Zertifizierung eines ISMS gemäß ISO 27001 für Energienetzbetreiber - unternehmensweite Kraftanstrengung oder Last-Minute-Projekt?
Die Zeit läuft…
Am 25.07.2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten, am 12.08.2015 wurde der IT-Sicherheitskatalog der Bundesnetzagentur veröffentlicht. Zusammen definieren beide Regelungen die behördlichen und gesetzlichen Anforderungen an Energienetzbetreiber im Bereich Informationssicherheit.
Eine zentrale Erkenntnis daraus ist sicherlich, dass die Betreiber von Energienetzen - unabhängig davon, ob sie zu dem Bereich der kritischen Infrastruktur (KRITIS) zählen - den Vorgaben des §11 EnWG unterliegen. Über die dort enthaltene Verpflichtung, den IT-Sicherheitskatalog der Bundesnetzagentur einzuhalten und dies zu dokumentieren, ergibt sich für Energienetzbetreiber die Vorgabe, spätestens bis zum 31.01.2018 ein Informationssicherheits-Managementsystem (ISMS) nach DIN ISO/IEC 27001 aufzubauen und zertifizieren zu lassen.
Vorgehensweise zur Einführung eines ISMS
Zunächst einmal konzentriert sich die anzuwendende Norm (ISO 27001) nicht nur auf die IT, sondern auch auf andere wichtige Informationswerte (Assets) und auf alle Prozesse eines Unternehmens. Grundsätzlich sind demnach zahlreiche Bereiche des Unternehmens betroffen, es geht nicht um ein gekapseltes IT-Projekt.
Der erste Schritt ist - wie so oft - die Ist-Aufnahme. Wichtigster Punkt in diesem Schritt ist die Bestandsaufnahme der Netzinfrastruktur.
Es folgt die Definition des Anwendungsbereichs, in dem unter anderem die relevanten Assets identifiziert und die Anforderungen an ein ISMS definiert werden. Daraus folgt der Geltungsbereich des zu implementierenden ISMS - und damit auch die Festlegung, welche Unternehmensbereiche von den folgenden Schritten betroffen sind.
Die Definition der Sicherheitsziele und der Sicherheitspolitik liefern den Rahmen für alle weiteren Überlegungen. Neben der Betrachtung von Verantwortlichkeiten und Organisationsstrukturen geht es hier auch um die Definition von Messmethoden und Kommunikationsstrukturen.
In der folgenden Risikoidentifizierung ist neben der Analyse von Risiken im Geltungsbereich des ISMS auch die Festlegung eines übergreifenden Risikomanagementprozesses notwendig.
Aus der Analyse der Risiken sind entsprechende Maßnahmen abzuleiten, mit denen die Risiken gemäß den Sicherheitszielen und der Sicherheitspolitik zu behandeln sind. Die definierten Maßnahmen können in einem großen Komplexitäts- und Aufwands-Bereich liegen, es ist also eine entsprechende Priorisierung und Umsetzungsplanung vorzunehmen.
Schließlich müssen die definierten Maßnahmen umgesetzt werden - inkl. der notwendigen Dokumentationen und Schulungen.
Den Abschluss des gesamten Vorgehens bildet die Zertifizierung des ISMS - und damit die Erfüllung der eingangs beschriebenen Anforderungen.
Worauf kommt es jetzt an?
Die meisten Energienetzbetreiber werden im beschriebenen Vorgehen zu Implementierung und Zertifizierung eines ISMS schon mehr oder weniger weit vorangeschritten sein. Jetzt kommt es darauf an, die Zielgerade mit Blick auf die Zertifizierung bis zum 31.01.2018 zu meistern.
Einige Punkte sind dabei zu beachten, die am Ende eine erfolgreiche und zeitgerechte Zertifizierung noch verhindern können:
- Die Dokumentation der Prozesse und Maßnahmen im Rahmen des ISMS muss vollständig und zielgruppengerecht erstellt sein.
- Die Mitarbeiter in den Prozessen des Geltungsbereichs des ISMS müssen entsprechend der festgelegten Prozesse und Maßnahmen geschult werden.
- Ein Review durch einen bisher unbeteiligten Dritten kann helfen, noch unberücksichtigte Punkte in der Planung aufzudecken und rechtzeitig anzugehen. Auch der Probelauf eines Audits vor der eigentlichen Zertifizierung kann Überraschungen vermeiden helfen.
- Und nicht zuletzt die Auswahl des Zertifizierers und die Terminabstimmung sollte frühzeitig angegangen werden.