Energieerzeuger aufgepasst: OrgaTrust Suite unterstützt die Zertifizierung nach IT-Sicherheitskatalog
„Durch unsere langjährige Erfahrung im Energiesektor mit Kunden unterschiedlicher Größe und Anforderungen wissen wir genau, welchen Herausforderungen sich Energieerzeuger bald stellen müssen.“ Erklärt der Geschäftsführer der Orgatrust GmbH, Guido Gluschke. „Um diese Unternehmen erfolgreich durch diese verpflichtende Zertifizierung zu bringen, wussten wir sofort, dass wir mit unserem Expertenwissen und Risikomethoden erfolgreich unterstützen können und haben eine umfassende Softwarelösung, die OrgaTrust Suite entwickelt. Noch ist genug Zeit für Energieerzeuger bis Ende März 2021 Prozessanpassungen in die Wege zu leiten. Doch die Zeit beginnt zu drängen. Immerhin geht es dabei um die grundlegenden Funktions- und Arbeitsweisen des eigenen Unternehmens. Deswegen besteht jetzt Handlungsbedarf! Darüber hinaus ist Anfang nächsten Jahres die erste Rezertifizierungswelle des ISMS der Energienetzbetreiber zu erwarten. Beide Zertifizierungen verlangen unterschiedliche energiespezifische Anforderungen an das Managementsystem und die Risikomethodik, die von unserer OrgaTrust Suite erfüllt werden.“
Wer ist betroffen?
In den Bereich der Stromversorgung fallen Erzeugungsanlagen, dezentrale Stromproduzenten, Speicher, Aggregatoren wie etwa virtuelle Kraftwerke, Übertragungs- und Verteilnetze sowie Stromhändler und Messstellen. Jedoch gilt dies nicht für jeden Teilnehmer. Das BSI hat für jeden der Bereiche Schwellenwerte festgelegt, ab wann ein Marktteilnehmer der KRITIS zuzurechnen ist. Die Schwelle für Energie-Erzeugungsanlagen liegt bei 500.000 versorgten Personen oder einer Nennleistung von 420 MW. Auch betroffen sind Gasspeicher und Gasförderanlagen mit Volumina von mindestens 5190 GWh pro Jahr. Ebenfalls betroffen: Systeme zur Bündelung der Regelenergie und Speicher. Es zählt nicht der tatsächliche Einsatz der Anlagen, sondern mit welchen Kennzahlen sie beim Übertragungsnetzbetreiber qualifiziert sind. So werden auch Anlagen erfasst, die potentiell kritische Infrastruktur sein könnten.
Die KRITIS-Verordnung zählt zu den wichtigsten Sicherheitsmaßnahmen der vergangenen Jahre. Durch sie wurden Unternehmen und Institutionen definiert, deren Arbeit so essentiell für das Funktionieren unserer Gesellschaft ist, dass sie als besonders schützenswert eingestuft wurden. Dazu zählen Verkehrsunternehmen, Kliniken und auch die Energieversorgung. Sie unterliegen seitdem besonderen Auflagen der KRITIS-Verordnung zum Schutz kritischer Infrastrukturen.
Parallel dazu hat die BNetzA im Dezember 2018 einen entsprechenden IT-Sicherheitskatalog für Energieanlagenbetreiber veröffentlicht. Er lehnt sich stark an den bisherigen IT-Sicherheitskatalog für Energienetze an und umfasst Maßnahmen, die dem Schutz der Infrastruktur vor Attacken und Ausfällen dienen sollen.
Wie organisiere ich den Zertifizierungsprozess?
– der Kampf zwischen Tabellenkalkulation und Softwarelösung
Integrität der ISMS-Prozesse und ihrer Ergebnisse ist eine entscheidende Voraussetzung für eine erfolgreiche Zertifizierung. Viele Unternehmen erfassen Ihre Arbeitsergebnisse noch in einem Tabellenkalkulations-Tool, das in Bezug auf Historisierung und Nachvollziehbarkeit von Änderungen nicht optimal ist. Das merkt man, wenn man Jahr für Jahr nach der letzten gültigen Version sucht. Sobald eine gewisse Komplexität erreicht wird, ist diese Vorgehensweise nicht mehr handhabbar. Auch durch Wechsel der Ansprechpartner können wichtige Arbeitsergebnisse verloren geben, die lokal gesichert wurden. Oft fehlt auch das nötige Wissen bei den zuständigen Mitarbeitern.
Eine viel bessere Möglichkeit ist es, auf eine speziell dafür zugeschnittene Softwarelösung zurück zu greifen. Der Einsatz zur normkonformen Risikoanalyse, Risikobehandlung und Maßnahmenplanung ist ein erster großer Schritt zur Entlastung des Unternehmens bei der Erfüllung der Anforderungen. Er erlaubt ein durchgehendes ISMS-Berichtswesen und ermöglicht den einfachen Aufbau von ISMS-Kennzahlen. Eine Erweiterung von möglichen Modulen zum Vorgaben- und Schwachstellenmanagement oder zur Vorfallsbearbeitung können die angespannte Ressourcenlage bei Mitarbeitern mit entsprechenden Kompetenzen deutlich entlasten. Eine Softwarelösung, die langjähriges Expertenwissen und Risikomethoden implementiert hat, die Softwarelösung „OrgaTrust Suite“ der Firma OrgaTrust GmbH aus Ettlingen. Mehr Informationen erhalten Sie unter: www.orgatrust.de
Seit über 10 Jahren entwickelt die OrgaTrust GmbH maßgeschneiderte Softwarelösungen, um die Sicherheit in Unternehmen stetig zu verbessern. Unser engagiertes Team von erfahrenen Softwareentwicklern hat innovative Lösungen entwickelt, um Ihre Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, strukturiert im Unternehmen zu verankern.
VICCON GmbH
Ottostr. 1
76275 Ettlingen
Telefon: +49 7243 719734
Telefax: +49 7243 719704
http://www.viccon.de
Marketing
E-Mail: k.klass@viccon.de