Was ist die NERC-CIP-Norm?
Die NERC-CIP-Norm ist der Standard für Cybersicherheit, der von Elektrizitätsunternehmen in den USA angewendet wird, die für die Produktion und das Management von Stromnetzen verantwortlich sind. Die Abkürzung steht für North America Electric Reliability Corporation, und CIP bedeutet Critical Infraestructure Protection. Ihr Ziel ist es, eine Reihe spezifischer Anforderungen für das Sicherheitsmanagement kritischer Infrastrukturen im Zusammenhang mit der Produktion und dem Management von Stromnetzen festzulegen.
Die Verwaltung und Produktion von elektrischer Energie hat sich im Laufe der Jahre weiterentwickelt, um eine steigende Nachfrage mit hoher Verfügbarkeit zu befriedigen. Dies hat die Einbeziehung neuer Technologien und Kontrollmechanismen mit sich gebracht, die zwar die Erfüllung dieser Bedürfnisse ermöglicht haben, aber aufgrund der Natur der beteiligten Technologien Schwächen und Anfälligkeiten eingeführt haben, die korrekt verwaltet werden müssen, um Risiken in diesen komplexen Systemen zu mindern, die im Übrigen in der Regel das Ziel ausgeklügelter Angriffe von Gruppen und kriminellen Organisationen sind.
Ursprünglich wurde diese Norm im Jahr 2003 von NERC mit der Absicht entwickelt, einen Industriesicherheitsstandard für die Unternehmen des Elektrizitätssektors zu schaffen. Die erste Version wurde als NERC CSS (Cyber Security Standards) bezeichnet. Nach aufeinanderfolgenden Verbesserungen und Weiterentwicklungen ist die aktuellste Version als NERC-CIP bekannt, und obwohl ihr Ursprung nordamerikanisch ist, ist sie derzeit in mehreren lateinamerikanischen Ländern wie Mexiko, Kolumbien, Ecuador, Brasilien, Chile und Peru implementiert.
Struktur der NERC-CIP-Norm
Diese Norm besteht derzeit aus 12 Standards, die die Sicherheitskontrollen festlegen, die für den Schutz sowohl der kritischen Infrastrukturen als auch in Bezug auf Informationen, Personal, das die Anlagen verwaltet, Verwaltung der Sicherheitssysteme und Wiederherstellungspläne der als kritisch erachteten Anlagen und Infrastrukturen angewendet werden müssen.
• CIP-002-5.1a BES (Bulk Electric System) Cyber System Categorization
• CIP-003-8 Security Management Controls
• CIP-004-6 Personnel & Training
• CIP-005-6 Electronic Security Perimeter(s)
• CIP-006-6 Physical Security of BES Cyber-Systems
• CIP-007-6 System Security Management
• CIP-008-6 Incident Reporting and Response Planning
• CIP-009-6 Recovery Plans for BES Cyber-Systems
• CIP-010-3 Configuration Change Management and Vulnerability Assessments
• CIP-011-2 Information Protection
• CIP-013-1 Supply Chain Risk Management
• CIP-014-2 Physical Security
Ziele der NERC-CIP-Norm
Ziel der Norm ist die Verbesserung der Sicherheit der Stromverteilungssysteme. Zu diesem Zweck werden neben der Entwicklung von Kontrollen und der Überwachung der Einhaltung bei der Implementierung von Kontrollen auch Risikobewertungen durchgeführt, um Schwachstellen in den beteiligten Systemen zu identifizieren und zu beheben, um eine sichere Bereitstellung von Stromverteilungsdiensten zu gewährleisten. Dazu ist die Identifizierung der kritischen Anlagen in den Stromerzeugungs- und -verteilungsinfrastrukturen erforderlich, für die Kontroll- und Überwachungsmechanismen eingerichtet werden, die Ereignisse im Zusammenhang mit der Sicherheit verhindern und melden.
Zusätzlich zur Überwachung müssen Zugangskontrollmechanismen für diese Anlagen und für industrielle Steuerungssysteme (ICS) angewendet sowie Verfahren für das Management und die Reaktion auf Vorfälle mit Wiederherstellungs- und Notfallplänen eingerichtet werden, sei es bei vorsätzlichen Angriffen, Industrieunfällen oder Naturkatastrophen, die die Kontinuität der Dienstleistungen gewährleisten.
Die Implementierung von Standards und Strategien für Cybersicherheit in den sogenannten kritischen Infrastrukturen, wie z. B. dem Sektor der Stromerzeugung und -verteilung, ermöglicht es, mögliche Anfälligkeiten oder Katastrophensituationen zu verhindern und die beteiligten Unternehmen in die Lage zu versetzen, effizienter und mit geringeren Auswirkungen auf Nutzer und Organisationen, die von ihnen abhängig sind, zu reagieren.
Bei GlobalSuite Solutions verfügen wir über die Software GlobalSuite®, um die NERC-PIC-Norm zu implementieren. Das Tool ermöglicht die Implementierung, Verwaltung und Wartung eines Risikomanagementsystems auf der Grundlage der festgelegten Ziele sowie die Bewertung und Verfolgung der Behandlung des definierten Risikos.
