HiSolutions überprüfte die Dortmunder Energie- und Wasserversorgung GmbH (DEW21) hinsichtlich der Umsetzung und Berücksichtigung von Anforderungen nach ISO 27001, 27019, KRITIS-DachG sowie NIS2UmsuCG im Rahmen eines internen Multi-Standard-Audits. 

Auf Basis der Prüfhandlungen und Ergebnisse von HiSolutions wurde das bestehende ISMS von DEW21 weiterentwickelt und optimiert, um eine angemessene Compliance zu den Standards herzustellen. Ferner konnten die von HiSolutions erbrachten Nachweise genutzt werden, um eine vollständige Durchführung des PDCA-Zyklus im Rahmen der externen Zertifizierungsaudits nach ISO 27001:2022 zu belegen.

Success Story als PDF herunterladen

Ziele:  

Internes Audit durchführen, Anforderungen integrieren, Kontinuierliche Verbesserung sicherstellen

Als Energie- und Wasserversorgungsunternehmen mit ca. 600.000 zu versorgenden Einwohnern zählt die DEW21 Gruppe zu den Betreibern von kritischen Infrastrukturen in Deutschland. Zur Umsetzung der gesetzlichen Anforderungen betreibt DEW21 ein ISMS gemäß ISO 27001.

Um die Vollständigkeit des kontinuierlichen Verbesserungsprozesses des ISMS zu gewährleisten, wurde im Rahmen des Projekts ein internes Audit nach der ISO 27001 sowie ISO 27019 durchgeführt. Der Auditumfang wurde zusätzlich um die Anforderungen des KRITIS-DachG sowie des NIS2UmsuCG ergänzt, und das Audit wurde um eine Gap-Analyse erweitert, um den Reifegrad der Umsetzung zu bewerten.

Die von HiSolutions dokumentierten Auditbelege und Befunde wurden von DEW21 im Rahmen des externen Zertifizierungsaudits genutzt, um die unabhängige Überprüfung sowie die kontinuierliche Weiterentwicklung des Managementsystems zu belegen. 

Herausforderungen:

ganzheitliche Betrachtung, Berücksichtigung von Fristen, Vertretungen und Ausfallzeiten

Eine zentrale Kernherausforderung der Prüftätigkeiten waren die starken Überschneidungen der Standards und Richtlinien, die in einer Einzelbetrachtung zu doppelten Prüfhandlungen und Mehrbelastungen der DEW21 Belegschaft geführt hätten.

Ferner mussten innerhalb der Audit- und Prüfplanung typische Vertretungen und Ausfallzeiten sowie die Fristen der externen Zertifizierungsaudits berücksichtigt werden.

Umsetzung:

Optimierte Audittermine durch Identifikation von Überschneidungen, Detaillierte Auswertungen zur ISMS-Weiterentwicklung

Aus dem Expertenteam von HiSolutions wurde ein vierköpfiges Audit-Team aufgestellt, welches die notwendigen Prüfqualifikationen aufweist. So konnten wir für DEW21 eine zeitliche Flexibilität sowie eine Prüfung im Vier-Augen-Prinzip gewährleisten.

Um die zeitliche Einbindung der ISMS-Belegschaft von DEW21 zusätzlich zu reduzieren, wurden die Überschneidungen der Prüfstandards im Vorfeld identifiziert und konzentrierte Audittermine geplant. Dadurch mussten relevante Ansprechpartner die Prüfinhalte lediglich einmalig aufbereiten und belegen. 

Um DEW21 einen zusätzlichen Vorlauf zur Berücksichtigung der ausgesprochenen Befunde im Rahmen des ISMS zu ermöglichen, wurden ausgewiesene Befunde neben täglichen Abschlussgesprächen im Sinne der ISO 19011 in wöchentlichen Zwischenergebnisberichten kommuniziert.

In einem abschließenden Auditbericht wurden die inhaltlichen Überschneidungen der Standards ausgewiesen, um redaktionelle Redundanzen zu vermeiden und Befunde im GRC-Tool von DEW21 zu berücksichtigen. 

Ferner wurde der Auditbericht um detaillierte Auswertungen der Standards ergänzt, um eine Weiterentwicklung des ISMS über alle Entscheidungsebenen bestmöglich zu unterstützen.

Ergebnis:

Audit erfolgreich durchgeführt, Kontinuierliche ISMS-Verbesserung und PDCA-Zyklus dokumentiert

Die vorgesehenen Standards und Richtlinien konnten erfolgreich in einem Multi-Standard-Audit überprüft und Prüfhandlungen durch einen kombinierten Auditbericht belegt werden. 

Notwendige Audittermine konnten dabei flexibel und effizient unter Berücksichtigung der Ressourcen von DEW21 geplant und durchgeführt werden. Die Einbindung der Belegschaft von DEW21 wurde auf ein notwendiges Minimum reduziert.

Die ausgesprochenen Befunde und Verbesserungsmaßnahmen konnten DEW21 transparent gemacht werden. Diese werden von DEW21 genutzt, um das ISMS kontinuierlich zu verbessern und die Implementierung eines vollständigen PDCA-Zyklus innerhalb des externen Zertifizierungsaudits zu belegen.

Das sagt unser Kunde:

„Der Wechsel unseres internen Auditors war sehr erfrischend. Die hohe Qualität, Größe des HiSolutions-Auditteams und die verbundene Prüftiefe beleuchteten insbesondere die Ecken unseres ISMS und zeigten unerschlossene Potenziale auf. Die NIS2- und KRITIS-DachG- Reifegradanalyse hilft uns bei der Fokussierung unserer Maßnahmen zur Umsetzung der Anforderungen.“ 

Jens Feistel
Informationssicherheitsbeauftragter, DEW21