Management von NERC CIP-Risiken und der NERC CIP-Compliance
Die NERC CIP-Anforderungen kontrollieren sowohl Cyber-Assets und -Infrastrukturen, wie z. B. elektronische Sicherheitsperimeter, als auch physische Assets. Die NERC CIP-Compliance gilt für Unternehmen – Eigentümer, Betreiber und Benutzer –, die die Zuverlässigkeit unseres Hauptstromnetzes wesentlich beeinflussen. Während ein Versagen bei der Einhaltung von Vorschriften behoben werden kann, könnte ein Cybervorfall, in den ein Versorgungsunternehmen verwickelt ist, katastrophale Folgen haben und Risiko- und Compliance-Manager nachts wach halten.
NERC verlangt Richtlinien für die Definition, Überwachung und Änderung der Konfiguration kritischer Anlagen sowie definierte, dynamische Richtlinien für den Zugang zu diesen Anlagen. Risiko- und Compliance-Manager müssen Standards entwickeln, fortlaufende Risikobewertungen vornehmen, die Geschäftskontinuität im Falle von Störungen planen, IT-Kontrollen durchsetzen und wichtige Informationen mit verschiedenen Interessengruppen im Unternehmen austauschen.