Bei all den NIS2-Diskussionen in den letzten Wochen (und Monaten) könnte man übersehen, dass gerade eine neue Version der ISO 27019 veröffentlicht wurde. Diese Norm spezifiziert die Sicherheitsanforderungen an Unternehmen in der Energieversorgung, zitiert und erweitert die ISO 27002 und ist für Informationssicherheits-Zertifizierungen relevant.

Hierin werden recht konkrete Anforderungen (Controls) an den sicheren Betrieb von Prozesssteuerungssysteme beschrieben und geeignete Sicherheitsmaßnahmen erläutert. 

Neben der Anpassung an die bereits mit ISO 27002:2022 geänderte Strukturierung der Controls wurden einige energiespezifische Aspekte ausgebaut und hinzugefügt. Diese energiespezifischen Erweiterungen betreffen im Einzelnen: 

Organisatorisch

Identifikation von Risiken durch externe Geschäftspartner
Sicherheitsmaßnahmen beim Umgang mit Informationen der Kund:innen

Physische Sicherheit

Sicherheitsmaßnahmen zum Schutz von Leitstellen
Sicherheitsmaßnahmen für Technikräume
Sicherheit von Außenstellen
Schutz von Kommunikationsverbindungen

Technische Maßnahmen

Behandlung von Alt-Systemen
Verfügbarkeit von Sicherheits(Safety)-Funktionen
Sicherheit von internen und externen Kommunikationsverbindungen der Prozessteuerung
Behandlung von Risiken durch Verbindungen von Dritten zu den Prozesssteuerungssystemen.
Minimale-Dienste-Anforderung an Prozesssteuerungsssyteme
Notfallkommunikation

Neue Anforderungen

Threat 
Intelligence

Die Sammlung und Analyse von möglichen Bedrohungen für die eigene Infastruktur

Konfigurations-
Management

Sicherstellung, dass die verwendeten Systeme sicher, aktuell und richtig konfiguriert sind

Daten-
Management

Maßnahmen ergreifen, um Ihre Daten gegen die Risiken eines Datenabflusses zu schützen

Anomalie-
Management

Durchführung von Maßnahmen zur Erkennung und Analyse von Anomalien

Die internationalen ISO-Standards legen den in vielen Gesetzen geforderten Stand der Technik fest und sind deshalb eine gute Orientierung für eigene Risikobehandlungsmaßnahmen.

ISO/IEC 27019:2024 und ISO/IEC 27002:2022 

Quelle: https://www.iso.org

Aktualisierungen durch den deutschen BDEW, die österreichische E-Wirtschaft und den Schweizerischen Elektrizitätsverband

Ein weiteres Dokument mit einer langen und erfolgreichen Historie wurde ebenfalls neu herausgebracht: Das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ ist kürzlich vom deutschen BDEW, Österreichs E-Wirtschaft und dem Verband Schweizerischer Elektrizitätsunternehmen in der dritten Version veröffentlicht worden. Die Auslegung der OT-Netze für die Anbindung an Systeme zur Angriffserkennung ist neu hinzugekommen (4.1.13) und der Schutz vor Schadsoftware muss an geeigneter Stelle, zum Beispiel durch signatur-basierte oder Allowlisting-Lösungen erfolgen (4.3.2).

Auch ohne NIS2-Umsetzungsgesetz und -Verordnung wird die Anforderungslage zunehmend konkreter, auch und gerade bei den Themen Angriffserkennung und Schwachstellenmanagement. Noch ein Grund, mit den angesichts der Sicherheitslage sinnvollen Maßnahmen nicht bis zur Inkraftsetzung der nationalen NIS2-Umsetzungen zu warten.

Holger Skurk, OMICRON

Holger Skurk

Cyber Security Produktmanager | KRITIS OT, OMICRON electronics GmbH

Holger widmet sich dem Schutz kritischer Infrastrukturen. In seinen zwei Jahrzehnten Berufserfahrung hatte er leitende Positionen bei führenden Cybersecurity-Beratungsunternehmen inne und bringt umfassende Expertise in der Absicherung von Betriebstechnologien mit.