Kritische Infrastruktur – Pflicht zur Zertifizierung

Die Gesetzeslage hat sich geändert. Es gibt eine Pflicht zur Zertifizierung bezüglich der Informationssicherheit (DIN EN ISO 27001:2015).

Die Bundesnetzagentur (BNetzA) schreibt vor, dass die Netzbetreiber ihre IT-Systeme für Kraftwerke, Netze oder Kontrollwarten über ein Informations-Sicherheits-Management absichern und nach der ISO 27001 zertifizieren lassen. Ergänzt werden die Anforderungen der Norm durch einen mit dem Bundesamt für Sicherheit in derInformationstechnik (BSI) erarbeiteten Zusatzkatalog.

Wichtig für die Zertifizierung ist, dass nur von der DAkkS für dieses Thema explizit zugelassene Zertifizierer rechtskonform zertifizieren dürfen. Ob diese Zulassung dem EU-Recht entspricht wird sich noch zeigen.

Diese Zertifizierung ist nur der nächste Schritt auf dem Weg zur Sicherung unserer kritischen Infrastruktur.

Definition: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Interessant in diesem Zusammenhang ist der anhaltende Trend Gesetzte mit dem Verweis auf ISO-Normen zu verknüpfen. Hierbei wird als Anforderung in Gesetzen explizit die Einhaltung von ISO-Normen oder sogar die Zertifizierung nach diesen Normen gefordert. Die Normen entwickeln sich aber unabhängig von den Zielen des Gesetzgebers weiter. Im Extremfall könnten die Revisionen der Normen entgegen den mit den entsprechenden Gesetzen verfolgten Zielen laufen.