Zeitdruck

Das IT-Sicherheitsgesetz lässt zu viel im Unklaren

Seite: 2/2

Firma zum Thema

Gas- und Stromversorger sind bereits gefordert

Für die Energiewirtschaft ergibt sich hier übrigens eine spezielle Situation, denn bereits 2011 wurde im Energiewirtschaftsgesetz (EnWG) die Ausarbeitung eines IT-Sicherheitskatalogs (IT-SK) durch die Bundesnetzagentur festgelegt. Dieser Katalog stellt nun den branchenspezifischen Sicherheitsstandard für die Energiewirtschaft dar und ist schon jetzt für sämtliche Strom- und Gasnetzbetreiber verpflichtend, und zwar unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden.

Kernforderung des IT-SK ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung. Zur Umsetzung des IT-SK bleiben den Strom- und Gasnetzbetreibern rund zwei Jahre Zeit. Bis zum 31. Januar 2018 müssen sie der Bundesnetzagentur die Umsetzung des IT-Sicherheitskataloges durch die Vorlage eines ISO-27001-Zertifikats nachweisen.

Berücksichtigt man wie viel Zeit allein für die Ressourcenabschätzung, Mittelanforderung und Umsetzungsentscheidungen benötigt wird, so ist das eine durchaus knappe Frist. Für Unternehmen, die sich nicht bereits entsprechend vorbereiten oder schon Vorarbeiten geleistet haben, ist die Umsetzung der anspruchsvollen Anforderungen in der gewährten Frist eine echte Herausforderung. Schließlich ist die Einführung eines zertifizierungsfähigen ISMS ein längerer Prozess.

Wer handeln muss, kann sich Hilfe holen

Zu beachten ist dabei auch, dass das IT-SiG für eine nicht fristgemäße Umsetzung bereits erhebliche Bußgelder vorsieht. Oftmals besitzen jedoch vor allem kleinere Unternehmen kaum die notwendigen Ressourcen oder Know-how, um ein ISMS selbstständig etablieren zu können. Für diese ist es meist sinnvoll, einen externen Dienstleister hinzuziehen und nur einen Teil der Arbeit selbst durchzuführen.

So können beispielsweise die IT-Sicherheitsanalyse oder auch die geforderten regelmäßigen Sicherheitsüberprüfungen (interne Audits) einem externen Dienstleister überantwortet werden. Auf diese Weise kann man gleichzeitig die Objektivität der Ergebnisse gewährleisten.

Als weitere Möglichkeit kommt auch eine vollständig externe Lösung in Betracht. Dabei würde man nicht nur das ISMS durch einen Dienstleister betreiben lassen, sondern diesem auch die fortlaufende Kontrolle und Optimierung des ISMS sowie die Sicherstellung der Einhaltung der Regularien bis hin zur Kommunikation mit der Bundesnetzagentur überlassen.

Dieser Weg ist besonders dann von Vorteil, wenn ein Unternehmen nicht über eine IT-Fachabteilung mit entsprechenden Ressourcen und Know-how verfügt. Der Aufbau eigener Ressourcen könnte sonst nämlich teurer sein als der Einkauf einer Dienstleistung. In jedem Fall sollten sich betroffene Unternehmen und jene, die bereits abschätzen können, dass sie ggf. zu KRITIS zählen, zeitnah mit dem Thema befassen und zumindest erste Abschätzungen zu den benötigten Ressourcen durchführen.

Dr. Katja Siegemund
Dr. Katja Siegemund
(Bild: QSC AG)

* Dr. Katja Siegemund ist Business Consultant Energie bei QSC in Hamburg

(ID:43636875)