Kontakt

Kontakt

Rufen Sie uns gerne an oder nutzen unser Kontaktformular.

T 0421 359-1212
F 0421-359-151212

zum Kontaktformular
Ablesung

Jetzt mitteilen

Erfassen Sie einfach und bequem Ihren Zählerstand online:

Zählerstand abgeben
Störung

Störung melden

Hier bekommen Sie zuverlässig Hilfe rund um die Uhr:

Störung melden Aktuelle Störungen zur Baustellenliste

INFORMATIONSSICHERHEIT

ISMS auf Holzwürfeln geschrieben vor einem grauen und blauen Hintergrund, grüne Pflanze in der linken oberen Ecke

In einer zunehmend vernetzten Welt ist der Schutz sensibler Informationen essenziell. Ein Information Security Management System (ISMS) stellt sicher, dass Unternehmen ihre Daten zuverlässig schützen - durch klare Prozesse, kontinuierliche Kontrolle und ständige Optimierung der Sicherheitsmaßnahmen.

Zweck

  • Die Richtlinie dient zur Herleitung und Beschreibung der Motivation, Entstehung und den Zielen des ISMS.
  • Im Folgenden wird über den gesamten Anwendungsbereich des SMS gemäß Scope informiert.
  • Anwender dessen sind alle Mitarbeiter von wesernetz gemäß ISMS-Scope.

Unternehmen und Geschäftszweck
  • Die wesernetz Bremen GmbH ist ein regionaler Netzbetreiber für die Sparten Strom, Gas, Wasser und Wärme in Bremen und Bremerhaven.
  • wesernetz Bremen GmbH und wesernetz Bremerhaven GmbH sind rechtlich selbstständige Gesellschaften, der Netzbetrieb erfolgt in einem gemeinsamen Betriebsmodell. In allen Dokumenten des ISMS wird nur noch der Begriff wesernetz verwendet.
  • Die kritische Infrastruktur der wesernetz ist die Netzleittechnik, welche die Versorgungsnetze überwacht und steuert. Die Netzleittechnik wird durch den Bereich Netzbetriebsführung betreut und hat Standorte in Bremen und Bremerhaven.
Anforderungen, Risiken und Ziele

Das Vertrauen unserer Kunden beruht darauf, dass wir insbesondere

  • die Versorgung in den Sparten Strom, Gas, Wasser und Wärme sicherstellen,
  • die rechtlichen Vorgaben und nicht zuletzt die Datenschutzgesetze einhalten (Compliance),
  • unsere Betriebsgeheimnisse schützen und
  • die Vertraulichkeit der Daten unserer Kunden wahren

Vor diesem Hintergrund ist die Versorgung unserer Kunden davon abhängig, dass wir bestehende Risiken für die genannten Ziele durch geeignete Maßnahmen mindern oder meiden und verbleibende Risiken geeignet behandeln.
Zu den Risiken zählen die unvollständige bzw. nicht korrekte Einhaltung von rechtlichen Vorgaben, die unbefugte und ggfs. unbemerkte Weitergabe von Betriebsgeheimnissen, die Verletzung der Vertraulichkeit von Kundendaten und die völlige oder zeitweiser Unterbrechung der Versorgung.
Zu den interessierten Parteien vor dem Hintergrund der Informationssicherheit gehören: Kunden, Vertriebsgesellschaften, Lieferanten, Behörden und Mitarbeiter des swb-Konzerns.

Bedeutung der Sicherheit

Die Geschäftsführung von wesernetz betrachtet das Thema Informationssicherheit als wichtigen Bestandteil der Unternehmenskultur und erwartet dies ebenfalls von allen Mitarbeitern und Dienstleistern. Dies gilt insbesondere vor dem Hintergrund der Anforderungen aus dem IT-Sicherheitskatalog gemäß §11 Absatz 1a EnWG der Bundesnetzagentur und dem BSIG §8a Absatz 1.
Aufgrund ihrer zentralen Bedeutung für die Erfüllung des Versorgungsauftrages fördert die Geschäftsführung von wesernetz den Aufbau und die kontinuierliche Verbesserung des Informationssicherheitsprozesses und unterstützt den Informationssicherheitsbeauftragten durch einen regelmäßigen Informationsaustausch, die Bereitstellung von Ressourcen sowie durch sichtbare Übernahme der Gesamtverantwortung für das ISMS.

Die beteiligten Mitarbeiter müssen sich der Notwendigkeit der Informationssicherheit bewusst sein und die grundsätzlichen Auswirkungen von Risiken auf den Versorgungsauftrag kennen.
Illustriertes Schloss in der Hand gehalten, vor einem hellblauen Hintergrund
Verpflichtungen für Lieferanten und Dienstleister

1. Einhaltung von Informationssicherheitsstandards

  • Die Lieferanten und Dienstleister müssen die Anforderungen der wesernetz an die Informationssicherheit einhalten.
  • Die Lieferanten werden zusätzlich verpflichtet technischen Zertifizierungen und Standards wie z. B. TÜV-IT Trusted Site Infrastructure (TSI) Level 3, ISO 27001 vorzuweisen, um die Sicherheit der IT-Infrastruktur sowie die Anforderungen der wesernetz hinsichtlich der Informationssicherheit gewährleisten zu können.

2. Vertraulichkeit und Datenschutz 

  • Alle erhaltenen Daten und Informationen sind streng vertraulich zu behandeln. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach den Vorgaben der wesernetz und den geltenden Datenschutzbestimmungen. Vertrauliche Informationen dürfen nur zur Erfüllung der vertraglich vereinbarten Leistung verwendet werden.

3. Zugriffskontrolle und IT-Sicherheit

  • Der Zugang zu Informationen und Daten erfolgt auf dem „Need-to-know“- und „Least-Privilege“-Prinzips. Der Lieferant stellt sicher, dass eigene Systeme, die zur Leistungserbringung genutzt werden, ausreichend gegen unbefugten Zugriff, Schadsoftware und Datenverlust geschützt sind (z. B. durch Firewalls, aktuelle Virenschutzsoftware, regelmäßige Updates). Zugangsdaten dürfen nicht weitergegeben und müssen sicher verwahrt werden.

4. Unterauftragnehmer / Subunternehmen

  • Der Einsatz von Unterauftragnehmer zur Verarbeitung von Informationen oder Daten ist nur nach vorheriger schriftlicher Zustimmung zulässig. Subunternehmer unterliegen denselben 2. Sicherheits- und Datenschutzpflichten wie der Lieferant.

5. Umgang mit Änderungen

  • Änderungen an der Leistung müssen schriftlich kommuniziert werden. Dies umfasst:

1. Änderung an den Lieferantenvereinbarungen

2. Weiterentwicklung von neuen Anwendungen und Systeme

3. Modifikationen oder Aktualisierungen in Bezug auf die Richtlinien und Verfahren der Organisationen


6. Meldepflicht bei Sicherheitsvorfällen

  • Der Lieferant ist verpflichtet, Informationssicherheitsvorfälle, die die wesernetz betreffen oder betreffen könnten, unverzüglich zu melden.
  • Dazu gehören insbesondere:

1. Verlust oder Diebstahl von Daten

2. unbefugter Zugriff auf Systeme oder Daten

3. Verdacht auf Cyberangriffe oder Schadsoftware-Infektionen

 

7. Audits und Nachweisepflicht

  • wesernetz kontrolliert, dass vertragliche Anforderungen in Bezug auf die Informationssicherheit der wesernetz auch bei Dienstleistern und Lieferanten eingehalten werden.
  • wesernetz behält sich das Recht vor, Audits oder Prüfungen zur Einhaltung der Richtlinien durchzuführen oder durchführen zu lassen.
  • Der Lieferant verpflichtet sich, auf Anfrage Auskunft über seine Sicherheitsmaßnahmen zu geben und relevante Nachweise bereitzustellen.

8. Konsequenzen bei Verstößen

  • Verstöße gegen die Richtlinie können zum sofortigen Entzug von Zugriffsrechten, zur Kündigung des Vertragsverhältnisses sowie zu Schadensersatzforderungen führen.
  • Gesetzliche Meldepflichten und weitere rechtliche Schritte bleiben davon unberührt.

9. Bestätigung

  • Der Lieferant bestätigt mit den allgemeinen Verträgen, diese Informationssicherheitsrichtlinie zur Kenntnis genommen zu haben und die Anforderungen einzuhalten.