9 de julho de 2024
Nesta série de blogs em duas partes, discutiremos a atual estrutura regional da NERC para garantir a confiabilidade energética, destacando as diferenças entre as agências federais, regionais e canadenses, e abordando os requisitos do CIP para colaboração, protocolos de segurança e colaboração.
Este blog fornece uma visão geral do NERC Regional Framework e começa a identificar o papel do regulador na confiabilidade, segurança e resiliência da rede elétrica.
Novo na conformidade com a NERC: o que eu fiz errado?
Você estudou muito na faculdade para obter suas certificações e treinamento em TI. Investiu incontáveis horas aprimorando suas habilidades, sonhando com o dia em que conseguiria o emprego dos seus sonhos em uma grande empresa. Imaginou-se configurando redes de missão crítica, atualizando softwares para manter a empresa segura e se aprofundando nas complexidades das implementações de plataformas de software empresarial mais inovadoras. Acreditou que seu conhecimento nessas tecnologias complexas seria seu passaporte para o sucesso. Aprimorou seu currículo e abriu portas para novas oportunidades que o levariam a uma carreira bem-sucedida, gratificante e lucrativa.
Você finalmente recebeu a oferta de emprego que tanto esperava e faria parte da equipe de TI da maior empresa de energia da cidade onde cresceu. Todo o seu trabalho duro valeu a pena! No entanto, ao entrar no mundo da indústria de energia, você rapidamente percebe que uma parte significativa do seu trabalho gira em torno do suporte. Conformidade com a NERC. Em vez de se aventurar nas tecnologias de ponta que você esperava, em vez de ser um pioneiro da inovação e brincar com coisas legais, a maior parte do seu trabalho é preencher um requisito para algo (e ser capaz de comprová-lo). Você está nessa função porque possui o conhecimento de TI necessário e é excepcionalmente qualificado para extrair informações básicas de ativos de TO. Implante patches em ambientes de infraestrutura crítica que habilitem a rede e entenda a diferença entre TI e TO.
Espera, é NERC ou FERC? Economize
Bem, é quase as duas coisas. A NERC foi criada pela FERC (Comissão Federal de Regulamentação de Energia) para ser uma colaboração entre as entidades regulamentadas que criam padrões para os requisitos de conformidade da NERC com base nas decisões da FERC. Assim, a indústria cria a linguagem e a redação, aprova e, em seguida, encaminha para a FERC para aprovação. Esse processo é longo, e assistir à produção da salsicha é ao mesmo tempo esclarecedor e frustrante. É um mundo onde você pode discutir a definição da palavra "fornecedor" por 90 minutos sem chegar a um consenso.
A boa notícia é que, se você for bom no que faz, apoiando os esforços de conformidade com a NERC e entendendo as melhores práticas de segurança cibernética para infraestrutura crítica, você terá um emprego remunerado até decidir se aposentar! E você pode dizer honestamente que está ajudando a proteger a infraestrutura mais crítica dos Estados Unidos, a rede elétrica, o que lhe dá um trabalho importante e um propósito.
Bem, aqui está você, e este é o seu trabalho. Todos nós reconhecemos que, no mundo interconectado de hoje, uma infraestrutura energética confiável e segura é crucial para sustentar nosso modo de vida moderno. A North American Energy Reliability Corporation (NERC) desempenha um papel fundamental na proteção da estabilidade e resiliência da rede elétrica em toda a América do Norte. Seu trabalho é importante.
NERC IPC
Ao relembrar o momento em que lhe ofereceram o cargo, você perceberá que o termo NERC CIP era novo e que você nem conseguiria soletrá-lo se lhe perguntassem depois de ouvi-lo pela primeira vez.
Agora você já sabe que significa Proteção de Infraestrutura Crítica, e isso se tornou seu foco principal.
O NERC CIP concentra-se principalmente na proteção de infraestrutura e ativos críticos dentro do ESP (Perímetro de Segurança Eletrônica), o que significa que se essa "coisa" cair, você corre o risco de ter uma interrupção.
Os requisitos de CIP também se concentram em aspectos como o acesso a esses sistemas ou ativos, tanto de uma perspectiva de segurança física quanto cibernética. Você precisará acompanhar como esses sistemas cibernéticos chegaram aqui e de onde vieram, considerando os requisitos da cadeia de suprimentos. Você começa a desvendar seu treinamento aparentemente interminável necessário para o sucesso, descobre que tem 14 padrões para se aprofundar no lado de CIP e que há um conjunto completamente diferente de padrões com os requisitos do NERC 693 no lado de Operações e Planejamento. Você provavelmente precisará se tornar um especialista em pelo menos dois deles – e rápido! Normalmente, você descobrirá que quanto menor a empresa de energia, mais funções você precisa desempenhar. À medida que você se aprofunda e pensa que está começando a entender a complexa rede de regulamentações do NERC, seu Gerente de Conformidade apresenta o conceito de sua entidade regional e a equipe de auditoria esperada para o final do ano.
O que acontece se você estiver errado ou não conseguir encontrar provas de que está certo (em conformidade) quando o auditor pedir que você mostre algo a ele? A entidade, que agora é seu empregador, pode ser multada ou multada (até um milhão de dólares por dia por um único incidente). Ninguém quer que seu dia tenha sido assim.
Entidades Regionais
Usarei as palavras restantes neste post para detalhar as diferentes regiões da NERC e esclarecer um pouco a abordagem de auditoria regional, fornecendo a você os fundamentos do que você precisa saber. Vamos dar uma olhada em como a NERC funciona e entender a importância da fiscalização regional. Este post visa simplificar o funcionamento das entidades regionais da NERC, esclarecendo seu propósito, estrutura e mecanismos de fiscalização.
A Missão
Primeiro, é essencial compreender a missão abrangente desta organização reguladora. O principal objetivo da NERC é garantir a confiabilidade e a segurança do Sistema Elétrico em Massa, abrangendo os Estados Unidos, o Canadá e parte do México. Ao desenvolver e aplicar um conjunto de padrões obrigatórios, a NERC se esforça para manter a integridade e a resiliência dessa infraestrutura crítica. Mas o R em NERC significa Confiabilidade e esse é o objetivo. Já conversei com auditores antes, em um esforço para entender melhor seu trabalho e sua mentalidade, e me lembro de um ex-auditor de RF me lembrando que RF significa Confiabilidade em Primeiro Lugar. Essa é a missão das Entidades Regionais da NERC.
Para gerenciar e aplicar as normas de forma eficaz, a NERC estabeleceu inicialmente oito entidades regionais na América do Norte. A entidade regional na Flórida foi dissolvida e absorvida pela SERC, e a entidade regional no centro do país, a SPP, teve a maior parte de sua presença transferida para MRO. Essas entidades atuam como reguladoras de linha de frente, responsáveis pelo monitoramento de conformidade, execução e atividades de suporte em suas respectivas regiões. Seus principais objetivos incluem facilitar a comunicação e a colaboração, realizar auditorias e avaliações e promover a adesão consistente às normas da NERC.
Cada entidade regional opera dentro de uma região geográfica designada e é composta por especialistas do setor, profissionais regulatórios e técnicos. Essas entidades atuam como intermediárias entre a NERC e as concessionárias, garantindo que os esforços de conformidade sejam implementados e monitorados de forma eficaz. Elas trabalham em estreita colaboração com concessionárias, agências governamentais e outras partes interessadas para promover uma cultura de confiabilidade e aprimorar a segurança da rede elétrica.
As Auditorias
As entidades regionais costumavam ser bastante únicas na sua abordagem às auditorias e uma região podia concentrar-se numa área de NERC IPC e outro se concentrava em outro. Havia regiões, e até mesmo auditores específicos, que eram mais exigentes do que outros. As auditorias multirregionais eram as mais desafiadoras, pois havia indivíduos de diferentes regiões, todos tentando ser os mais inteligentes da sala. A conversa podia ir para qualquer lugar e, em conformidade com a NERC, a parte mais difícil é que você precisa estar certo o tempo todo. Você precisa ser capaz de provar coisas do passado, talvez de até 3 anos atrás.
O sucesso almejado pelas entidades regionais da NERC depende da colaboração e do compartilhamento de informações entre as diversas partes interessadas, a fim de aprimorar a construção e o acompanhamento de seus processos e, principalmente, a comprovação de que foram seguidos. Reconhecendo a natureza interconectada do setor elétrico, essas entidades facilitam o intercâmbio de melhores práticas, lições aprendidas e ameaças emergentes em suas regiões. Elas também servem como um recurso valioso para as concessionárias de serviços públicos, oferecendo orientação e suporte para aprimorar a conformidade e a confiabilidade.
À medida que o setor de energia continua a evoluir, as entidades regionais da NERC enfrentam novos desafios e oportunidades. Com o aumento da oferta de fontes de energia renováveis, os avanços tecnológicos e as ameaças cibernéticas emergentes, o papel dessas entidades em garantir uma rede resiliente e segura torna-se ainda mais crítico. Para se adaptar a essas mudanças, as entidades regionais estão sempre aprimorando suas estratégias de fiscalização e se esforçando ao máximo para promover a inovação e a colaboração.
Trazendo para casa
As entidades regionais da NERC são a espinha dorsal dos esforços de conformidade e fiscalização na rede elétrica norte-americana. Com uma melhor compreensão do propósito, da estrutura e das funções dessas entidades, os profissionais do setor de energia podem navegar pelo complexo cenário de conformidade da NERC com maior confiança. À medida que o setor de energia continua a evoluir, as entidades regionais da NERC desempenharão um papel vital na manutenção da integridade de nossa infraestrutura crítica, fomentando a colaboração e enfrentando os desafios emergentes. E elas podem multar sua empresa em milhões de dólares se você não fizer tudo corretamente. Bem-vindo ao seu papel na conformidade com o CIP da NERC!
Todas as entidades regionais (REs) da NERC têm a mesma missão principal: manter a confiabilidade da rede elétrica, desenvolvendo e aplicando padrões de confiabilidade obrigatórios. Elas trabalham para garantir que concessionárias de serviços públicos, operadoras de transmissão e outras partes interessadas em sua jurisdição cumpram esses padrões, que abrangem diversos aspectos, como planejamento de transmissão, operação, manutenção e segurança cibernética.
Junte-se a nós para a Parte 2 desta série de blogs, onde discutimos a importância e o impacto das auditorias regionais e destacamos as diferentes entidades regionais e como elas são estruturadas.
Assista ao nosso webinar recente, onde nos aprofundamos em soluções práticas para otimizar a conformidade com o CIP-004 em sua organização.
Sobre o autor
Scott Crow Scott é o Estrategista Sênior de Sistemas de Negócios – Energia e Serviços Públicos da AssurX. Scott possui um histórico comprovado de entrega de soluções de TI/TO bem-sucedidas que resolvem os desafios de segurança cibernética para Infraestrutura Crítica. Apaixonado por trazer ao mercado melhores maneiras de resolver problemas de negócios por meio da inovação, especializando-se na interseção entre pessoas, tecnologia e processos.
