Durch das BSI Gesetz und die IT-Sicherheitsrichtlinie sind Betreiber von Anlagen der Energieversorgung einer definierten Erzeugungsleistung aufgefordert, einen Nachweis für den sicheren Anlagenbetrieb unter den Aspekten der Informationssicherheit zu liefern.
Als Nachweis dem Gesetzgeber gegenüber gilt die Implementierung und Zertifizierung eines ISMS nach ISO/IEC27001.
Teil des ISMS ist neben der Organisation und dem Managementrahmen insbesondere das Risikomanagement.
Neben der Dokumentation sind Prozesse und technische Maßnahmen aus ISO27002 umzusetzen.
Aufbau einer ISMS Organisation mit entsprechenden Rollen, Verantwortlichkeiten und Kompetenzen
Implementierung eines Risikomanagementsystems
Implementierung der Controls nach ISO/IEC27001 Anhang A und ISO/IEC 27002
Umsetzung von Schulungsmaßnahmen
Durchführung des internen Audits und Management-Review
Bestandenes Zertifizierungsaudit
Erfüllung gesetzlicher Vorgaben
Verbesserung der Anlagensicherheit unter dem Aspekt der Informationssicherheit
Transparenz zu allen Information Assets und der damit verbunden Risiken
Anstoß zum bewussten Verhalten bezügl. Informationssicherheit
Einbeziehung von Dienstleistern in die Informationssicherheit
Anpassungen im Notfallkonzept und BCM
Kontinuierliche Verbesserung durch implementierte ISMS Prozesse