Österreich
Secure Your Business
 

NIS-Gesetz: Verbund AG
und TochtergesellschAften
zertifiziert nach ISO 27001 und 27019

 

Sicherheit für kritische Infrastruktur: Österreichweit erstes Kombi-Projekt mit Anforderungen aus ISO-Norm, NIS-Richtlinie, IT/OT.

 

CIS-Newsletter Juni 2018 - Zusätzlich zu „sauberem Strom aus Wasserkraft“ könnte VERBUND künftig auch für „sicheren Strom“ werben – zumindest gemäß der jüngsten Zertifizierungen nach ISO 27001 für Informationssicherheit sowie auch ISO 27019 mit Spezifika für die Energiewirtschaft. Im Rahmen des konzernweiten Projekts „Informationssicherheit, Cyber Security, Datenschutz“ wurden Teilbereiche der VERBUND AG, VERBUND Trading GmbH und Grenzkraftwerke GmbH im April dieses Jahres nach ISO 27001 zertifiziert. Beide letztgenannte Gesellschaften wurden zusätzlich auch nach dem „Add-On“ ISO 27019 mit spezifischen Anforderungen an die Leitsysteme zertifiziert.

 

Sicherer Strom statt Blackout
Dieser Schritt wurde marktseitig aufgrund der nationalen Umsetzung der EU-Richtlinie für Netz- und Informationssicherheit für „Betreiber wesentlicher Dienste“ (kritische Infrastruktur) erforderlich, die in Deutschland durch das IT-Sicherheits- und das BSI-Gesetz erfolgte. Für die Umsetzung in Österreich wird die Verabschiedung des entsprechenden Cyber-Sicherheitsgesetzes (NIS-Gesetz) in Kürze erwartet – laut EU-Vorgaben hätte es bereits im Mai soweit sein sollen. Im Rahmen des großangelegten Projekts wurden bei VERBUND daher auch gleich die Voraussetzungen geschaffen, dass sich weitere Gesellschaften des Konzerns – die Stromerzeugungsgesellschaften VERBUND Hydro Power GmbH und VERBUND Thermal Power GmbH, sowie der interne Dienstleister VERBUND Services GmbH – kurzfristig einer Zertifizierung unterziehen können, sobald die rechtlichen Voraussetzungen fixiert sind.

Interessant bei diesen Zertifizierungen ist die bisher österreicZertifikatuebergabe_Verbund-WEBhweit einzigartige Kombination von umfassenden Anforderungen: Erfüllung der ISO-Standards, Gesetzeskonformität gemäß NIS-Richtlinie und die Einbeziehung von IT sowie auch der Leittechnik für die Kraftwerke (Operational Technologies). „Die Erreichung der Zertifikate in dieser kurzen Durchlaufzeit ist für uns ein großer Erfolg: Der weitere Betrieb des Managementsystems für Informationssicherheit ist für uns als zuverlässiger Energiedienstleister von größter Bedeutung – der Blackout soll auch in Zukunft ein Literatur-Bestseller bleiben, und nicht bei uns Realität werden“, betont VERBUND-CIO und Projektleiter DI Dr. Walter Fraißler.

 

 

NIS-Richtlinie und Cyber-Sicherheitsgesetz
Details zu dem geplanten Cyber-Sicherheitsgesetz berichtete CERT-Leiter und nic.at-Geschäftsführer Mag. Robert Schischka auf dem „14. Information-Security-Symposium“ vor einem interessierten Fachpublikum (Link zu den Präsentationen): Adressiert werden Betreiber kritischer Infrastruktur mit großer wirtschaftlicher oder gesellschaftlicher Bedeutung und relevanter Größenordnung, wie Energieversorger oder Gesundheitseinrichtungen. Wen es konkret betrifft wird auf Basis eines Kriterienkatalogs ermittelt und durch Bescheid der Behörde festgelegt. Auch Anbieter wichtiger digitaler Dienste wie Internet- oder Cloud-Services sind in abgemilderter Form von dem neuen Cyber-Sicherheitsgesetz betroffen. Es sieht die Erfüllung von Mindestsicherheitsanforderungen sowie Meldepflichten vor, je nach Branche mit Ex-ante- oder Ex-post-Nachweispflichten.
„Da sich das Gesetz an gängigen Standards ausrichtet und sich mit den Inhalten der ISO 27001 überschneidet, haben zertifizierte Unternehmen einen Gutteil ihrer Hausaufgaben bereits erledigt“, erklärt CIS-Geschäftsführer Erich Scheiber. So sind laut Cyber-Sicherheitsgesetz „verhältnismäßige technische und organisatorische Maßnahmen nach dem Stand der Technik“ zu definieren, um Risiken zu minimieren. Diese Formulierung erinnert an den risikobasierten Ansatz der ISO 27001 zur Festlegung geeigneter Sicherheitsmaßnahmen. Erich Scheiber: „Die Erfüllung der Forderungen ist mittels geeigneter Nachweise gegenüber den NIS-Behörden zu belegen. Deshalb wird ein bestehendes ISO-27001-Zertifikat den zusätzlich erforderlichen NIS-Audit-Aufwand erheblich reduzieren“.

 

Foto - offizielle Übergabe der Zertifikate - v.l.n.r.: Hubert Eigner (Informationssicherheitsbeauftragter VERBUND Trading), Walter Fraißler (CIO und Projektleiter VERBUND), Erich Scheiber (GF CIS-CERT), Robert Slovacek (GF VERBUND Trading), Robert Wührer (Leiter Technik Grenzkraftwerke), Johann Schmölzer (Informationssicherheitsbeauftragter der Erzeugung Wasserkraft). Foto: Christian Goldstein

 

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB