Sysbus
ArtikelSecurity

Sicherheit per Gesetz

gg

Für die Energiewirtschaft ergibt sich hier übrigens eine spezielle Situation, denn bereits 2011 wurde im Energiewirtschaftsgesetz (EnWG) die Ausarbeitung eines IT-Sicherheitskatalogs (IT-SK) durch die Bundesnetzagentur festgelegt. Dieser Katalog stellt nun den branchenspezifischen Sicherheits-Standard für die Energiewirtschaft dar und ist schon jetzt für sämtliche Strom- und Gasnetzbetreiber verpflichtend, und zwar unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden. Kernforderung des IT-SK ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung

Zur Umsetzung des IT-SK bleiben den Strom- und Gasnetzbetreibern etwa zwei Jahre Zeit. Bis zum 31. Januar 2018 müssen sie der Bundesnetzagentur die Umsetzung des IT-Sicherheitskataloges durch die Vorlage eines ISO-27001-Zertifikats nachweisen. Berücksichtigt man, wie viel Zeit allein für die Ressourcenabschätzung, Mittelanforderung und Umsetzungsentscheidungen benötigt wird, so ist das eine durchaus knappe Frist. Für Unternehmen, die sich nicht bereits entsprechend vorbereiten oder schon Vorarbeiten geleistet haben, ist die Umsetzung der anspruchsvollen Anforderungen in der gewährten Frist eine echte Herausforderung. Schließlich ist die Einführung eines zertifizierungsfähigen ISMS ein längerer Prozess. Zu beachten ist dabei auch, dass das IT-SiG für eine nicht fristgemäße Umsetzung erhebliche Bußgelder vorsieht.

Grafik_Autoring

Oftmals besitzen jedoch vor allem kleinere Unternehmen kaum die notwendigen Ressourcen oder das Know-how, um ein ISMS selbstständig etablieren zu können. Für diese ist es meist sinnvoll, einen externen Dienstleister hinzuziehen und nur einen Teil der Arbeit selbst durchzuführen. So können beispielsweise die IT-Sicherheitsanalyse oder auch die geforderten regelmäßigen Sicherheitsüberprüfungen (interne Audits) einem externen Dienstleister überantwortet werden. Auf diese Weise kann man gleichzeitig die Objektivität der Ergebnisse gewährleisten.

Als weitere Möglichkeit kommt auch eine vollständig externe Lösung in Betracht. Dabei würde man nicht nur das ISMS durch einen Dienstleister betreiben lassen, sondern diesem auch die fortlaufende Kontrolle und Optimierung des ISMS sowie die Sicherstellung der Einhaltung der Regularien bis hin zur Kommunikation mit der Bundesnetzagentur überlassen. Dieser Weg ist besonders dann von Vorteil, wenn ein Unternehmen nicht über eine IT-Fachabteilung mit entsprechenden Ressourcen und Know-how verfügt. Der Aufbau eigener Ressourcen könnte sonst nämlich teurer sein als der Einkauf einer Dienstleistung. In jedem Fall sollten sich betroffene Unternehmen und jene, die bereits abschätzen können, dass sie gegebenenfalls zu KRITIS zählen, zeitnah mit dem Thema befassen und zumindest erste Abschätzungen zu den benötigten Ressourcen durchführen.

Ähnliche Beiträge:

  1. IT-Sicherheitsgesetz: Das müssen Branchen bis 30. Juni tun
  2. KEYMILE erweitert LineRunner-IS-3400-Familie um neue Sicherheitsfunktionen
  3. Geschäftsgeheimnis-Gesetz: IT-Unterstützung für effiziente Umsetzung nötig
  4. Hohe IT-Sicherheit ist eine ständige Herausforderung

Das könnte dir auch gefallen

Herausforderung für Unternehmen: Endpunkt-Sicherheit für IoT-Umgebungen

gcg

Betrugsprävention vor Weihnachten

gg

Expertenkommentar von Questback zum Thema “Safe Harbor und Privacy Shield”

gg