Angesichts von Hackerangriffen und Terrorgefahr sind EVUs gehalten, die Sicherheit ihres Netzbetriebes nachzuweisen. Das gilt insbesondere für alle Computer- und Telekommunikationssysteme (ITK), sofern sie Einfluss auf die Netzfahrweise nehmen – sei es direkt oder indirekt über die Steuerung von Verbrauchern und Erzeugungsanlagen. Die neuen Vorgaben hierfür formuliert der IT-Sicherheitskatalog auf Grundlage des EnWG §11 (1a) und definiert im Abschnitt D, welche Systeme zertifizierungspflichtig sind. Damit ergeben sich drei Gruppen:
- Keine Zertifizierungspflicht: Für EVUs, die keine ITK-Systeme mit direkter oder indirekter Netzeinwirkung betreiben, gelten die Auflagen des IT-Sicherheitskatalogs nicht: Der Nachweis gegenüber der Behörde kann z.B. über den Netzstrukturplan erbracht werden.
- Bestehende Zertifizierungspflicht: Das ist der Fall für EVUs, die Schalthandlungen am Netz mithilfe von ITK-Systemen durchführen. Das gilt ebenso, wenn ein ITK-Ausfall die Si-cherheit des Netzbetriebes oder eine Wiederherstellung der Energieversorgung nach einem Schwarzfall gefährden würde.
- Befreiung von der Zertifizierung möglich: Werden ITK-Systeme betrieben, die zwar nicht direkt, aber indirekt auf das Netz einwirken, müssen die damit verbundenen Risiken umfas-send analysiert werden. Im Ergebnis können EVUs den ISMS-Aufbau gemäß ISO/IEC 27001 vielfach komplett vermeiden – sofern sie „begründen und durch geeignete Nachweise“ belegen, dass von den Anlagen kein Risiko für den sicheren Netzbetrieb ausgeht. Dazu ist es erforderlich, alle Anlagen mit Einfluss auf den Netzbetrieb eingehend zu betrachten. Das leisten Gutachten, die Gefährdungspotenziale erfassen, analysieren und im Hinblick auf eine Zertifizierungsfreistellung bewerten.
Für alle EVUs:
- Aufstellung der wichtigsten Kontrollfragen zur Selbsteinschätzung des Zertifizierungsstatus.
- EVUs können sich damit einer der drei Gruppen zuordnen und sich ihrer bestehenden / nicht bestehenden Zertifizierungspflicht schnell vergewissern.
- Kriterien für eine Identifikation von ITK-Systemen, die eventuell zertifiziert werden müssen.
- Erstbewertung dieser Systeme: Prima-facie-Check anhand von Kontrollfragen, ob ein Gut-achterverfahren den Freistellungserfolg erbringen kann.
- Vertiefung der Basisprüfung anhand von typischen Betriebs- und Gefahrenszenarien.
- Methodik zur vollständigen Risikoanalyse nach Gefährdungsarten, Schadenshöhen und Ein-trittswahrscheinlichkeiten.
- Systematische und standardisierte Risikobewertung zur Feststellung der Zertifizierungspflicht.
- Risikoanalyse und -bewertung im Fall von ITK-Outsourcing.
Die Süd-IT Methodik liefert EVUs Verfahren und klare Kriterien, um ihren Zertifizierungsstaus praxisnah zu ermitteln und, sofern erforderlich, zügig die nächsten Schritte einzuleiten. EVUs ohne eindeutigen Status erhalten erweiterte Checklisten zur eingehenden Risikoidentifikation und -analyse, um ihre Chancen auf eine Zertifizierungsbefreiung realistisch ermessen können. Dar-über hinaus liefert Süd-IT Methoden, Kontrollfragen und Betriebsszenarien für valide Gutachten zur Risikobewertung und -behandlung. Ziel ist die Erstellung von standardisierten und behördlich abgestimmten Mustern, die den anerkannten Nachweis für eine nicht vorliegende Zertifizierungspflicht erbringen.