Organisationen, die im Sektor „Energie“ Dienstleistungen anbieten, also Elektrizität, Fernwärme, Erdöl, Erdgas oder Wasserstoff erzeugen, produzieren, zwischenspeichern, übertragen oder verteilen, müssen seit vielen Jahren ein Informationssicherheits-Management-System (ISMS) betreiben und regelmäßig nachweisen.
Was ist ein Informations-Sicherheits-Management-System (ISMS)?
Die IT-Sicherheit und Cyber-Sicherheit sind Teilaspekte der Informationssicherheit. Während die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von Informationen. Diese können auch in nicht-technischen Systemen vorliegen, zum Beispiel auf Papier. Die Schutzziele der Informationssicherheit bestehen darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
So weit, so gut. Informationssicherheit kümmert sich also um diverse Themen. Aber was bedeutet nun der Begriff Managementsystem? In der Literatur gibt es eine Vielzahl von Erklärungen zum Begriff „Managementsystem“. Für die Verfassenden ist ein Managementsystem ein Werkzeug, um die komplexen Herausforderungen im Kontext der Informationssicherheit zu bewältigen. Es hilft dabei, die notwendigen Ziele zu setzen, Handlungen und Maßnahmen aus den Zielen abzuleiten und Aufgaben durch klare Abläufe und Verantwortlichkeiten zuverlässig zu erledigen. Dabei wird ein ISMS immer spezifisch auf die jeweilige Organisation angepasst. Themen wie Geschäftsstrategie (unter anderem digitale Strategien), Wettbewerb und das Interesse der Kundschaft werden stets berücksichtigt.
Was bedeutet das für die Organisationen im Energiesektor?
Ein ISMS besteht aus vielen Bausteinen wie z. B. dokumentierte Prozesse, Leit- und Richtlinien. Für Informations-Sicherheitsmanagement-Systeme existieren viel Standards, an denen sich eine Organisation orientieren kann, beziehungsweise als Grundlage für ein ISMS nutzen kann. So kann ein reguläres Wirtschaftsunternehmen, das nicht der Kritis-Verordnung (https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html) unterliegt, sich in der Regel ein ISMS aussuchen. Jedoch nicht die Organisationen, die der Kritis-Verordnung unterliegen, speziell die im Energiesektor!
Alle Organisationen müssen ein ISMS nach strikten Vorgaben implementieren, fortlaufen betreiben und regelmäßig nachweisen.
Woher kommen die ISMS- Vorgaben im Energiesektor?
Alle Organisationen müssen ein ISMS aufbauen und die Anforderungen aus der DIN / EN ISO IEC 27001, dem Branchenspezifischen Sicherheitsstandard (B3S) DIN EN ISO/IEC 27019 sowie des IT-Sicherheitskataloges der Bundesnetzagentur (BNetzA) erfüllen. Die spezifische DIN-NORM 27019 sowie der IT-Sicherheitskatalog definieren branchenspezifische Anforderungen für den Energiesektor.
Die Anforderungen für ein ISMS im Energiesektor sind demnach deutlich mehr als für reguläre Wirtschaftsunternehmen. Neu hinzu kommen nun auch die Anforderungen aus der NIS-2 („The Network and Information Security (NIS) Directive“) (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555).
Was ist die NIS-2 und was bedeutet dieses für den Sektor Energie?
Die NIS-2 ist eine EU-Richtlinie mit dem Ziel, einen hohen, gemeinsamen Sicherheitsstandard und ein Cyber-Security-Niveau aller EU-Mitgliedsstaaten zu etablieren. Alle EU-Mitgliedsstaaten müssen die EU-Richtlinie in ein nationales Gesetz umwandeln. In Deutschland ist dies das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), welches an 17. Oktober 2024 in Kraft treten wird. Alle Organisationen, die gem. § 28 des NIS2UmsuCG dem nationalen Recht unterliegen, müssen zusätzliche Anforderungen erfüllen.
Weitere Informationen zur NIS-2 finden sich in unserem NIS-2 Whitepaper: https://www.althammer-kill.de/nis-2-quick-check-whitepaper
Sprechen Sie uns gerne zum Thema ISMS im Energiesektor, der NIS-2 oder dem NIS2UmsuCG an.