Vorbereitung auf ein NERC CIP-013-1 Audit für die Sicherheit der Lieferkette

Die von der North American Electric Reliability Corporation (NERC) veröffentlichten neuen Cybersicherheitsstandards zum Schutz kritischer Infrastrukturen für Partner in der Lieferkette sollen am 1. Juli 2020 in Kraft treten. Sind Sie bereit?

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter April 20, 2020 8 min gelesen
Decorative image

Die Norm der North American Electric Reliability Corporation (NERC) zum Schutz kritischer Infrastrukturen (CIP) (CIP-013-1) legt neue Cybersicherheitsanforderungen für Strom- und Versorgungsunternehmen fest, um die Zuverlässigkeit des Stromversorgungsnetzes (Bulk Electric System, BES) zu gewährleisten, zu erhalten und zu verlängern. Der Standard gilt ab dem 1. Juli 2020 und die verantwortlichen Unternehmen haben 18 Monate Zeit, ihn zu erfüllen, um Strafen zu vermeiden. NERC ist befugt, registrierte Unternehmen mit Strafen von bis zu 1 Million US-Dollar pro Tag und ausstehendem Verstoß zu belegen.

Das Risikomanagement von Drittanbietern spielt eine zentrale Rolle bei der Gewährleistung der Sicherheit in der Lieferkette durch die regelmäßige Bewertung der internen Sicherheitskontrollen der Partner in der Lieferkette und die kontinuierliche Überwachung der Lieferantenrisiken in Echtzeit. Zusammengenommen bietet dieser Blick von innen nach außen und von außen nach innen einen besseren Überblick über die Risiken in der Lieferkette.

Dieser Blog gibt einen Überblick über die Anforderungen in CIP-013-1 und ordnet die in der Prevalent Third-Party Risk Management-Plattform verfügbaren Funktionen diesen Anforderungen zu.

Erfüllung der NERC CIP-013-1 Anforderungen

Dieser Blog konzentriert sich auf die Kernanforderungen für die Einhaltung von CIP-013-1, insbesondere in den Bereichen Cybersicherheitsmeldungen, Asset-, Änderungs- und Konfigurationsmanagement sowie Governance. Jeder dieser Bereiche kann mit den in der Prevalent-Plattform verfügbaren Funktionen leicht bewertet werden.

NERC CIP-013 Cyber-Sicherheitskriterien

Zumindest bewerten die Unternehmen, ob ihre Anbieter grundlegende Sicherheitskriterien erfüllen können:

1.2.1 Benachrichtigung/Erkennung von Cybersicherheitsvorfällen

Die Anbieter müssen in der Lage sein zu erkennen, wann ein Vorfall eingetreten ist, um sicherzustellen, dass der Anbieter die Einrichtung im Falle eines solchen Vorfalls benachrichtigen kann. Prevalent ermöglicht es den verantwortlichen Stellen, die Reaktionspläne ihrer Lieferanten regelmäßig zu überprüfen, indem sie die Pläne zur Validierung auf die Plattform hochladen. Durch diese Überprüfung haben die Unternehmen einen Überblick darüber, wie ein Partner in der Lieferkette auf eine Sicherheitsverletzung oder einen Cybervorfall reagieren würde. Überwachungs- und Bewertungstools können dieses Maß an internen Kontrollen oder Prozesstransparenz nicht bieten, aber diese Tools können die Bewertungen ergänzen, um bei der Veröffentlichung eines Vorfalls eine Reaktion auszulösen.

1.2.2 Koordinierung der Reaktionen auf Cybersicherheitsvorfälle

Anbieter sollten ihre Reaktionen auf Vorfälle im Zusammenhang mit den für die Einrichtung bereitgestellten Produkten oder Dienstleistungen, die ein Cybersicherheitsrisiko für die Einrichtung darstellen, mit der Einrichtung abstimmen. Prevalent bietet eine zentrale Plattform für die Überprüfung von Beweisen, die die Reaktions- und Kommunikationspläne für Vorfälle unterstützen, mit der Flexibilität, kundenspezifische Arbeitsabläufe, Aufgaben und Eskalationspfade zu erstellen, um eine schnelle Reaktion zu ermöglichen.

1.2.3 Benachrichtigung, wenn der Fern- oder Vor-Ort-Zugang nicht mehr benötigt wird oder den Vertretern des Anbieters nicht mehr zur Verfügung stehen soll

Die Anbieter sollten auf personelle Veränderungen entsprechend reagieren. Ein Anbieter sollte in der Lage sein, der Einrichtung mitzuteilen, wenn eine personelle Veränderung eintritt, die sich darauf auswirken könnte, ob den Vertretern des Anbieters weiterhin Fernzugriff gewährt werden sollte oder nicht. Die Prevalent-Plattform enthält einen Assistenten zur Erstellung benutzerdefinierter Umfragen, mit dem Unternehmen eine anpassbare Umfrage für das Offboarding erstellen und ausgeben können, in der dem Anbieter und dem internen Team spezifische Fragen zum Systemzugriff, zur Datenvernichtung und zu abschließenden Zahlungen gestellt werden, wobei integrierte Workflows sicherstellen, dass der Trennungsprozess nahtlos verläuft.

1.2.4 Identifizierung von Schwachstellen Die Anbieter müssen eine Einrichtung benachrichtigen, wenn eine Schwachstelle im Zusammenhang mit einem Produkt oder einer Dienstleistung festgestellt wird.

Um dieser Verpflichtung nachzukommen, muss ein Anbieter wissen, wann eine Schwachstelle in seiner Umgebung besteht. Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Eingebaute kontinuierliche Überwachungsfunktionen ergänzen die Bewertungen, indem sie externe Schwachstellen-Scans für Webschnittstellen durchführen, wobei die Ergebnisse in ein einziges Risikoregister integriert werden.

1.2.5. Überprüfung der Softwareintegrität und -authentizität aller vom Verkäufer zur Verwendung im BES-Cyber-System bereitgestellten Software und Patches

Die Prevalent-Plattform enthält mehr als 50 integrierte Fragebögen nach Industriestandard (z. B. für CIP, NIST, ISO und andere), von denen viele spezifische Fragen zur Patching-Kadenz und zu Softwareintegritätsprüfungen für interne Systeme stellen. Die Antworten auf diese Fragen werden in Risiken umgewandelt, wenn die richtigen Patching-Schwellenwerte nicht erreicht werden, und informieren die verantwortlichen Stellen über potenzielle Risiken.

1.2.6 Koordinierung der Kontrollen für herstellerinitiierten interaktiven Fernzugriff und System-zu-System-Fernzugriff mit einem Hersteller

Anbieter müssen sich mit Unternehmen abstimmen, um den vom Anbieter initiierten interaktiven Fernzugriff zu kontrollieren und sicherzustellen, dass der Fernzugriff von System zu System mit einem Anbieter angemessen verwaltet wird. Die Prevalent-Plattform bietet einen Nachweis und eine Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss.

NERC-Anforderungen an das Anlagen-, Änderungs- und Konfigurationsmanagement

Wenn eine Organisation eine Risikobewertung durchführt und die Risikoexposition von Produkten oder Dienstleistungen, die in ihrem Umfeld beschafft werden sollen, in Betracht zieht, können zusätzliche Cyber-Sicherheitskontrollen erforderlich sein, um die Betriebsumgebung der Organisation zu schützen. Eine Stelle kann in Erwägung ziehen, zusätzliche Informationen über die Fähigkeiten des Anbieters in Bezug auf die folgenden Sicherheitsbereiche einzuholen und auszuwerten.

Asset-, Änderungs- und Konfigurationsmanagement Inventarisierung autorisierter und nicht autorisierter Geräte sowie Überlegungen zur Änderungskontrolle und zum Konfigurationsmanagement

Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.

  • Inventarisierung der physischen Geräte und Systeme innerhalb der Organisation
  • Software-Plattformen und -Anwendungen innerhalb der Organisation werden inventarisiert
  • Organisatorische Kommunikation und Datenflüsse werden abgebildet
  • Externe Informationssysteme werden katalogisiert
  • verwendet ein anerkanntes Rahmenwerk für seine IT-Prozesse (z. B. ITIL)
  • Einbeziehung der Sicherheit in den Lebenszyklus der Systementwicklung
  • verfügt über ein ausgereiftes Änderungskontrollverfahren
  • Unterhält getrennte Entwicklungs- und Produktionsumgebungen
  • Unterhält getrennte Umgebungen für verschiedene Kunden
  • Verfügt über Mechanismen für die Softwareintegrität (z. B. PKI mit Verschlüsselung, digitale Signatur)
  • Das Produkt ermöglicht eine Härtung zur Minimierung der Angriffsfläche
  • Verfahren zur Identifizierung, Erkennung, Inventarisierung, Klassifizierung und Verwaltung von Informationsbeständen (Hardware und Software)
  • Verfahren zur Erkennung unbefugter Änderungen an Software und Konfigurationsparametern
  • in der Lage zu erkennen, ob Hardware, Software oder Komponenten aus den USA und/oder aus dem Ausland stammen

NERC-Governance-Anforderungen

Wenn eine Organisation eine Risikobewertung durchführt und die Risikoexposition von Produkten oder Dienstleistungen, die in ihrem Umfeld beschafft werden sollen, in Betracht zieht, können zusätzliche Cyber-Sicherheitskontrollen erforderlich sein, um die Betriebsumgebung der Organisation zu schützen. Eine Stelle kann in Erwägung ziehen, zusätzliche Informationen über die Fähigkeiten des Anbieters in Bezug auf die folgenden Sicherheitsbereiche einzuholen und auszuwerten.

Einrichtung und Umsetzung eines Programms zur Förderung des Sicherheitsbewusstseins, Überlegungen zur Protokollierung und Überwachung sowie Überlegungen zum Informationsschutz

Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.

  • Dokumentierte und umgesetzte Sicherheitsrichtlinien und -verfahren
  • Alle Nutzer werden über die Richtlinien und Verfahren zur Cybersicherheit informiert und geschult.
  • Drittparteien verstehen die Rollen und Verantwortlichkeiten und sind für dieselben Anforderungen verantwortlich
  • Leitende Angestellte verstehen Rollen und Verantwortlichkeiten
  • Das Personal für physische Sicherheit und Informationssicherheit kennt seine Aufgaben und Verantwortlichkeiten
  • Fähigkeit, laufende Unterstützung für Software und Hardware zu leisten
  • Hintergrundprüfungen des Personals
  • Fähigkeit zur Aufbewahrung von Daten bei Ereignissen wie Rechtsstreitigkeiten, Cybersicherheitsvorfällen
  • Ausreichende Aufgabentrennung, um sicherzustellen, dass Protokollierung und Überwachung wirksam sind, um Anomalien aufzudecken
  • Standort der Rechenzentren des Anbieters (in den USA/Kanada oder international)
  • unterhält ein Programm zur kontinuierlichen Protokollierung, Überwachung und Analyse seiner Systeme, um wichtige Ereignisse zu identifizieren
  • Verwendung geeigneter Kontrollen zur Verwaltung von Daten im Ruhezustand (Daten von Anbietern oder Unternehmen)
  • Fähigkeit, zusätzliche Hardware für Ausfälle bereitzustellen
  • Verschlüsselt Anmeldeinformationen bei der Übertragung, intern und extern
  • Verschlüsselt Anmeldedaten im Ruhezustand
  • Verwendet die stärksten Standard-Verschlüsselungsalgorithmen (z. B. AES oder SHA-2)
  • Physische Zugangskontrollen der Lieferanten zu Hardware, Software und Produktionszentren
  • Inventarisierung der physischen Geräte und Systeme innerhalb der Organisation

Prevalent kann bei der NERC-Compliance helfen

Die Prevalent Third-Party Risk Management (TPRM)-Plattform hilft bei der Einhaltung der NERC CIP-Vorschriften, indem sie es Stromversorgern ermöglicht, die Bewertung der internen Kontrollen ihrer Lieferkettenpartner zu zentralisieren und ein Repository mit unterstützenden Nachweisen und Dokumentationen bereitzustellen, das zur Prüfung und Validierung des Vorhandenseins der richtigen Sicherheitsmaßnahmen in der Lieferkette verwendet werden kann. Mit der eingebauten kontinuierlichen Überwachung der Cybersicherheit und des Geschäftsbetriebs, die zur Erstellung von Sekundärbewertungen auf der Grundlage ausgelöster Kriterien führen kann, bietet die Prevalent-Plattform eine umfassendere Lösung für das Risikomanagement in der Lieferkette, als dies bei reinen Scoring-Tools der Fall ist.

Darüber hinaus unterstützt die Prevalent-Bewertungsplattform Fragebögen, Risikoregister und die Berichterstattung über mehrere Industriestandard-Frameworks, einschließlich NIST CSF, PCI DSS 3.2, HIPAA und SOC 2, unter Verwendung des Prevalent Compliance Framework. Unternehmen müssen nur einen einzigen Satz von Fragen stellen und die Ergebnisse dann einer beliebigen Anzahl dieser Vorschriften zuordnen, was die Compliance-Berichterstattung vereinfacht und beschleunigt.

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, die Compliance-Anforderungen der verschiedenen Vorschriften zu erfüllen, laden Sie unser Whitepaper herunter: Das Handbuch zur Einhaltung der Vorschriften für das Risikomanagement von Drittanbietern.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.