NERC-Sicherheitsleitfaden für den Lebenszyklus des Cybersicherheitsrisikomanagements in der Lieferkette

Kontakt zu einem Experten

Zurück zu allen Use Cases

Identifizieren, bewerten und mindern Sie Cyberrisiken für kritische Infrastrukturen.

Als Reaktion auf die weit verbreiteten Verstöße in der Lieferkette hat die North American Electric Reliability Corporation (NERC) eineSicherheitsrichtlinie für den Lebenszyklus des Risikomanagements im Bereich Cybersicherheit in der Lieferkette veröffentlicht.

Die Richtlinie empfiehlt, dass Organisationen mit kritischer Infrastruktur wie Stromversorger, Erdgasversorger und andere die Cybersicherheitsrisiken in der Lieferkette für ihre kritischen operativen Technologieanlagen (OT) identifizieren, bewerten und mindern. Störungen von OT-Systemen, beispielsweise durch Vorfälle in der Lieferkette, können zu Versorgungsausfällen führen und weitreichende negative Auswirkungen auf die Gesellschaft haben.

Relevante Anforderungen

  • Identifizieren Sie Risiken für kritische OT-Assets, die erhebliche Auswirkungen haben oder mit hoher Wahrscheinlichkeit kompromittiert werden könnten.

  • Die in den Risikobewertungen der Lieferanten identifizierten Risiken mindern

  • Aktualisieren Sie regelmäßig die Risikomanagementstrategie.

  • Bewerten Sie Lieferanten, um den Grad des Risikos zu bestimmen, das sie in Bezug auf jedes identifizierte Risiko darstellen (erfordert einen Fragebogen).

  • Berücksichtigen Sie die Risikominderung während des gesamten Lebenszyklus des Lieferanten.

Erfüllung der Anforderungen der NERC-Sicherheitsrichtlinien

Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Best Practices des NERC-Risikomanagements für Dritte zu erfüllen:

 

Anforderung

Wie wir helfen

Kapitel 1: Risiken identifizieren

Das erste Ziel der Organisation im Prozess des Cybersicherheitsrisikomanagements in der Lieferkette besteht darin, Risiken für ihre kritischen OT-Assets zu identifizieren, die je nach Lieferant erhebliche Auswirkungen haben oder mit hoher Wahrscheinlichkeit zu Kompromittierungen führen könnten.

Prevalent bietet die folgenden Funktionen, um diese Anforderung zu erfüllen:

  • Eine zweiachsige Bewertungsmethode, die auf der Wahrscheinlichkeit einer Kompromittierung und der Auswirkung auf das Unternehmen basiert und eine Heatmap-ähnliche Matrix erstellt, in die die Risiken eingetragen werden.
  • Automatisierte Regeln zur Vergabe von Punkten, wenn die Antwort eines Lieferanten auf eine Bewertungsfrage einen akzeptablen Risikogrenzwert nicht erreicht, wodurch Risiken in die Matrix eingezeichnet werden.
  • Berichterstattung zur Sortierung der Risiken nach der höchsten Punktzahl in der Matrix.
  • Kundenspezifische Abhilfemaßnahmen, die dem Lieferanten empfohlen werden, um das Risiko zu mindern.

Die Prevalent-Plattform ermöglicht Ihnen die Durchführung von Profiling- und Tiering-Bewertungen, umdie inhärenten Risikenfür alle Lieferanten zu verfolgen und zu quantifizieren. Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch klassifizieren und einstufen (einschließlich der Identifizierung derjenigen, die als kritisch eingestuft werden), geeignete Stufen für weitere Sorgfaltspflichten auf der Grundlage dieser Basis festlegen und den Umfang der laufenden Bewertungen bestimmen.

Kapitel 2: Risikobewertung

Sobald das Unternehmen die Risiken identifiziert hat, muss es seine Lieferanten bewerten, um den Grad des Risikos zu bestimmen, das sie in Bezug auf jedes identifizierte Risiko darstellen. In den meisten Fällen wird die Lieferantenbewertung anhand eines Fragebogens durchgeführt.

Mit Prevalent können SieRisikobewertungenautomatisieren, um die Transparenz, Effizienz und den Umfang Ihres Risikomanagementprogramms für die Lieferkette in jeder Phase des Lieferantenlebenszyklus zu verbessern.

Die Prevalent-Plattform bietet eine Bibliothek mit Hunderten von standardisierten Bewertungsvorlagen, die individuell angepasst werden können und über integrierte Workflows und Korrekturmaßnahmen verfügen, um alle Prozesse von der Erhebung und Analyse von Umfragen bis hin zur Risikobewertung und Berichterstattung zu automatisieren. Achten Sie darauf, dass die Bewertungsplattform Ihrer Wahl spezifische Bewertungen für die Berichterstattung über kritische Infrastrukturen und Best Practices enthält, wie beispielsweisedas Framework des National Institute of Standards and Technology (NIST)zur Verbesserung der Cybersicherheit kritischer Infrastrukturen.

Im Rahmen des Risikobewertungsprozesses solltenexterne Bedrohungen für Lieferantenkontinuierlich verfolgt und analysiert werden, indem das Internet und das Dark Web auf Cyberbedrohungen und Schwachstellen überwacht werden. Zu den Überwachungsquellen sollten kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Bedrohungs-Feeds, Paste-Seiten für durchgesickerte Anmeldedaten, Sicherheits-Communities, Code-Repositorys, Schwachstellen-Datenbanken und Datenverletzungs-Datenbanken gehören.

Eine wichtige Fähigkeit in diesem Schritt besteht darin, die Ergebnisse der kontinuierlichen Überwachung mit den Antworten auf die Bewertungen abzugleichen, um die Kontrollen zu validieren. Dies lässt sich nicht mit Tabellenkalkulationen für Risikobewertungen oder unzusammenhängenden Tools für die Überwachung der Cybersicherheit bewerkstelligen.

Kapitel 3: Risikominderung

Kapitel 3 empfiehlt, dass die Organisation den Anbieter auffordert, die in der Bewertung identifizierten Risiken zu mindern. Das Ziel der Risikominderung sollte darin bestehen, den Wert des Risikos auf ein akzeptables Niveau zu senken, um die Wahrscheinlichkeit und/oder die Auswirkungen des Risikos zu verringern. Die Richtlinie besagt, dass dies durch Ausschreibungen oder vertragliche Durchsetzung erreicht werden kann, aber auch erforderliche Abhilfemaßnahmen sind eine wichtige Maßnahme zur Durchsetzung nach Vertragsabschluss. Nachfolgend finden Sie einige ausgewählte Maßnahmen zur Risikominderung aus der Richtlinie.

Nehmen Sie in die RFP eine Formulierung auf, in der die Sicherheitsrisiken und die vom Anbieter zu ergreifenden Maßnahmen zur Behebung dieser Risiken aufgeführt sind.

Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) im Rahmen von Entscheidungenzur Lieferantenauswahl. Dadurch wird sichergestellt, dass Lieferanten auf der Grundlage kritischer Cybersicherheitsmaßnahmen ausgewählt werden.

Nehmen Sie eine Vertragsklausel auf, die die Verpflichtung des Anbieters dokumentiert, bestimmte Sicherheitskontrollen zu implementieren, und die vorsieht, dass die Organisation die Fortschritte des Anbieters überprüft und Methoden für die künftige Kommunikation über diese Angelegenheiten festlegt.

Mit Prevalent können Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgen zentralisieren. Durch diese Art der Verwaltung von Lieferantenverträgen stellen Sie sicher, dass die Verträge die richtigen Sicherheitsklauseln und Durchsetzungsmaßnahmen enthalten.

Definieren Sie spezifische Abhilfemaßnahmen.

Die Prevalent-Plattform stellt Ihnen auf der Grundlage von Risikobewertungsergebnissen empfohlene Abhilfemaßnahmen für Lieferanten zur Verfügung, um sicherzustellen, dass diese Risiken zeitnah und zufriedenstellend angehen. Außerdem können Sie damit Abhilfemaßnahmen bis zum Abschluss mit festgelegten Verantwortlichen verfolgen – sowohl innerhalb Ihres Unternehmens als auch im Unternehmen Ihres Lieferanten.

Kapitel 4: Beschaffung und Installation

Kapitel 4 der Richtlinie verlangt, dass Maßnahmen zur Minderung von Cybersicherheitsrisiken in der Lieferkette während des gesamten Lebenszyklus eines Produkts oder einer Dienstleistung berücksichtigt werden, um das ursprünglich als hoch eingestufte Risikoniveau zu senken.

Mit der Prevalent-Plattform können Sie zu Beginn des Beschaffungsprozesses eine grundlegende Risikobewertung durchführen, gefolgt von:

  • Profilierung, Einstufung undBewertung des inhärenten Risikosaller Lieferanten, damit Sie sich auf kritische Lieferanten konzentrieren können
  • Kontinuierliche Bewertung und Überwachung der Lieferanten auf der Grundlage der Ergebnisse der Basisbewertung der inhärenten Risiken
  • Messung der Einhaltung vertraglicherLeistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)
  • Analyse von Risiken, Abhilfemaßnahmen und Berichterstattung gemäß den branchenüblichen Leitlinien für bewährte Verfahren

Kapitel 5: Aktualisierung des Risikomanagementplans

In Kapitel 5 des Leitfadens wird vorgeschlagen, dass ein Plan für das Risikomanagement der Cybersicherheit in der Lieferkette mindestens einmal jährlich aktualisiert wird. Dies beinhaltet die Identifizierung neuer Risiken, eine Neubewertung der Lieferanten und eine entsprechende Überprüfung der Abhilfemaßnahmen, wobei die in den Kapiteln 1 bis 3 beschriebenen Aufgaben bei Bedarf wiederholt werden.

Mit Prevalent können Sie Ihr Programm optimieren, um den gesamten Lebenszyklus des Lieferantenrisikos abzudecken, indem Sie kontinuierliche Aktualisierungen vereinfachen:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz der Systeme
  • Organisatorische Rollen und Verantwortlichkeiten (z. B. RACI)
  • Bestände und Kritikalität der Lieferanten
  • Risikobewertungsregeln und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität der Lieferanten
  • Fourth-Party- und Nth-Party-Mapping zum Verständnis Ihres erweiterten Lieferanten-Ökosystems
  • Quellen für Daten zur kontinuierlichen Überwachung der Cybersicherheit
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung
Zusätzliche Ressourcen
Governance, Risiko und Einhaltung der Vorschriften
Vorbereitung auf ein NERC CIP-013-1 Audit für die Sicherheit der Lieferkette
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Erfüllung der Anforderungen von NIST 800-53, NIST 800-161 und NIST CSF für Drittanbieterrisiken
Mehr erfahren
Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.