Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

Transkript

1 Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

2 Vorstellung KPMG Cert GmbH Ergänzende Anforderungen der BNetzA + Besonderheiten ISO Erweiterte Anforderungen an die Zertifizierer Wie bereite ich mich auf eine Zertifizierung vor? Ablauf einer Zertifizierung 6 Hilfreiches für die Zertifizierung juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 23

3 Vorstellung KPMG Cert GmbH - Gründung im Jahr Anbieter von Prüfungs- und Beratungsdienstleistungen - Akkreditiert durch die DAkkS in folgenden Bereichen: - Validierung von Umwelterklärungen (EMAS) - Zertifizierung von Managementsystemen für Umwelt (ISO 14001) - Qualitätsmanagement (ISO 9001) - Energie (DIN EN / ISO 50001) - Arbeitssicherheit (SCC / OHSAS) - Zertifizierung von Informationssicherheits-Managementsystemen (DIN ISO/IEC 27001, DIN ISO/IEC nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG) - Attestierung von Safety and Quality Systems (SQAS) und - Prüfung von Entsorgungsfachbetrieben (EfbV) 24

4 Navigationshilfe im Energiesektor IT-Sicherheitsgesetz IT-Sicherheitskatalog Anforderungen: Meldung von Sicherheitsvorfällen an das BSI Umsetzung allgemeiner und branchenspezifischer Sicherheitsstandards Regelmäßiger Nachweis Geltungsbereich: Betreiber kritischer Infrastrukturen gem. BSI-Kritisverordnung Frist: 2. Mai 2018 Anforderungen: Nennung eines Ansprechpartners gegenüber der BNetzA Erstellung eines Netzstrukturplans Zertifizierung eines Managementsystems für Informationssicherheit auf Basis von DIN ISO/IEC Geltungsbereich: Energienetzbetreiber gem. Energiewirtschaftsgesetz Frist: 31. Januar

5 Zeitplan IT-SiG / IT-Sicherheitskatalog Inkrafttreten des IT-Sicherheitsgesetzes Nennung eines Ansprechpartners an BNetzA Zertifiziertes ISMS Verpflichtung zur Einhaltung und zum Nachweis von Sicherheitsstandards und Meldung erheblicher Störungen Implementierung ISMS Ergänzende Rechtsverordnung Nennung einer Kontaktstelle Evaluierung des IT- Sicherheitsgesetzes und erste Nachweise 26

6 Ergänzende Anforderungen der BNetzA Schutz der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind Identifizierung der Systeme, Anwendungen und zentralen Infrastrukturen -> Erstellung eines Netzstrukturplans Unterscheidung im Netzstrukturplan, ob bei den beschriebenen Systemen Maßnahmen nach ISO/IEC TR oder ISO/IEC anzuwenden sind Vorgaben für die Risikoeinschätzung: Schadenskategorien; Zu berücksichtigende Kriterien Benennung eines Ansprechpartners für die Koordination und Kommunikation der IT-Sicherheit gegenüber der BNetzA Pflicht zum Nachweis der Umsetzung der Anforderungen des IT-Sicherheitskatalogs über ein Zertifikat Vorgaben zum Geltungsbereich: Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind Änderung des Wortlauts des Kapitel c) und d) in ISO/IEC 27001:2015 -> Vergleich der getroffenen Maßnahmen mit Annex A und ISO/IEC TR und Berücksichtigung im SOA Bei der Ermittlung des individuellen Schutzbedarfs sind auch Risiken bzgl. der Sicherheit verbundener Energieversorgungsnetze einzubeziehen 27

7 Besonderheiten des ISO/IEC TR Ergänzung der Kontrollen aus ISO/IEC Annex A um Maßnahmen zur Sicherung von Prozessleitsystemen Vier neue Kontrollziele hinzugefügt 11 neue Kontrollen Insgesamt 42 beschriebene Kontrollen Mapping erforderlich, da Kontrollzuweisung auf Basis ISO/IEC 27001:2005. Eine Zertifizierung kann allerdings nur nach ISO/IEC 27001:2013 erfolgen 28

8 Neue Kontrollziele in ISO/IEC TR A.9.3 Security in premises of 3rd parties A Legacy systems A Safety functions A.14.2 Essential emergency services 29

9 Erweiterte Anforderungen an den Zertifizierer Erfüllung aller Anforderungen der ISO/IEC (Requirements for bodies providing audit and certification of management systems) Erfüllung aller Anforderungen der ISO/IEC (Requirements for bodies providing audit and certification of information security management systems) Verpflichtende Meldung von zertifizierten Unternehmen an die BNetzA Mindestens einmalige Prüfung (in 3 Jahren) von allen im Risikomanagement als mind. hoch eingestuften Anwendungen, Systemen und Komponenten Hinzunahme eines Fachexperten bei der Einschätzung, ob alle Anwendungen im Scope erfasst sind, sowie die Risikoeinschätzung korrekt durchgeführt wurde Auditoren müssen eine von der BNetzA anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren Vorgaben für die Berechnung der Stichprobengröße bei Mehrfachstandortauditierungen 30

10 Inhalte der Auditorenschulung Rechtliche Rahmenbedingungen und Anforderungen in der Energiewirtschaft Technische Grundlagen der Stromversorgung Netzsteuerung Strom Netzsteuerung Gas Krisenmanagement Gas IT - Kritische Infrastrukturen Strom 31

11 Gute Vorbereitung auf eine Zertifizierung Grundlegendes vor einer Zertifizierung Hilfreiches Managementsystem mindestens 3 Monate vorher vollständig implementiert Risikoidentifizierung und Behandlung durchgeführt Internes Audit durchgeführt (Objektivität bewahren!) Wissen, wo welche Nachweise und Dokumente liegen oder gespeichert sind Nicht gefunden heißt nicht vorhanden Kommunikation des Audits an die Mitarbeiter (Bspw. auch Empfang) Ressourcenplanung durchführen (Ansprechpartner müssen bereit stehen) Top Management nimmt an der Eröffnungs- und Abschlussbesprechung teil 32

12 Ablauf einer Zertifizierung Unser Ansatz zur Durchführung von Zertifizierungsaudits ist effektiv und wurde entworfen, um die Störungen Ihrer Geschäftsaktivitäten zu minimieren. Außerhalb der Vorort Phase werden wir nicht andauernd Informationen und Dokumentationen von Ihnen anfordern. Die Aktivitäten und Ergebnisse jeder Phase unseres Ansatzes ist wie folgt vermerkt. Stage 0 Pre-Assessment Auditbericht Stage 1 Vorprüfung / Dokumentenaudit Auditbericht Stage 2 Überwachungsaudits Stage 3 Rezertifizierung nach jeweils 3 Jahren Konformitätsprüfung / Vor-Ort- Audit Auditbericht / Zertifikat Aufbau einer kontinuierlichen Beziehung zwischen Mandanten und dem Auditorenteam 33

13 Ablauf einer Zertifizierung Abstimmung der Auditzeiträume Gemeinsam stimmen wir mit Ihnen die Auditzeiträume ab, so dass Ihr Zeitplan in Bezug auf das Erreichen einer Zertifizierung eingehalten werden kann. Aufstellung des Auditdetailplans Unsere Auditoren erstellen einen Auditdetailplan für das nächste anstehende Audit, der alle Auditschwerpunkte je Audittag definiert. Der Auditplan wird mit Ihnen abgestimmt, so dass Sie sicherstellen können, das die richtigen Ansprechpartner zu jedem Thema für das Audit bereitstehen. Durchführen des Audits Gemäß des abgestimmten Auditplans führen unsere Auditoren das Audit durch. Am Ende des Audits spricht der Lead Auditor eine Empfehlung aus. (In Stage 1 zum Fortfahren mit Stage 2; In Stage 2 zur Zertifizierung; In Stage 3 zum Fortbestand der Zertifizierung) Erstellen des Auditberichts und eines Improvement Note-Registers (IN-Register) Zu dem Audit wird durch die KPMG ein Bericht erstellt. Zudem erhalten Sie ein IN-Register, in dem alle Feststellungen des Audits dokumentiert sind. Das IN-Register wird von Audit zu Audit fortgeschrieben. Kommentierung der Feststellungen im IN-Register Zu den im IN-Register aufgeführten Feststellungen müssen Sie jeweils eine kurze Ursachenanalyse sowie die Maßnahmen definieren, die Sie planen um die Feststellung zu beheben. Die von Ihnen dargelegten Ursachen und Maßnahmen werden von unseren Auditoren analysiert und falls angemessen, freigegeben. Entscheidung der Zertifizierungsstelle Nach unabhängiger Prüfung der finalen Unterlagen durch die Zertifizierungsstelle trifft diese die Entscheidung, ob sie sich der Empfehlung des Lead Auditors anschließt. Nach der Entscheidung erhalten Sie den finalen Bericht von uns. Nach dem Stage 2 Audit sofern erfolgreich stellen wir das Zertifikat für Sie aus. 34

14 Hilfreiches für die Zertifizierung Zur Vorbereitung: Anforderungen alle einmal schriftlich adressieren Gute Dokumentation von Maßnahmen in Bezug auf Feststellungen Abwahl von Maßnahmen aus Annex A sehr gut begründen. Eigentlich ist nur die Abwahl von A.14.2 plausibel. Standard lässt offen wie etwas umgesetzt werden soll. Manchmal ist weniger mehr. Beispiel Statement of Applicability -> Begründung für das Anwählen von Kontrollen Erwartungsmanagement: Der Auditor sucht nach Verbesserungsmöglichkeiten Häufigste Feststellung: Aktualisierung oder Review von Dokumenten nicht durchgeführt 35

15 Ihr Ansprechpartner Wilhelm Dolle Partner, Cyber Security T wdolle@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft Klingelhöferstraße Berlin Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.