Österreich
Secure Your Business
 

Hochspannung im Energiesektor:
ISO-27019-Zertifikat gibt Sicherheit


Nachweise in Richtung NIS-Gesetz werden erleichtert durch ISO-27019-Zertifikat
als Add-On zu ISO 27001 für Informationssicherheit.

 

 

CIS-Newsletter Juni 2018 - Für Hochspannung im Energiesektor sorgt die nationale Umsetzung der EU-NIS-Richtlinie. Diese legt für Betreiber wesentlicher Dienste eine deutliche Betonung auf die Nachweisbarkeit des geforderten Sicherheits- und Verfügbarkeitsniveaus. Für den Energiesektor ist die Subnorm der ISO-27000-Familie, ISO/IEC 27019:2017, als Add-On zu ISO/IEC 27001 seit wenigen Monaten zertifizierbar. Im Dezember 2017 hat die CIS die staatliche Akkreditierung als Zertifizierungsstelle für ISO 27019 erreicht.

 

Sicherheit für Leitsysteme
Die Subnorm macht die Sicherheitsmaßnahmen aus ISO 27002 anwendbar auf die Prozessleitsysteme und die Automatisierungstechnik von Energieversorgungsunternehmen. Inhaltlich adressiert ISO 27019 Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Der erfasste Sicherheitsbereich inkludiert die physische Sicherheit, die für den Betrieb notwendigen Nebenanlagen, die Mess- und Regeltechnik, die Steuerungstechnik, die Schutztechnik, die Fernwirktechnik bis hin zu Kommunikations- und Kontrolleinrichtungen sowie Netzwerk- und Firewall-Einstellungen.
 

Zertifizierung erleichtert NIS-Nachweise

„Für heimische Energieversorger, die auch den deutschen Markt bedienen, ist ab einem gewissen Grenzwert für Netzbetreiber die Zertifizierung nach dem Energiewirtschaftsgesetz und für Erzeugungsanlagen und Handel nach dem BSI-Gesetz verpflichtend“, erklärt CIS-Auditor und TischlingerFachexperte DI (FH) Matthias Tischlinger. Auch in diesen Bereichen führt die CIS Zertifizierungen auf der Grundlage der Akkreditierung für ISO 27001/27019 mit den Ergänzungen aus dem Energiewirtschaftsgesetz und dem BSI-Gesetz durch. In Österreich werden Zertifizierungen gemäß dem Entwurf zum Cyber-Sicherheitsgesetz als nationale Umsetzung der EU-NIS-Richtlinie zwar nicht verpflichtend sein, allerdings richten sich die gesetzlichen Forderungen inhaltlich an gängigen Standards wie ISO 27001/27019 aus, so dass eine Zertifizierung die zu erbringenden Nachweise für ein hohes Sicherheitsniveau erfüllt oder zumindest wesentlich erleichtert (siehe Juni-Newsletter-Beitrag „NIS-Gesetz: Verbund AG…“).

 

Energiewende
Abgesehen von den gesetzlichen Vorgaben für die großen Energieversorger ist in Zukunft vermehrt auch mit freiwilligen Zertifizierungen im Energiebereich zu rechnen. „Es ist absehbar, dass verstärkt Audits oder Nachweise für die Informationssicherheit im Zusammenhang mit Energielieferungen eingefordert werden“, meint Matthias Tischlinger. Die Kritikalität der Energieversorgung wird durch die Energiewende und der damit verbundenen alternativen Energieerzeugung zunehmen. Die steigende Anzahl an alternativen Energieerzeugungsanlagen erfordert einen erhöhten Informationsaustausch zwischen den Erzeugungsanlagen und den Netzbetreibern. Hier greifen gesicherte Systeme, meist mit eigener ICT/IKT-Infrastruktur auf viele am Markt befindliche Systeme von alternativen Energieerzeugern zu. Dies führt zu einem erhöhten Risiko eines Cyber-Angriffes auf die allgemeine Energieversorgung. Eine ISO-27001/27019-Zertifizierung ist ein adäquater Nachweis und gibt Sicherheit für die Energieerzeuger, die Energienetzbetreiber und deren Kunden, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden. Sein Fazit: „Alle Sektoren der kritischen Infrastruktur – Wasser, Ernährung, Gesundheit, Verkehr, Finanz, Telekommunikation – hängen vom Sektor Energie ab.“

 


_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB