Zertifizierungspflicht von Energienetzbe-treibern bei Betriebsführung durch Dritte

Veröffentlicht am von

Zukünftig müssen Netzbetreiber in der Regel auch dann eine Zertifizierung nach IT-Sicherheitskatalog durchführen, wenn sie die Betriebsführung ausgelagert haben

Pressemeldung der Firma Süd IT AG

Netzbetreiber müssen gemäß §11 Abs. 1a EnWG den Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sicherstellen. Der Nachweis erfolgt durch eine Zertifizierung gemäß den Vorgaben des „IT-Sicherheitskatalog gemäß § 11 Abs. 1a Energiewirtschaftsgesetz“ der Bundesnetzagentur.

In einigen Fällen haben Energienetzbetreiber die Betriebsführung ihres Energieversorgungsnetzes an Dritte, den Betriebsführer, ausgelagert. Damit erlosch bisher in der Regel auch die Pflicht des Netzbetreibers eine eigene Zertifizierung nach dem IT-Sicherheitskatalog durchzuführen. Mit einem Schreiben hat die Bundesnetzagentur diese  Netzbetreiber adressiert. In Zukunft müssen diese in der Regel selbst eine Zertifizierung nachweisen. Ausnahmen davon sind jedoch in einem begrenztem Umfang möglich.

Netzbetreiber, die den Betrieb Ihres Netzes ausgelagert haben, konnten bisher relativ einfach dieser oft lästige und kostenträchtige Pflicht entkommen. Zukünftig ist dies schwieriger geworden. Mit Recht weist die BNetzA darauf hin, dass Netzbetreiber in Zukunft grundsätzlich selbst zertifizieren müssen. Zum Teil folgt dies aus den allgemeingültigen Zertifizierungsvorgaben der ISO/IEC 17021. Dazu macht es durchaus Sinn, dass Netzbetreiber eine eigene Zertifizierung anstreben müssen, wenn zumindest Teilprozesse im Unternehmen  angesiedelt sind, die in den Geltungsbereich der IT-Sicherheitskatalogs fallen. Ebenso wenn Netzbetreiber sich Durchgriffsrechte auf die Systeme oder Weisungsbefugnisse vorbehalten.

In Zukunft müssen daher nicht nur der Betriebsführer sondern auch der Netzbetreiber eine eigene Zertifizierung nach IT-Sicherheitskatalog nachweisen, wenn Sie den Netzbetrieb nicht so weit ausgelagert haben, dass sie nicht mehr zertifizierfähig sind. Dabei ist zu beachten, dass die Verantwortlichkeiten und Weisungsbefugnisse des Netzbetreibers und des Betriebsführers genau zu den Geltungsbereichen der jeweiligen Geltungsbereiche der Zertifizierungen passen müssen.

In vielen Fällen hat der Netzbetreiber den eigentlichen Betrieb komplett abgegeben. So gibt besonders im Süddeutschen Raum zahlreiche Stadtwerke die zwar Netzbetreiber sind, aber gar kein Fachpersonal mehr haben und die Aufgaben des Netzbetriebs komplett abgegeben haben. In vielen Fällen an einen größeren Verteilnetzbetreiber, der dann oft auch einen Anteil an den jeweiligen Stadtwerken besitzt.

In solchen und ähnlichen Fällen müssen die im Schreiben der BNetzA aufgeführten Kriterien geprüft und bewertet werden. Letztlich stellt sich die Frage, ob bei dem Netzbetreiber noch etwas vorhanden ist, was in den Geltungsbereich der IT-Sicherheitskatalog Zertifizierung fällt. Diese Prüfung kann im Einzelfall durchaus komplex sein. Nach den Vorstellungen der BNetzA soll die Prüfung durch die Zertifizierungsstellen erfolgen. Diese sind derzeit dafür jedoch nicht vorbereitet. Aufgabe einer Zertifizierungsstelle ist es eine Firma danach zu beurteilen, ob sie die Anforderungen einer Norm erfüllt, und nicht, ob eine Norm unter gewissen Randbedingungen sinnvoll anwendbar ist.

Die Süd IT bietet daher Netzbetreibern an in Workshops die Situation zu analysieren und danach Lösungen zu suchen weiter der Zertifizierungspflicht zu entgehen oder, wenn gewünscht, auch eine Zertifizierung anzustreben.

 



Firmenkontakt und Herausgeber der Meldung:
Süd IT AG
Stahlgruberring 11
81829 München
Telefon: +49 (89) 4613505-12
Telefax: +49 (89) 4613505-99
http://www.sued-it.de

Ansprechpartner:
Dr. Stefan Krempl
IT-Sicherheit
+49 (175) 2214287

Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Informations-Sicherheit und Datenschutz. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung zu ISO/IEC 27001, ISO 22301, TISAX und Datenschutz können von Kunden jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT- Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Energie, Versicherungen, Automotive, Medizin und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept "Ihre Experten vor Ort" und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.