Sicherheitsgesetztes müssen jedoch die Kontaktstellen bereits sechs Monate „…nach Inkrafttreten der Rechtsverordnung…“ benannt werden und über das hinterlegte Formular per Mail an it-sicherheitskatalog@bnetza.de gesendet werden. Die Bundesagentur setzte diesen Frist auf 30. November 2015 fest.

Vor diesem Hintergrund richtet TENAG für betroffene Unternehmen eine Anlaufstelle zu Fragen rund um ISO 27001 ein. Bei Verstößen gegen die Bestimmungen des neuen IT-Sicherheitsgesetzes drohen Bußgelder von bis zu 100.000,- Euro (siehe §14). Weitere Forderungen umfassen das Einhalten eines angemessenen IT-Sicherheitsstandards unter Einhaltung des Standes der Technik. Zusätzlich nach § 8a Abs. 2 des IT-Sicherheitsgesetztes sollen die einzelnen Verbände der einzelnen industriellen Sektoren die branchenspezifischen Sicherheitsstandards ausarbeiten. 

Als Orientierungspunkte für die Entwicklung solcher Sicherheitsstandards sind die ISO 2700x-Normreihe und die IT-Grundschutz-Kataloge des BSI. BSI überprüft die Gültigkeit/Richtigkeit der ausarbeiteten Sicherheitsstandards. Die Erfüllung der Anforderungen nach §8a Abs. 1 des IT-Sicherheitsgesetztes ist durch Sicherheitsaudit, Prüfung oder Zertifizierung im Zwei-Jahres-Rhythmus nachzuweisen.  Außerdem unterliegen die KRITIS einer Meldepflicht gegenüber dem Bundesamt (BSI) nach §8 Abs. 4 IT-Sicherheitsgesetztes. Ausgenommen von der Verpflichtung sind kleine- und mittlere Unternehmen, kurz KMU nach der 2003/361/EG, jedoch entbindet dies eine Vielzahl an Netz- und Anlagenbetreibern mit öffentlicher Beteiligung dennoch nicht von der Verpflichtung zur Einführung der ISO 27001.  Die Bundesagentur gewährt den Betreibern kritischer Infrastrukturen nach KRITIS eine Übergangsfrist von zwei Jahren für die Umsetzung und Entwicklung eines angemessenen Sicherheitsstandes.

Mehr Infos unter www.tenag.de oder telefonisch 0611 / 262 395 - 0.