NERC CIP-Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

NERC und Risikomanagement für Drittparteien

Der Standard für den Schutz kritischer Infrastrukturen (CIP) der North American Electric Reliability Corporation (NERC ) legt neue Cybersicherheitsanforderungen für Strom- und Versorgungsunternehmen fest, um die Zuverlässigkeit des Stromversorgungssystems (BES) zu gewährleisten, zu erhalten und zu verlängern. NERC ist befugt, registrierte Unternehmen mit Strafen von bis zu 1 Million Dollar pro Tag und Verstoß zu belegen.

Das Risikomanagement von Drittanbietern spielt eine zentrale Rolle bei der Gewährleistung der Sicherheit in der Lieferkette durch die regelmäßige Bewertung der internen Sicherheitskontrollen der Partner in der Lieferkette und die kontinuierliche Überwachung der Lieferantenrisiken in Echtzeit. Zusammengenommen bietet dieser Blick von innen nach außen und von außen nach innen einen besseren Überblick über die Risiken in der Lieferkette.

Erfüllung der NERC TPRM-Anforderungen

Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Best Practices des NERC-Risikomanagements für Dritte zu erfüllen:

Anforderung Wie wir helfen
CIP-013 Cyber-Sicherheitskriterien
1.2.1 Benachrichtigung/Erkennung von Cybersicherheitsvorfällen

Die Anbieter müssen in der Lage sein, festzustellen, wann ein Vorfall eingetreten ist, um sicherzustellen, dass der Anbieter die Einrichtung im Falle eines solchen Vorfalls benachrichtigen kann.

 Prevalent ermöglicht es den verantwortlichen Stellen, die Reaktionspläne ihrer Lieferanten regelmäßig zu bewerten, indem sie die Pläne zur Validierung auf die Plattform hochladen. Durch diese Überprüfung haben die Unternehmen einen Überblick darüber, wie ein Partner in der Lieferkette auf eine Sicherheitsverletzung oder einen Cybervorfall reagieren würde.

Überwachungs- und Bewertungstools können dieses Maß an internen Kontrollen oder Prozesstransparenz nicht bieten, sie können jedoch Bewertungen ergänzen, die bei der Veröffentlichung eines Vorfalls ausgelöst werden.
1.2.2 Koordinierung der Reaktionen auf Cybersicherheitsvorfälle

Die Anbieter sollten ihre Reaktionen auf Vorfälle im Zusammenhang mit den für die Einrichtung bereitgestellten Produkten oder Dienstleistungen, die ein Cybersicherheitsrisiko für die Einrichtung darstellen, mit der Einrichtung abstimmen.

 Prevalent bietet eine zentrale Plattform für die Überprüfung von Beweisen, die die Reaktions- und Kommunikationspläne für Vorfälle unterstützen, mit der Flexibilität, kundenspezifische Arbeitsabläufe, Aufgaben und Eskalationspfade zu erstellen, um eine schnelle Reaktion zu ermöglichen.
1.2.3 Benachrichtigung, wenn der Fern- oder Vor-Ort-Zugang nicht mehr benötigt wird oder den Vertretern des Anbieters nicht mehr zur Verfügung stehen soll

Die Anbieter sollten auf personelle Veränderungen entsprechend reagieren. Ein Anbieter sollte in der Lage sein, die Stelle zu informieren, wenn eine personelle Veränderung eintritt, die sich darauf auswirken könnte, ob der Fernzugriff für die Vertreter des Anbieters noch möglich ist oder nicht.

 Die Prevalent-Plattform enthält einen Assistenten zur Erstellung benutzerdefinierter Umfragen, mit dem Unternehmen eine anpassbare Umfrage für das Offboarding erstellen und ausgeben können, in der dem Anbieter und dem internen Team spezifische Fragen zum Systemzugriff, zur Datenvernichtung und zu abschließenden Zahlungen gestellt werden, wobei integrierte Workflows einen nahtlosen Trennungsprozess gewährleisten.
1.2.4 Identifizierung von Schwachstellen Die Anbieter müssen eine Stelle benachrichtigen, wenn eine Schwachstelle im Zusammenhang mit einem Produkt oder einer Dienstleistung festgestellt wird.

Um dieser Verpflichtung nachzukommen, muss ein Anbieter wissen, wann eine Sicherheitslücke in seiner Umgebung besteht.

 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Eingebaute kontinuierliche Überwachungsfunktionen ergänzen die Bewertungen durch externe Schwachstellen-Scans für Webschnittstellen, wobei die Ergebnisse in ein einziges Risikoregister integriert werden.
1.2.5. Überprüfung der Softwareintegrität und -authentizität aller vom Verkäufer zur Verwendung im BES-Cyber-System bereitgestellten Software und Patches Die Prevalent-Plattform enthält mehr als 50 integrierte Fragebögen nach Industriestandard (z. B. für CIP, NIST, ISO und andere), von denen viele spezifische Fragen zur Patching-Kadenz und zu Softwareintegritätsprüfungen für interne Systeme stellen. Die Antworten auf diese Fragen werden in Risiken umgewandelt, wenn die richtigen Patching-Schwellenwerte nicht erreicht werden, und informieren die verantwortlichen Stellen über potenzielle Risiken.
1.2.6 Koordinierung der Kontrollen für herstellerinitiierten interaktiven Fernzugriff und System-zu-System-Fernzugriff mit einem Hersteller

Die Anbieter müssen sich mit den Stellen abstimmen, um den vom Anbieter initiierten interaktiven Fernzugriff zu kontrollieren und sicherzustellen, dass der Fernzugriff von System zu System mit einem Anbieter angemessen verwaltet wird.

 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Anlagen-, Änderungs- und Konfigurationsmanagement
Bestands-, Änderungs- und Konfigurationsmanagement Inventarisierung von autorisierten und nicht autorisierten Geräten

  • Inventarisierung der physischen Geräte und Systeme innerhalb der Organisation
  • Software-Plattformen und -Anwendungen innerhalb der Organisation werden inventarisiert
  • Organisatorische Kommunikation und Datenflüsse werden abgebildet
  • Externe Informationssysteme werden katalogisiert
 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Überlegungen zur Änderungskontrolle und zum Konfigurationsmanagement

  • verwendet ein anerkanntes Rahmenwerk für seine IT-Prozesse (z. B. ITIL)
  • Einbeziehung der Sicherheit in den Lebenszyklus der Systementwicklung
  • verfügt über ein ausgereiftes Änderungskontrollverfahren
  • Unterhält getrennte Entwicklungs- und Produktionsumgebungen
  • Unterhält getrennte Umgebungen für verschiedene Kunden
  • Verfügt über Mechanismen für die Softwareintegrität (z. B. PKI mit Verschlüsselung, digitale Signatur)
  • Das Produkt ermöglicht eine Härtung zur Minimierung der Angriffsfläche
  • Verfahren zur Identifizierung, Erkennung, Inventarisierung, Klassifizierung und Verwaltung von Informationsbeständen (Hardware und Software)
  • Verfahren zur Erkennung unbefugter Änderungen an Software und Konfigurationsparametern
  • in der Lage zu erkennen, ob Hardware, Software oder Komponenten aus den USA und/oder aus dem Ausland stammen
 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Governance
Einrichtung und Umsetzung eines Programms zur Sensibilisierung für Sicherheitsfragen

  • Dokumentierte und umgesetzte Sicherheitsrichtlinien und -verfahren
  • Alle Nutzer werden über die Richtlinien und Verfahren zur Cybersicherheit informiert und geschult.
  • Drittparteien verstehen die Rollen und Verantwortlichkeiten und sind für dieselben Anforderungen verantwortlich
  • Leitende Angestellte verstehen Rollen und Verantwortlichkeiten
  • Das Personal für physische Sicherheit und Informationssicherheit kennt seine Aufgaben und Verantwortlichkeiten
  • Fähigkeit, laufende Unterstützung für Software und Hardware zu leisten
  • Hintergrundprüfungen des Personals
  • Fähigkeit zur Aufbewahrung von Daten bei Ereignissen wie Rechtsstreitigkeiten, Cybersicherheitsvorfällen
  • Vorhandensein von geschulten, sachkundigen und ausreichenden Cybersicherheitsressourcen
  • Der Lieferant verfügt über Zertifizierungen für den Herstellungsprozess (z. B. ISO)
 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Überlegungen zur Protokollierung und Überwachung

  • unterhält ein Programm zur kontinuierlichen Protokollierung, Überwachung und Analyse seiner Systeme, um wichtige Ereignisse zu identifizieren
  • Ausreichende Aufgabentrennung, um sicherzustellen, dass Protokollierung und Überwachung wirksam sind, um Anomalien aufzudecken
 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Überlegungen zum Informationsschutz

  • Verwendung geeigneter Kontrollen zur Verwaltung von Daten im Ruhezustand (Daten von Anbietern oder Unternehmen)
  • Möglichkeit, zusätzliche Hardware für Ausfälle bereitzustellen - Verschlüsselung von Anmeldedaten bei der Übertragung, intern und extern
  • Verschlüsselt Anmeldedaten im Ruhezustand
  • Verwendet die stärksten Standard-Verschlüsselungsalgorithmen (z. B. AES oder SHA-2)
  • Physische Zugangskontrollen der Lieferanten zu Hardware, Software und Produktionszentren
  • Inventarisierung der physischen Geräte und Systeme innerhalb der Organisation
  • Standort der Rechenzentren des Anbieters (in den USA/Kanada oder international)
 Die Prevalent-Plattform bietet den Nachweis und die Prozessvalidierung, dass solche Richtlinien existieren, wobei der Partner in der Lieferkette diesen Nachweis erbringen muss. Die Plattform quantifiziert auch die Risiken der Lieferanten, bietet präskriptive Anleitungen zur Abhilfe, verfolgt Aufgaben und automatisiert Arbeitsabläufe, um die Einhaltung von Richtlinien und Best Practices zu fördern.
Zusätzliche Ressourcen
Governance, Risiko und Einhaltung der Vorschriften
Das PDPA und das Risikomanagement für Drittparteien
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine Checkliste zur Einhaltung der GDPR für das Risikomanagement von Drittanbietern
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine CCPA- und CPRA-Compliance-Checkliste für das Risikomanagement von Drittanbietern
Mehr erfahren
Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.