NERC CIP Erklärt: Was Organisationen im Energiesektor wissen müssen

Verständnis von NERC CIP mit Josue Alvarez-DeGolia, Sicherheitsingenieur bei Bureau Veritas Cybersecurity

Das nordamerikanische Stromnetz ist eines der komplexesten Systeme der Welt. Es ist auch eines der am meisten zu schützenden. Mit der zunehmenden Digitalisierung des Netzes ist es auch Cyberbedrohungen ausgesetzt. Hier kommen die Cybersecurity-Standards der NERC CIP (North American Electric Reliability Corporation's Critical Infrastructure Protection) ins Spiel: eine Reihe verbindlicher Standards, die die Zuverlässigkeit des Netzes gewährleisten sollen.

Um zu verstehen, was diese Standards in der Praxis bedeuten, haben wir mit Josue Alvarez-DeGolia, Security Engineer bei Bureau Veritas Cybersecurity, gesprochen. Josue arbeitet seit etwas mehr als drei Jahren für das Unternehmen und bringt eine seltene Mischung aus technischer, operativer und analytischer Erfahrung in seine Rolle ein. Er begann seine Karriere in der U.S. Navy als U-Boot-Offizier, wo er für den Betrieb und die Wartung von Atomkraftwerken ausgebildet wurde. Diese Erfahrung prägte sein Verständnis für Systeme mit hohem Risiko und hoher Zuverlässigkeit. Nach seiner Zeit beim Militär arbeitete er im Kraftwerksbau (Dampf- und Gasturbinenanlagen), im Investmentbanking und in der Beratung, bevor er in die Cybersecurity wechselte.

Seit er zu Bureau Veritas gekommen ist, hat Josue mit Unternehmen der Fertigungstechnologie, Cloud-Service-Anbietern und zunehmend auch mit Organisationen aus der Industrie und dem Energiesektor zusammengearbeitet und sie dabei unterstützt, die Sicherheit ihrer Betriebstechnologie (OT) zu stärken und die wachsenden Anforderungen an Compliance und Sicherheit zu erfüllen.

Was ist NERC CIP, und warum ist es wichtig?

"NERC CIP bezieht sich auf die Cybersecurity-Standards der North American Electric Reliability Corporation (NERC) zum Schutz kritischer Infrastrukturen (CIP)", beginnt Josue. "Es handelt sich dabei um eine Reihe verbindlicher Anforderungen, die geschaffen wurden, um das Bulk Electric System (BES) in Nordamerika vor Cybersecurity-Bedrohungen zu schützen."

Diese Standards sind nicht freiwillig. Sie werden von der Federal Energy Regulatory Commission (FERC) in den Vereinigten Staaten genehmigt. Sie sind auch rechtlich durchsetzbar. NERC und die angeschlossenen regionalen Einheiten überwachen die Compliance und setzen sie durch Audits durch. Die FERC kann bei Nichteinhaltung Geldstrafen verhängen. Einige kanadische Provinzen haben die NERC-Standards durch Vereinbarungen übernommen. Daher gelten dort die gleichen Anforderungen und werden von den Regulierungsbehörden der Provinzen durchgesetzt.

Josue erklärt, dass sich der Rahmen mit den neuen Bedrohungen weiterentwickelt. "Cyberrisiken im Energiesektor sind nicht statisch. Da sich die Technologie verändert, wird NERC CIP regelmäßig aktualisiert, um die Basis für die Sicherheit zu stärken." Für Versorgungsunternehmen geht es bei der Compliance nicht nur darum, ein Audit zu bestehen. Es geht darum, sicherzustellen, dass das Stromnetz angesichts immer raffinierterer Angriffe stabil und resilient bleibt.

Wie unterscheidet sich NERC CIP von anderen Cybersecurity-Rahmenwerken?

"Es gibt verschiedene Standards wie ISO 27001, IEC 62443 und andere. Jeder dient einem anderen Zweck", sagt Josue. "ISO 27001 ist breit angelegt und dient dem Management der Informationssicherheit in jeder Organisation. IEC 62443 konzentriert sich mehr auf die industrielle Automatisierung und OT, ist also sowohl bei Herstellern als auch bei Öl- und Gasunternehmen beliebt."

"Aber NERC CIP ist spezifisch für das Bulk Electric System", fährt er fort. "Es konzentriert sich auf die Energieerzeugung, -übertragung und -verteilung. Im Grunde genommen alles, was das Stromnetz stabil hält.

Ein weiterer wichtiger Unterschied? Die Compliance unter NERC CIP ist für Bulk Electric Systems obligatorisch. "ISO- und IEC-Zertifizierungen sind freiwillig. Die Unternehmen streben sie an, weil sie sich bewährt haben oder weil die Kunden danach fragen. NERC CIP hingegen ist in Nordamerika gesetzlich vorgeschrieben. Sie haben keine andere Wahl, wenn Sie im großen Stromnetz arbeiten."

Dennoch ergänzen sich die Standards gegenseitig. "Wenn Sie bereits ISO- oder IEC-Rahmenwerke befolgen, sind Sie eigentlich in einer guten Position", sagt Josue. "Es gibt eine Menge Überschneidungen bei den Kontrollen. Sie sind bereits auf dem Weg, die NERC CIP-Anforderungen zu erfüllen.

Welche Arten von Systemen oder Assets werden durch NERC CIP geschützt?

"NERC CIP wurde entwickelt, um die Stromverteilung und die Energieinfrastruktur Nordamerikas zu schützen", erklärt Josue. "Heutzutage ist alles miteinander verbunden. Jede Unterbrechung der Stromversorgung würde sich auf Fluggesellschaften, Kommunikation und andere Teile der kritischen Infrastruktur auswirken. Das Ziel ist es, sicherzustellen, dass es keine Auswirkungen auf das Stromnetz gibt oder dass die Auswirkungen so gering wie möglich gehalten werden.

Er stellt fest, dass die Standards mehr als nur die Assets des Stromnetzes abdecken. "Es geht nicht nur um das Netz selbst, sondern auch um die PHYSISCHE SICHERHEIT. Es muss sichergestellt werden, dass das richtige Maß an physischem Schutz für abgelegene Umspannwerke oder Verteilerstationen vorhanden ist", sagt er. "Dazu gehören auch alle Daten, die während der Stromerzeugung aus dem Netz gesammelt werden, denn diese Informationen sind an sich schon wertvoll.

"Die Systeme, die Sie zur Verwaltung des elektronischen Zugangs verwenden, sowohl lokal als auch aus der Ferne, gehören ebenfalls dazu", fügt er hinzu. "Und er erstreckt sich auf die unterstützende Infrastruktur, die mit dem Betrieb des Netzes einhergeht.

Kurz gesagt: NERC CIP gilt für Cyber-Systeme und Assets, ob physisch oder digital, die den Betrieb des Stromnetzes direkt unterstützen.

Was sind die größten Herausforderungen für Organisationen, wenn sie versuchen, NERC CIP einzuhalten?

"Eine der größten Herausforderungen sind die Altsysteme", sagt Josue. "Ein großer Teil der Netzinfrastruktur besteht seit Jahrzehnten, und man kann sie nicht einfach vom Netz nehmen und ersetzen. Ein Großteil der Technologie wurde nicht im Hinblick auf Cybersecurity entwickelt."

Er erklärt, dass die Betreiber praktische Wege finden müssen, um ältere Systeme auf den heutigen Standard zu bringen. "Sie haben es vielleicht mit Geräten zu tun, die Daten nicht verschlüsseln oder den Zugriff nicht in der gleichen Weise beschränken können wie neuere Systeme. Das macht die Compliance schwierig."

Die Suche nach geeigneten Lösungen erfordert sowohl technisches Verständnis als auch operatives Bewusstsein. "Es geht darum, Lösungen zu finden, mit denen alte und moderne Systeme sicher und konform zusammenarbeiten können", sagt Josue. "Manchmal bedeutet das die Einführung einer Brückentechnologie oder die Isolierung von Systemen auf eine Art und Weise, die das Risiko begrenzt und gleichzeitig den Betrieb aufrechterhält."

Spezialisten, die sich sowohl mit industriellen Abläufen als auch mit Cybersecurity auskennen, können Organisationen dabei helfen, die realistischsten Optionen zu finden, ohne den Betrieb zu unterbrechen, aber letztendlich sind es die Betreiber, die ihre Systeme am besten kennen. "Sie sind diejenigen, die wissen, was tagtäglich machbar ist. Externe Expertinnen und Experten können Ratschläge und Empfehlungen geben, aber die Entscheidungen müssen für den Betrieb immer sinnvoll sein."

Gibt es allgemeine Missverständnisse über NERC CIP?

"Ein großer Irrglaube ist, dass die Compliance zu enormen Störungen führen wird", sagt Josue. "Die Menschen gehen davon aus, dass sie einen Großteil ihrer Technologie umstellen oder ihre Systeme vom Netz nehmen müssen, aber NERC CIP ist in Wirklichkeit ein Mindestkatalog von Anforderungen. Es geht darum, zu sehen, was bereits vorhanden ist. Ihre bestehenden Verfahren, Ihre IT-Einrichtung, Ihre Firewalls, Ihre Access Controls - und zu sehen, wie das mit den Standards zusammenpasst."

Er erklärt, dass der Prozess den Betrieb nicht beeinträchtigen muss. "Es ist nicht so aufdringlich, wie die Menschen denken", sagt er. "Sie schalten das Netz nicht aus. Es geht vor allem darum zu verstehen, wie die Dinge heute funktionieren und die richtigen Anpassungen zu finden, um die Compliance zu erfüllen."

Die Zusammenarbeit mit einer Organisation wie Bureau Veritas Cybersecurity, fügt er hinzu, kann dazu beitragen, Störungen zu minimieren. "Wir können feststellen, was bereits effektiv ist und wo Verbesserungen möglich sind, so dass die Einhaltung der Vorschriften insgesamt reibungsloser verläuft.

Wie kann Bureau Veritas Organisationen dabei helfen, NERC CIP-konform zu werden?

"Wir bringen eine Kombination aus Cybersecurity-Expertise und einem Blick von außen mit", sagt Josue. "Die Betreiber kennen ihre Systeme besser als jeder andere, aber manchmal kann diese Vertrautheit zu blinden Flecken führen.

Bureau Veritas bietet Assessments, Gap-Analysen und praktische Empfehlungen, die auf die jeweilige Betriebsumgebung zugeschnitten sind. "Wir prüfen, inwieweit die bestehenden Kontrollen mit den NERC CIP-Anforderungen übereinstimmen, identifizieren etwaige Defizite und schlagen praktikable Lösungen vor", erklärt er.

Bureau Veritas kann seinen Kunden auch dabei helfen, den kommenden Änderungen voraus zu sein. "Zum Beispiel ist CIP-015, das die interne Netzwerksicherheitsüberwachung (INSM) abdeckt, relativ neu", bemerkt Josue. "Und neue Überarbeitungen wie CIP-003-9 haben bereits einen Durchsetzungstermin für 2026. Wir helfen unseren Kunden, diese Aktualisierungen zu interpretieren und sich vorzubereiten, bevor sie verpflichtend werden."

Ein unabhängiges Assessment, erklärt Josue, gibt zusätzliche Sicherheit. "Es geht nicht darum, jemanden herauszufordern - es geht darum, zu bestätigen, dass Sie tatsächlich konform und sicher sind."

Wie entwickelt sich NERC CIP weiter?

NERC CIP ist nicht statisch. Er ändert sich, wenn sich die Bedrohungslage ändert. "Jeder Standard wird mehrfach überarbeitet", erklärt Josue. "Das liegt daran, dass sich Cyberbedrohungen weiterentwickeln. Was vor fünf Jahren funktionierte, ist heute vielleicht nicht mehr gültig."

Er verweist auf CIP-015 als Beispiel für die Ausweitung des Rahmenwerks auf eine proaktivere Überwachung von BES-Systemen und -Netzwerken. "Es geht darum, zu wissen, wann jemand in Ihrem Netzwerk ist, der es nicht sein sollte", sagt er. "Das ist ein großer Schritt nach vorn beim Schutz des Netzes.

Josue sagt auch voraus, dass neue Technologien wie KI künftige Aktualisierungen beeinflussen könnten. "Es würde mich nicht überraschen, wenn KI in zukünftigen Revisionen auftaucht. Entweder um zu regeln, wie sie eingesetzt wird, oder um sie zur Erkennung von Bedrohungen zu nutzen. Wir sehen bereits, dass KI in anderen Branchen eingesetzt wird, und irgendwann wird sie auch den Energiesektor erreichen."

Welchen Rat würden Sie Organisationen geben, die jetzt damit beginnen?

"Mein Rat ist, früh anzufangen", sagt Josue schlicht. "Beginnen Sie damit, die Standards zu lesen und zu verstehen, welche Teile auf Ihre Systeme zutreffen. Stellen Sie fest, was Sie bereits haben und wo Ihre Lücken sind.

Er betont, wie wichtig die interne Zusammenarbeit ist. "Bringen Sie Ihre IT-, OT- und Compliance-Teams von Anfang an zusammen. Sie alle haben unterschiedliche Perspektiven, und NERC CIP berührt sie alle."

Organisationen können es zwar auch alleine schaffen, doch laut Josue kann externe Unterstützung den Fortschritt beschleunigen. "Bureau Veritas bietet einen Leitfaden zum NERC CIP an und hilft seinen Kunden dabei, sich an dem zu orientieren, was anderswo bereits funktioniert hat. Sobald Sie Ihre Ausgangssituation kennen, wird der Weg zur Compliance viel klarer."

Warum sollten Unternehmen lieber jetzt als später damit beginnen?

"Je näher Sie den Fristen für die Durchsetzung kommen, desto teurer und komplizierter wird die Compliance", warnt Josue. "Sie werden um Ressourcen konkurrieren müssen. Berater, Ausrüstung, sogar die Aufmerksamkeit der Lieferanten. Wenn Sie jetzt beginnen, sind Sie flexibel."

Er fügt hinzu, dass es bei der frühzeitigen Compliance nicht nur darum geht, Geldstrafen zu vermeiden. Es ist ein kluger Geschäftszug. "Es hilft Ihnen, Ihre Infrastruktur zu stärken, betriebliche Risiken zu verringern und Vertrauen bei Aufsichtsbehörden und Kunden aufzubauen. Compliance und Sicherheit gehen Hand in Hand."

Aufbau von Resilienz für die Zukunft

Für Josue geht es bei NERC CIP nicht nur darum, Kästchen abzuhaken - es geht darum, Zuverlässigkeit zu gewährleisten. "Diese Standards sind dazu da, die Lichter am Leuchten zu halten", sagt er. "Sie schützen die Systeme, die unser tägliches Leben bestimmen."

Mit dem Aufkommen neuer Technologien und Bedrohungen wird diese Aufgabe noch wichtiger werden. "Cybersecurity ist keine einmalige Angelegenheit. Sie ist eine ständige Aufgabe", fügt er hinzu. "NERC CIP gibt dem Energiesektor den Rahmen, um voraus zu sein, sich anzupassen und die kritischen Infrastrukturen Nordamerikas sicher zu halten."