BLOG HOME

  • Interne Kontrollen zur NERC-Konformität in der Energiebranche

24. Februar 2022

Technologie, Politik, Klima und das Coronavirus werden die Weiterentwicklung interner Kontrollprogramme vorantreiben

Technologie, Politik, Klima und die Coronavirus-Pandemie sind vier Bedingungen, die zukünftige Trends in der Energiewirtschaft Im Jahr 2022 und darüber hinaus. Als Reaktion auf diese Bedingungen wird der Trend in naher Zukunft zu einem Ausbau der Technologie führen, die Automatisierung, Integration und die Weiterentwicklung interner Kontrollprogramme ermöglicht. Die Verschärfung der internen Kontrollen trägt den zunehmenden Regulierungen, Initiativen und Empfehlungen Rechnung, die von lokalen, staatlichen, bundesstaatlichen und unternehmenspolitischen Richtlinien bestimmt werden.

In diesem Bericht werden die einzelnen Bedingungen und ihre möglichen Auswirkungen untersucht. Darüber hinaus werden Strategien für ein effektives und effizientes Management interner Kontrollen für langfristigen Erfolg vorgestellt.

schaffen

Die Technologie entwickelt sich weiterhin exponentiell weiter, und damit steigt auch der Bedarf an Cybersicherheit. Beispiele hierfür sind künstliche Intelligenz, maschinelles Lernen, virtuelle Realität, erweiterte Realität, Blockchain, das Internet der Dinge und 5G.

Mit dem technologischen Wandel verändert sich auch das Potenzial, diese Technologie auszunutzen. Sicherheitslücken werden so schnell geschlossen, wie neue entstehen. Cyberkriminalität ist eine ständige Bedrohung, die sich ständig weiterentwickelt. Kriminelle werden immer raffinierter.

NERK Die CIP-Vorschriften wurden 2008 eingeführt und kontinuierlich weiterentwickelt, um der zunehmenden Komplexität der Cybersicherheitslandschaft gerecht zu werden. Die nächste umfassende Überarbeitung der CIP-Standards steht zwar schon seit längerem aus, dürfte aber in naher Zukunft umgesetzt werden.

Derzeit NERC-Zuverlässigkeitsstandards im Entwicklungsprojekt 2016-02 Änderungen an den CIP-Standards umfasst Änderungen an 11 Standards, um einige Probleme zu lösen, die in frühere Versionen der CIP-Standards:

  • Cyber-Asset und BES Cyber-Asset-Definition
  • Netzwerk und extern zugängliche Geräte
  • Kontrollzentren der Übertragungsnetzbetreiber (TO), die die Pflichten der Übertragungsnetzbetreiber (TOP) erfüllen
  • Virtualisierung

Diese Änderungen erweitern den Umfang der Compliance und erfordern zwangsläufig Änderungen an NERC CIP-Programme für interne Kontrolle und Compliance-Management in der gesamten Branche.

NERC CIP ist nicht der einzige Ansatz für Cybersicherheit (es gibt über 25 verschiedene Cybersicherheits-Frameworks). Jedes Framework verfolgt ein gemeinsames Thema mit unterschiedlichen Implementierungsvarianten, darunter Umfang, Zeitrahmen und Datenanforderungen. Unternehmen erkennen, dass es für die Sicherheit nicht ausreicht, sich an die Vorgaben von NERC CIP zu halten, und implementieren zusätzliche Frameworks und erweitern ihre Cyber-Kontrollen. Die Integration der gewünschten Cybersicherheits-Frameworks in zusätzliche Unternehmensinitiativen und deren Anwendung auf das betroffene IT-, OT- und IoT-Ökosystem ist eine Herausforderung für alle Unternehmen.

Politik

Das politische Klima in den Vereinigten Staaten wird unsere Zukunft weiterhin prägen. Die aktuelle Regierung hat dem Klimawandel höchste Priorität eingeräumt, und wir werden weiterhin mehr Interventionen und Regulierungen erleben als unter der vorherigen Regierung.

Die Biden-Harris-Regierung hat deutlich gemacht, dass wir als Nation in unsere kritische Infrastruktur investieren müssen. Dies erfordert Anreize und Regulierungen, um dieses Ziel zu erreichen. Im Überparteiliches Infrastrukturrecht Dies wird zur Finanzierung der Modernisierungsbemühungen beitragen. Dazu gehören Investitionen in saubere Energie mit dem Ziel einer emissionsfreien Zukunft, der Ausbau von Übertragungsleitungen zur Unterstützung der Bereitstellung dieser neuen Energie und die Stärkung unserer Infrastruktur gegen Cyberangriffe.

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Die Aufgabe besteht darin, eine sicherere und widerstandsfähigere Infrastruktur für die Zukunft zu schaffen. Ihr primäres Ziel ist die Abwehr akuter Bedrohungen und Gefahren. Das sekundäre Ziel ist die Stärkung kritischer Infrastrukturen und die Bewältigung langfristiger Risiken.

Initiativen zur Cybersicherheit und zur Emissionsreduzierung werden häufig auf Landesebene umgesetzt und unterscheiden sich von Bundesland zu Bundesland. Ihr Kontrollprogramm muss alle Bundesländer unterstützen, in denen Sie tätig sind.

Klima

Extreme Wetterereignisse haben unser Leben in den letzten Jahren häufiger beeinträchtigt. Ob die Ursache die globale Erwärmung oder das natürliche Auf und Ab der Wetterlagen ist – zukünftige Störungen werden die Erzeugung, Übertragung und Verteilung von Energie weiterhin beeinträchtigen.

Es ist unverantwortlich, die Auswirkungen von Dürre, Überschwemmungen, Bränden, extremer Hitze, Kälte und starkem Wind zu ignorieren. Kommunen sollten auf eine Vielfalt an Energiequellen mit eingebauter Redundanz setzen, um ein zuverlässiges System zu gewährleisten, das auf schnelle Wetteränderungen reagieren und Extrembedingungen bewältigen kann. So wurde beispielsweise Texas im Februar 2021 durch beispiellos niedrige Temperaturen lahmgelegt. Kalifornien erlebt zudem seit Jahren schwere Waldbrände. Darüber hinaus werden der Süden und Osten der USA von einer Rekordzahl an Hurrikanen heimgesucht.

Die Reaktion auf diese extremen Wetterereignisse birgt Sicherheits- und Compliance-Risiken – ungeplante Situationen zwingen uns, alle Regeln außer Acht zu lassen und spontan zu reagieren. Wenn Strom, Computersysteme und/oder Kommunikation ausfallen, sind wir anfällig für verschiedene Probleme wie den Verlust kritischer Daten, die Beeinträchtigung der physischen und Cybersicherheit sowie die Gefährdung von Gesundheit und Sicherheit.

Pandemic

Die globale Pandemie Covid-19 hat unser Leben in vielerlei Hinsicht verändert. Dies hat auch langfristige Auswirkungen auf die Energiewirtschaft. Das Arbeiten und Lernen von zu Hause aus hat zwar kurzfristig zu einer Verschiebung des Energiebedarfs geführt, die Einstellung zum Online-Arbeiten und -Lernen hat sich jedoch dauerhaft verändert.

Betreten Sie einen Lebensmittelladen und Sie werden die Auswirkungen der Pandemie auf die Lieferkette deutlich sehen. Diese Auswirkungen erstrecken sich weltweit und betreffen viele Produktarten. Die zur Aufrechterhaltung des BES erforderliche Technologie ist möglicherweise nicht verfügbar, verzögert oder kostet deutlich mehr als zuvor. Dies kann leider dazu führen, dass die Lebensdauer bestehender Technologie verlängert werden muss, was zusätzliche Kontrollen bis zur Außerbetriebnahme der Technologie erfordert.

Darüber hinaus hat die Pandemie die globale Belegschaft beeinträchtigt. Covid-19 hat Arbeitnehmer vorübergehend oder dauerhaft von ihren Arbeitsplätzen ferngehalten. Freistellungen zur Genesung von der Viruserkrankung sowie Selbstquarantäne haben Arbeitnehmer von ihren Arbeitsplätzen ferngehalten. Darüber hinaus ist ein Anstieg von Frührente wurde durch die Pandemie beschleunigt und hat eine messbare Wissens- und Erfahrungslücke geschaffen. Es reicht nicht aus, sich darauf zu verlassen, dass Einzelpersonen Kontrollen durchführen und die Einhaltung der Vorschriften im Vakuum gewährleisten. Stattdessen müssen die Verfahren gut dokumentiert, gut kommuniziert und vorzugsweise automatisiert sein, um Einhaltung der Vorschriften im Falle von Abnutzung, Krankheit oder anderen Ursachen.

Automatisierung, Integration und Konsolidierung interner Kontrollen

Es wird einen Wendepunkt geben. Es wird nicht mehr ausreichen, für jede Art von Regulierung, Richtlinie oder Initiative separate Abteilungen, Gruppen oder Teams zu haben. Es gibt so viele Überschneidungen, dass sie unternehmensweit koordiniert und konsolidiert werden müssen. Zudem ist die manuelle Nachverfolgung von Kontroll- und Compliance-Daten ineffizient und fehleranfällig. Mit der Weiterentwicklung der Regulierungslandschaft wird sie noch komplexer und ineffizienter.

Automation

Typische Gründe für die Automatisierung sind die Reduzierung menschlicher Fehler, die Vermeidung sich wiederholender Aufgaben und die Sicherstellung einer schnellen und pünktlichen Aufgabenzuweisung und -erledigung. Ein solides internes Kontrollprogramm nutzt die Automatisierung für starke Kontrollen, insbesondere für:

  • Datenerhebung
  • Regelmäßige Überprüfungen
  • Geplante Aktivitäten
  • Zeitliche Verpflichtungen

Bei der Entwicklung von Kontrollen im Rahmen eines Cybersicherheitsprogramms wird die Automatisierung noch wichtiger. Automatisierung schafft einen geführten Prozess für die Überwachung von Assets und Asset-Baselines, Patch-Management, Kontrolle ändern, Zugriffsverwaltung und mehr.

Integration

Es gibt keine universelle Software, die alle Anforderungen erfüllt. Unternehmen sollten bestehende Systeme und die besten Ergänzungen ihres Ökosystems nutzen und diese integrieren, um optimale Ergebnisse zu erzielen. Ein Beispiel hierfür ist das NERC CIP Compliance-Programm. Eine zentrale Compliance-Management-Software kann:

  • Erhalten Sie Asset- und Baseline-Updates von einem Asset-Management-System
  • Erhalten Sie die Patchverfügbarkeit von einem Patch-Erkennungssystem
  • Interagieren Sie mit einem Personalsystem für Benutzerdaten
  • Erhalten Sie Informationen zum Abschluss einer Schulung von einem LMS

Die Automatisierung von Datenfeeds kann diese zeitintensiven Aufgaben vereinfachen, eine höhere Genauigkeit gewährleisten, das Risiko der Nichteinhaltung verringern und als Cybersicherheitskontrolle dienen.

Konsolidierung

Interne Kontrollen und die daraus resultierenden Compliance-Nachweise sind aus einer Vielzahl von Gründen erforderlich. Dazu gehören bundesstaatliche, staatliche und lokale Vorschriften, Unternehmensinitiativen, Cybersicherheitsanforderungen und eine dynamische Belegschaft. Die Konsolidierung der Verwaltung dieser Kontrollen in einem einzigen Softwaresystem gewährleistet Transparenz und Verantwortlichkeit. Die Implementierung von Designkontrollen zur Erfüllung mehrerer und ähnlicher Anforderungen minimiert doppelten Aufwand und maximiert die Effizienz.

Fazit

Starke interne Kontrollen sind eine Voraussetzung zum Schutz vor Situationen und böswilligen Akteuren, die Schaden anrichten können. Zuverlässigkeit und Sicherheit sind das Ziel der Kontrollen, während nachweisbare Compliance das Ergebnis ist. Technologie, Politik, Klima und die Pandemie beeinflussen den Inhalt Ihres Kontrollprogramms. Daher ist eine unternehmensweite Automatisierung, Integration und Konsolidierung interner Kontrollen notwendig, um ein wirksames Programm auch in Zukunft zu unterstützen.

Erwägen Sie außerdem die Investition in eine Software, die sich an Ihre Bedürfnisse anpasst und mit Ihnen wächst, wenn sich Ihr Ökosystem ändert.

Originalartikel veröffentlicht von Energiezentrale, Sonderausgabe, Januar 2022: Trends und Prognosen für die Energiebranche 2022

Über den Autor: Kathryn Wagner, Vizepräsidentin, Branchenlösungen, Energie und Versorgung, AssurX

Kathryn verfügt über mehr als 25 Jahre Erfahrung in der Integration und Compliance von Fertigungssystemen. Bei AssurX verantwortet sie die Entwicklung und Implementierung von Automatisierungslösungen für NERC und andere Qualitäts- und Compliance-Anforderungen. Darüber hinaus begleitet Kathryn die strategische Vision und den Ausbau von Geschäftsmöglichkeiten in anderen regulierten Märkten des Energiesektors.