07.04.2017

Zertifizierung nach ISO 27001 als Nachweis gemäß § 8a (3) BSI-KritisV nicht ausreichend

Die am 3. Mai 2016 in Kraft getretene BSI-Kritisverordnung (BSI-KritisV) legt fest, welche Abwasserentsorger als Betreiber Kritischer Infrastruktur im Sinne des BSI-Gesetzes (BSIG) gelten und gemäß § 8a (1) BSIG organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse treffen müssen. Die Branchen haben die Möglichkeit, gemäß § 8a (2) einen Branchenstandard zu definieren, bei dessen Einführung der Betreiber Kritischer Infrastruktur die gesetzlichen Anforderungen erfüllt. Für den Bereich Wasser und Abwasser haben DVGW und DWA den Branchenspezifischen Standard entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) waren von Beginn an in die Erarbeitung eingebunden. Nach einer umfänglichen Vorabprüfung des BSI im vergangenen Jahr wurde der Branchenspezifische Standard Anfang März 2017 beim BSI zwecks Eignungsprüfung gemäß § 8a (2) eingereicht. Die offizielle Anerkennung wird, laut Aussage des BSI, in Kürze erwartet. Das BSI weist in der Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG darauf hin, dass eine Zertifizierung nach ISO/IEC 27001 nicht ausreicht, um den geforderten Nachweis zu erbringen. Ergänzend zu einer ISO/IEC-27001-Zertifizierung muss nachgewiesen werden, dass Scope und Maßnahmen geeignet sind, die kritischen Dienstleistungen ausreichend zu schützen. Im Unterschied zur ISO/IEC 27001 berücksichtigt der Branchenstandard IT-Sicherheit Wasser/Abwasser diese Vorgaben. Fazit: Einen sicheren Nachweis im Sinne des § 8a (3) BSIG erbringen Wasserversorger und Abwasserentsorger über den von DVGW und DWA entwickelten Branchenstandard.