BLOG HOME

  • Nahaufnahme von Sonnenkollektoren mit grünem Gras und bewölktem Himmel

November 2, 2023

Das Risikomanagement in der Lieferkette ist für die Cybersicherheit von Versorgungsunternehmen von größter Bedeutung. Denn jede Unterbrechung der Lieferkette kann schwerwiegende Folgen für diese kritischen Infrastrukturanbieter haben, was in den letzten Jahren immer deutlicher geworden ist.

Um diesem Risiko zu begegnen, verlangt die Federal Energy Regulatory Commission (FERC) die Einhaltung der Anforderungen der North American Electric Reliability Corporation (NERC) CIP-013: Cybersicherheit – Lieferketten-Risikomanagement für Versorgungsunternehmen.

Hier untersuchen wir, warum dieser Standard so wichtig ist, welche Anforderungen und Nachweise er stellt und was Versorgungsunternehmen über ihre Pläne zum Risikomanagement für die Cybersicherheit in ihrer Lieferkette wissen müssen.

Laden Sie ein kostenloses E-Book herunter auf Auswählen und Implementieren einer automatisierten NERC-Compliance-Management-Software

Die Bedeutung des Cybersicherheits-Supply-Chain-Risikomanagements für Versorgungsunternehmen

Cyberangriffe werden immer raffinierter. Angreifer zielen häufig auf Lieferketten ab, um Versorgungssysteme zu infiltrieren. In diesem Zusammenhang hilft die Verbesserung der Cybersicherheitskontrollen entlang der Lieferkette den Versorgungsunternehmen:

  • Schutz kritischer Infrastrukturen: Verstöße gegen die Cybersicherheit können zu großflächigen Ausfällen führen und die öffentliche Sicherheit erheblich gefährden. Ein Beispiel hierfür ist der 2015 Cyberangriff auf das ukrainische Stromnetz durch mit Malware infizierte Software-Updates, die rund 225,000 Kunden ohne Strom ließen.
  • Unbefugten Zugriff verhindern: Schwachstellen können Komponenten, Hardware und Software Cyberangriffen aussetzen, wie beispielsweise beim Cyberangriff auf SolarWinds im Jahr 2020. Dieser Vorfall – möglicherweise der größte seiner Art – betraf mehr als 30,000 Organisationen. Dabei installierten Hacker Schadcode in einen Software-Patch eines Drittanbieters, um auf die Konten der Opfer zuzugreifen und die Erkennung durch Antivirensoftware zu vermeiden.
  • Minimieren Sie Insider-Bedrohungen: Drittanbieter, die Wartungsarbeiten und Software-Updates durchführen, können Insider-Bedrohungen einführen, wenn sie keinen strengen Sicherheitsstandards unterliegen.
  • Stellen Sie die Einhaltung gesetzlicher Vorschriften sicher: Die Nichteinhaltung von NERC CIP-013 kann für Versorgungsunternehmen erhebliche Geldbußen und Strafen nach sich ziehen. NERC kann registrierten Unternehmen, die den Standard nicht einhalten, Strafen von bis zu einer Million US-Dollar pro Tag auferlegen.

CIP-013-Anforderungen

CIP-013 verlangt von den verantwortlichen Stellen, Risikomanagementpläne für die Cybersicherheit der Lieferkette zu entwickeln, die Beschaffungsprozesse zur Identifizierung und Bewertung von Cybersicherheitsrisiken von Produkten oder Dienstleistungen umfassen, die sich aus Folgendem ergeben:

  • Beschaffung und Installation neuer Geräte und Software von Anbietern
  • Wechsel von einem Anbieter zu einem anderen

Darüber hinaus müssen Beschaffungsprozesse mehrere Schlüsselaspekte berücksichtigen:

  • Meldepflichten für Anbieter bei Vorfällen wie vom Anbieter festgestellten Verstößen oder Sicherheitslücken, die ein Cybersicherheitsrisiko darstellen
  • Wie Sie auf diese Vorfälle reagieren, sobald der Anbieter Sie benachrichtigt hat
  • Anforderungen an Lieferanten, Sie zu benachrichtigen, wenn der Remote- oder Vor-Ort-Zugriff von Lieferantenvertretern widerrufen werden soll, beispielsweise wenn ein Mitarbeiter des Lieferanten entlassen wird
  • Offenlegung bekannter Schwachstellen in Produkten oder Dienstleistungen durch den Anbieter
  • Überprüfung aller vom Anbieter bereitgestellten Software-Patches auf Softwareintegrität und -authentizität
  • Wie Sie die Kontrollen sowohl für den vom Anbieter initiierten interaktiven Fernzugriff als auch für den System-zu-System-Fernzugriff koordinieren

Wichtig zu beachten ist, dass CIP-013 speziell neue Verträge und Käufe abdeckt. Das heißt, Versorgungsunternehmen müssen weder bestehende Verträge ändern noch vorhandene Software analysieren. Bei Neukäufen müssen Sie jedoch die in Ihrem Risikomanagementplan für die Cybersicherheit in der Lieferkette festgelegten Verfahren befolgen.

Darüber hinaus ist darauf hinzuweisen, dass der Standard nicht die tatsächlichen Bedingungen von Beschaffungsverträgen regelt. Er schreibt auch kein bestimmtes Leistungsniveau und keine bestimmte Vertragstreue der Lieferanten vor. Vielmehr müssen Versorgungsunternehmen ihre etablierten Beschaffungsprozesse einhalten, um Cybersicherheitsrisiken in der Lieferkette zu begegnen, sobald diese auftreten.

CIP-013 Beweise

Um die Einhaltung von CIP-013 nachzuweisen, benötigen Sie sowohl dokumentierte Pläne für das Risikomanagement der Cybersicherheit in der Lieferkette als auch eine Dokumentation der Implementierung. Diese Dokumentation kann Folgendes umfassen:

  • Richtliniendokumente
  • Lieferantenverträge
  • Lieferantenkorrespondenz
  • Risikobewertungen von Anbietern
  • Berichte aus einem Compliance-Management-Tool, die zeigen, dass Sie Ihren Plan nutzen

Der CIP-Leiter oder sein Beauftragter muss den Plan mindestens alle 15 Monate prüfen und genehmigen. Zu den Nachweisen können gehören:

  • Datum der Überprüfung und Genehmigung
  • Richtliniendokumente
  • Versionsgeschichte
  • Überprüfen Sie die Beweise
  • Workflow-Nachweise aus dem Dokumenten-Management fragst

Was gehört in den Risikomanagementplan für die Cybersicherheit der Lieferkette?

Das North American Transmission Forum (NATF) hat Tipps und Tricks, Ziel ist es, der Versorgungswirtschaft bei der Einhaltung von CIP-013 zu helfen. Das NATF-Modell zur Entwicklung eines Risikomanagementplans für die Cybersicherheit in der Lieferkette konzentriert sich auf fünf übergreifende Schritte:

  1. Informationen sammeln
  2. Auswertung dieser Informationen und Umgang mit Risiken
  3. Durchführung einer Risikobewertung
  4. Die Kaufentscheidung treffen
  5. Implementierung Ihrer Kontrollen und Überwachung Ihrer Risiken

Auf dem NATF-Website Versorgungsunternehmen können die NATF-Kriterien für die Lieferkettensicherheit und den Fragebogen zu Risiken in der Lieferkette des Energiesektors (ESSCR) als Grundlage für ihre Risikomanagementpläne nutzen.

Die NATF-Kriterien für die Lieferkettensicherheit bieten einen umfassenden Überblick über bewährte Vorgehensweisen, auf die Sie bei Lieferanten in folgenden Bereichen achten sollten:

  • Zugriffskontrolle und -verwaltung
  • Asset-, Änderungs- und Konfigurationsmanagement
  • Governance
  • Reaktion auf Vorfälle
  • Informationsschutz
  • Schwachstellenmanagement

Der ESSCR untersucht Lieferanteninformationen auf einer detaillierteren Ebene und bietet über 200 Fragen, die Versorgungsunternehmen Drittanbietern zu Praktiken in Bezug auf Folgendes stellen können:

  • Lieferkettenpraktiken und externe Abhängigkeiten
  • Verfahren zur Personalverwaltung
  • Identitäts- und Zugriffsverwaltung
  • Management von Cybersicherheitsprogrammen
  • Änderungs- und Konfigurationsmanagement
  • Cybersicherheitstools und -architektur
  • Datenschutzerklärung
  • Verfahren zur Reaktion auf Ereignisse und Vorfälle
  • Mobile Geräte und Anwendungen
  • Risikomanagement
  • Schwachstellenmanagement

Vereinfachung der CIP-013-Konformität

Versorgungsunternehmen müssen nicht nur ihren Plan zum Risikomanagement der Cybersicherheit in der Lieferkette dokumentieren, sondern auch über wirksame Prozesse zu deren Umsetzung und Dokumentation verfügen.

Ein automatisiertes NERC-Compliance-Managementsystem unterstützt diese Bemühungen, indem es ihnen ein zentrales System zur Verfügung stellt für:

  • Verfolgung von Produkten und Dienstleistungen von Anbietern
  • Speichern von Lieferantenvereinbarungen
  • Dokumentation der Kommunikation mit Lieferanten
  • Aufzeichnen von Vorfällen und Reaktionsverlauf
  • Überwachung und Benchmarking der Lieferantenleistung
  • Verknüpfen von Lieferantenrisikoinformationen mit Asset-Tracking-Informationen

Dies hilft den Versorgungsunternehmen nicht nur dabei, die CIP-013-Konformität einzuhalten, sondern ermöglicht ihnen auch, intelligentere Entscheidungen hinsichtlich der Auswahl der Lieferanten zu treffen und gleichzeitig einen besseren Überblick über die Risiken zu erhalten.

Fazit

Das Risikomanagement in der Lieferkette ist in der Versorgungswirtschaft von größter Bedeutung, insbesondere im Hinblick auf Cybersicherheit und den Schutz kritischer Infrastrukturen. Angriffe auf den Versorgungssektor erfolgen häufig über die Lieferkette und können enorme Auswirkungen auf Kunden und Versorgungsunternehmen selbst haben.

CIP-013 erfordert robuste Pläne für das Risikomanagement der Cybersicherheit in der Lieferkette, die sicherstellen, dass Beschaffungsprozesse die Infrastruktur nicht versehentlich gefährden. Ein automatisiertes NERC-Compliance-Management-System kann dazu beitragen, dass der Plan umgesetzt und umgesetzt wird, indem es eine zentrale Informationsquelle für lieferantenbezogene Dokumentation und Leistung bietet.

Laden Sie einen kostenlosen Leitfaden herunter auf Planung einer erfolgreichen Vorbereitung des NERC CIP Evidence Request Tool (ERT)

Über den Autor

Kathryn Wagner ist Vice President für Branchenlösungen, Energie und Versorgung bei AssurX. Kathryn verfügt über mehr als 25 Jahre Erfahrung in der Integration und Compliance von Fertigungssystemen und ist verantwortlich für die Entwicklung und Weiterentwicklung von Produktangeboten für die NERC-Compliance und verwandte Systeme mit Fokus auf Zuverlässigkeit und Belastbarkeit.