Wird die Zertifizierung nach DIN 27001 (Informationssicherheits-Managementsystem) zur Pflicht für z.B. Störfallbetriebe?

Betroffenheit
Unternehmen mit sicherheitsrelevanten MSR-Einrichtungen; Störfallbetriebe; Störfallbeauftragter; MSR-Abteilung; Anlagensicherheit

Cyber-Bedrohung
Bedrohung der Integrität, Verfügbarkeit und Vertraulichkeit der MSR-Einrichtung mit Methoden und Werkzeugen der IT

Nachricht
In sehr allgemeiner Form werden in der neuen Empfehlung zur Betriebssicherheit Wege zur Ermittlung von Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen) sowie Maßnahmen zur wirksamen Reduzierung der ermittelten Risiken beschrieben.

Die Empfehlung setzt voraus, dass bereits bekannt ist, welche MSR-Einrichtungen sicherheitsrelevant sind. In Bezug auf die Cyber-Sicherheit sollen diese dann wiederum in drei Zonen eingeteilt werden:

  • Zone A umfasst die Einrichtungen, die für die Sicherheitsfunktion zwingend erforderlich sind
  • Zone B umfasst die Komponenten, die für die Auslösung der Sicherheitsfunktion nicht notwendig sind, jedoch das Verhalten der sicherheitsrelevanten MSR-Einrichtung beeinflussen können.
  • Die Umgebung umfasst Komponenten und Systeme, die weder direkt noch indirekt der sicherheitsrelevanten MSR-Einrichtung zuzuordnen sind, aber in Verbindung mit der Sicherheitsfunktion stehen können.

Je nach Zone wird das Ergreifen unterschiedliche Schutzmaßnahmen empfohlen. Als eine wesentliche Maßnahme wird die Implementierung eines Informationssicherheits-Managementsystems nach der DIN ISO/IEC 27001 empfohlen.

Handlungsempfehlung
Aufgrund der Natur als Empfehlung besteht derzeit kein Handlungsbedarf. eco COMPLIANCE wird weiter beobachten, inwieweit aus der heutigen Empfehlung eine künftige Pflicht werden könnte. Der Aufwand zur Implementierung eines weiteren Managementsystems wäre erheblich und nicht zu unterschätzen (alleine was die personellen Ressourcen betrifft).

Auch interessant: Am 7. Juni 2019 wurde im Amtsblatt der Europäischen Union die Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik veröffentlicht. Hier wurden Voraussetzungen geschaffen, um einen künftigen europäischen Zertifizierungsrahmen entwickeln und verbindlich definieren zu können.

Weitere Beiträge zu relevanten Rechtsänderungen finden Sie in unserem eco COMPLIANCE Report.