Zertifizierungspflicht von Energienetzbe-treibern bei Betriebsführung durch Dritte
In einigen Fällen haben Energienetzbetreiber die Betriebsführung ihres Energieversorgungsnetzes an Dritte, den Betriebsführer, ausgelagert. Damit erlosch bisher in der Regel auch die Pflicht des Netzbetreibers eine eigene Zertifizierung nach dem IT-Sicherheitskatalog durchzuführen. Mit einem Schreiben hat die Bundesnetzagentur diese Netzbetreiber adressiert. In Zukunft müssen diese in der Regel selbst eine Zertifizierung nachweisen. Ausnahmen davon sind jedoch in einem begrenztem Umfang möglich.
Netzbetreiber, die den Betrieb Ihres Netzes ausgelagert haben, konnten bisher relativ einfach dieser oft lästige und kostenträchtige Pflicht entkommen. Zukünftig ist dies schwieriger geworden. Mit Recht weist die BNetzA darauf hin, dass Netzbetreiber in Zukunft grundsätzlich selbst zertifizieren müssen. Zum Teil folgt dies aus den allgemeingültigen Zertifizierungsvorgaben der ISO/IEC 17021. Dazu macht es durchaus Sinn, dass Netzbetreiber eine eigene Zertifizierung anstreben müssen, wenn zumindest Teilprozesse im Unternehmen angesiedelt sind, die in den Geltungsbereich der IT-Sicherheitskatalogs fallen. Ebenso wenn Netzbetreiber sich Durchgriffsrechte auf die Systeme oder Weisungsbefugnisse vorbehalten.
In Zukunft müssen daher nicht nur der Betriebsführer sondern auch der Netzbetreiber eine eigene Zertifizierung nach IT-Sicherheitskatalog nachweisen, wenn Sie den Netzbetrieb nicht so weit ausgelagert haben, dass sie nicht mehr zertifizierfähig sind. Dabei ist zu beachten, dass die Verantwortlichkeiten und Weisungsbefugnisse des Netzbetreibers und des Betriebsführers genau zu den Geltungsbereichen der jeweiligen Geltungsbereiche der Zertifizierungen passen müssen.
In vielen Fällen hat der Netzbetreiber den eigentlichen Betrieb komplett abgegeben. So gibt besonders im Süddeutschen Raum zahlreiche Stadtwerke die zwar Netzbetreiber sind, aber gar kein Fachpersonal mehr haben und die Aufgaben des Netzbetriebs komplett abgegeben haben. In vielen Fällen an einen größeren Verteilnetzbetreiber, der dann oft auch einen Anteil an den jeweiligen Stadtwerken besitzt.
In solchen und ähnlichen Fällen müssen die im Schreiben der BNetzA aufgeführten Kriterien geprüft und bewertet werden. Letztlich stellt sich die Frage, ob bei dem Netzbetreiber noch etwas vorhanden ist, was in den Geltungsbereich der IT-Sicherheitskatalog Zertifizierung fällt. Diese Prüfung kann im Einzelfall durchaus komplex sein. Nach den Vorstellungen der BNetzA soll die Prüfung durch die Zertifizierungsstellen erfolgen. Diese sind derzeit dafür jedoch nicht vorbereitet. Aufgabe einer Zertifizierungsstelle ist es eine Firma danach zu beurteilen, ob sie die Anforderungen einer Norm erfüllt, und nicht, ob eine Norm unter gewissen Randbedingungen sinnvoll anwendbar ist.
Die Süd IT bietet daher Netzbetreibern an in Workshops die Situation zu analysieren und danach Lösungen zu suchen weiter der Zertifizierungspflicht zu entgehen oder, wenn gewünscht, auch eine Zertifizierung anzustreben.
Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Informations-Sicherheit und Datenschutz. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung zu ISO/IEC 27001, ISO 22301, TISAX und Datenschutz können von Kunden jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT- Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Energie, Versicherungen, Automotive, Medizin und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept "Ihre Experten vor Ort" und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.
Süd IT AG
Stahlgruberring 11
81829 München
Telefon: +49 (89) 4613505-12
Telefax: +49 (89) 4613505-99
http://www.sued-it.de
IT-Sicherheit
Telefon: +49 (175) 2214287
E-Mail: krempl@sued-it.de