Die BIGGE ENERGIE GmbH & Co. KG (www.bigge-energie.de) ist ein Energieversorger in der Region Olpe. Mehr als 44.000 Kunden werden durch die BIGGE ENERGIE mit Strom versorgt, darunter private Haushalte und Firmen. Als Energieversorger zählt die BIGGE ENERGIE nach dem IT-Sicherheitsgesetz zu den kritischen Infrastrukturen (KRITIS) und unterliegt daher einer strengen Regulierung durch das BSI. Um den Anforderungen gerecht zu werden und diese gegenüber dem BSI nachzuweisen, betreibt die BIGGE ENERGIE ein Informationssicherheits-Managementsystem (ISMS), welches nach ISO 27001 zertifiziert ist.

Herausforderung

Die SVA wurde beauftragt, um die BIGGE ENERGIE bei der Strukturierung, Verbesserung und dem Betrieb des ISMS zu unterstützen. Ein zertifiziertes ISMS nach ISO 27001 unterliegt jährlichen Überwachungsaudits, bei denen der sichere Betrieb und die fortlaufende Verbesserung des ISMS nachgewiesen werden müssen. Um eine Rezertifizierung nach drei Jahren erfolgreich durchführen zu können, müssen Dokumente und Maßnahmen innerhalb des ISMS Scopes regelmäßig überprüft und aktualisiert werden. Dabei wird der fortlaufende Plan-Do-Check-Act Ansatz angewendet.

Ausgangssituation und Umsetzung

Das ISMS der BIGGE ENERGIE ist seit 2018 nach ISO 27001 zertifiziert. Seit dem Jahr 2019 unterstützt die SVA die BIGGE ENERGIE bei der Pflege und Verbesserung des ISMS und der gelebten IT-Sicherheit im Unternehmen. Zu Beginn der Tätigkeit durch die SVA wurde eine Informations-Sicherheits-Status-Analyse (ISSA) durchgeführt. Eine ISSA dient der Analyse und Feststellung der Ist-Situation sowie des Niveaus der Informationssicherheit und definiert Maßnahmen, um diese anschließend zu verbessern. Anhand der Ergebnisse der ISSA wurde anschließend eine umfassende Umstrukturierung und Weiterentwicklung des ISMS und der dazugehörigen Dokumente und Prozesse gestartet. Dabei legten Berater der SVA einen großen Wert darauf, dass sowohl regulatorische Anforderungen eingehalten werden als auch die gelebte IT-Sicherheit weiter ausgebaut wird. So wurde die Dokumentenstruktur vollständig überarbeitet, neue Dokumente verfasst, Inhalte geändert, Workshops und Schulungen sowie beratende Tätigkeiten bei der Planung neuer Maßnahmen durchgeführt. Die erste Rezertifizierung des ISMS konnte erfolgreich und mit großem Lob der Auditoren durchgeführt werden.

Zukunft

Die regulatorischen Anforderungen des BSI für kritische Infrastrukturen werden regelmäßig aktualisiert und geändert. SVA unterstützt die BIGGE ENERGIE auch weiterhin dabei, diese Anforderungen konform umzusetzen und passende Maßnahmen zu planen.

Durch den pragmatischen Ansatz und die Empfehlungen von SVA, haben wir einen echten Mehrwert in der IT-Sicherheit!

- Heiko Pawelczyk, Leitung EDV/IT bei Bigge-Energie