IT-Sicherheitskatalog für Strom- und Gasnetze
Der IT-Sicherheitskatalog für Strom- und Gasnetze wurde im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und im August 2015 veröffentlicht. Der Katalog dient dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.
- Ziele des IT-Sicherheitskatalogs
- Ansprechpartner IT-Sicherheit
- Konformitätsbewertungsprogramm
- Akkreditierte Zertifizierungsstellen
- FAQ
12. Januar 2023
Die Übergangsregelung in Kapitel 7 des Konformitätsbewertungsprogramms zur Akkreditierung von Zertifizierungsstellen wurde angepasst.
Mehr dazu
Verbindliche Erklärung zur Nicht-Anwendbarkeit des IT-Sicherheitskatalogs (pdf / 854 KB)
Ziele des IT-Sicherheitskatalogs
- Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
- Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
- Gewährleistung der Vertraulichkeit der verarbeiteten Informationen
Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.
Ansprechpartner IT-Sicherheit
Darüber hinaus müssen Strom- und Gasnetzbetreiber der Bundesnetzagentur einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten benennen. Da die etablierte Möglichkeit zur Meldung des IT-Ansprechpartners aktualisiert wurde und zukünftig vollständig durch den neuen Stammdatenerhebungsbogen ersetzt werden soll, bieten wir Ihnen aktuell folgende zwei Möglichkeiten, um der Bundesnetzagentur einen Ansprechpartner IT-Sicherheit und dessen Kontaktdaten zu benennen:
Formular für Kommunikationsbevollmächtigte und Ansprechpartner IT-Sicherheit (pdf / 1 MB)
Konformitätsbewertungsprogramm
Das Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen beschreibt die Anforderungen an Auditoren und Zertifizierungsstellen, die Voraussetzung für eine DAkkS-Akkreditierung als Zertifizierungsstelle für den IT-Sicherheitskatalog sind. U. a. wird vorgeschrieben, dass Auditoren an einer durch die Bundesnetzagentur anerkannten Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas teilnehmen müssen. Erstmalig wurde das Konformitätsbewertungsprogramm im April 2016 veröffentlicht und zuletzt im April 2022 überarbeitet.
Bei der Überarbeitung wurde das Konformitätsbewertungsprogramm unter anderem an den folgenden Stellen geändert:
- Die aktualisierten Normen ISO/IEC 27001 und ISO/IEC 27002 machen eine neue Übergangsregelung zu deren Anwendung im Rahmen der anstehenden Zertifizierungsprozesse notwendig (siehe neues Kapitel 7).
- Die gemäß Kapitel 5 vorgesehene Beratung des Auditteams durch den Fachexperten wurde konkretisiert.
- Ein neues Muster mit den Anforderungen an Inhalt und Format der auszustellenden Zertifizierungsurkunde wurde als Anlage zum Konformitätsbewertungsprogramm aufgenommen.
Anbieter von anerkannten Schulungen zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas (pdf / 134 KB) (aktualisiert am 12.02.2021)
Akkreditierte Zertifizierungsstellen
Akkreditierte Zertifizierungsstellen für die Zertifizierung der Umsetzung des IT-Sicherheitskatalogs finden Sie in der Datenbank der Deutschen Akkreditierungsstelle (DAkkS), indem Sie im Suchfeld das Stichwort „IT-Sicherheitskatalog“ eingeben.
FAQ
Verantwortlichkeit für die Umsetzung des IT-Sicherheitskatalogs
Wer ist für die Umsetzung des IT-Sicherheitskatalogs verantwortlich?
Ansprechpartner IT-Sicherheit
Was bedeutet die Aussage „Bei der Bestimmung des Ansprechpartners sind – soweit einschlägig – die Vorschriften des Sicherheitsüberprüfungsgesetzes (SÜG) und der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) zu beachten“?
Zertifizierung