Umsetzung des IT-Sicherheitskatalogs

Der Aufbau und die erfolgreiche Zertifizierung eines ISMS ist eine gesamtorganisatorische Aufgabe, die für jeden der Netzbetreiber eine große Herausforderung darstellt. Verantwortlich dafür ist die jeweilige Geschäftsführung. Zumindest Teilbereiche der Organisation müssen über ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001:2013 verfügen. Dieses ISMS definiert die erforderlichen Prozesse, Verantwortlichkeiten und Standards. Zunächst ist ein Informationssicherheitsbeauftragter (ISB) zu benennen und eine IT-Sicherheitsleitlinie zu erarbeiten. Außerdem ist zu definieren, welche Methode zur Risikoanalyse zum Einsatz kommt. Um ein angemessenes IT-Sicherheitskonzept zu etablieren, gilt es, den Ist-Zustand (IT-Objekte, Netzstrukturplan, Datenflüsse, Schutzmaßnahmen) zu erfassen und diesen mit den Anforderungen der Bundesnetzagentur abzugleichen. Daraus entsteht der individuelle Handlungsbedarf des Netzbetreibers.