Explicación del NERC CIP: Lo que las Empresas Energéticas Necesitan Saber

Entender el NERC CIP con Josué Álvarez-DeGolia, ingeniero de seguridad de Bureau Veritas Cybersecurity

La red eléctrica norteamericana es uno de los sistemas más complejos del mundo. También es uno de los más importantes de proteger. A medida que se digitaliza, también lo hace su exposición a las ciberamenazas. Ahí es donde entran en juego las normas de ciberseguridad NERC CIP (North American Electric Reliability Corporation's Critical Infrastructure Protection): una serie de normas obligatorias diseñadas para salvaguardar la fiabilidad de la red.

Para entender qué significan estas normas en la práctica, hablamos con Josué Álvarez-DeGolia, ingeniero de seguridad de Bureau Veritas Cybersecurity. Josue lleva en la empresa algo más de tres años y aporta a su puesto una rara mezcla de experiencia técnica, operativa y analítica. Comenzó su carrera en la Marina estadounidense como oficial de submarinos, formado en operaciones y mantenimiento de energía nuclear, una experiencia que moldeó su comprensión de los sistemas de alto riesgo y alta fiabilidad. Tras su paso por el ejército, trabajó en la construcción de centrales eléctricas (plantas de turbinas de vapor y gas), banca de inversión y consultoría antes de pasar a la ciberseguridad.

Desde que se incorporó a Bureau Veritas, Josué ha trabajado con empresas de tecnología de fabricación, proveedores de servicios en la nube y, cada vez más, con organizaciones industriales y energéticas, ayudándoles a reforzar la seguridad de su Tecnología Operativa (OT) y a satisfacer las crecientes demandas de conformidad y seguridad.

¿Qué es NERC CIP y por qué es importante?

"NERC CIP se refiere a las normas de ciberseguridad de la Corporación Norteamericana de Fiabilidad Eléctrica (NERC) para la Protección de Infraestructuras Críticas (CIP)", comienza Josué. "Es un conjunto de requisitos obligatorios creados y diseñados para proteger el Sistema Eléctrico a Granel (BES) de Norteamérica de las amenazas a la ciberseguridad".

Estas normas no son voluntarias. Están aprobadas por la Comisión Federal Reguladora de la Energía (FERC) en Estados Unidos. También son legalmente exigibles. La NERC y sus entidades regionales asociadas supervisan su cumplimiento y las hacen cumplir mediante auditorías. La FERC puede imponer multas por incumplimiento. Algunas provincias canadienses han adoptado las normas de la NERC mediante acuerdos. Allí se aplican los mismos requisitos y los reguladores provinciales se encargan de hacerlos cumplir.

Josue explica que el marco evoluciona junto con las amenazas emergentes. "Los riesgos cibernéticos en el sector energético no son estáticos. A medida que cambia la Tecnología, el NERC CIP se actualiza periódicamente para reforzar la base de la seguridad". Para las empresas de servicios públicos, el cumplimiento no consiste sólo en pasar una auditoría. Se trata de garantizar que la red eléctrica siga siendo estable y resistente frente a ataques cada vez más sofisticados.

¿En qué se diferencia el NERC CIP de otros marcos de ciberseguridad?

"Hay varias normas ahí fuera, como la ISO 27001, la IEC 62443 y otras. Cada una sirve a un propósito diferente", afirma Josue. "La ISO 27001 es amplia; sirve para gestionar la seguridad de la información en cualquier Empresa. La IEC 62443 se centra más en la automatización industrial y la OT, por lo que es popular tanto entre los fabricantes como entre las empresas de petróleo y gas."

"Pero el NERC CIP es específico del sistema eléctrico a granel", continúa. "Se centra en la generación, transmisión y distribución de energía. Esencialmente, todo lo que mantiene estable la red eléctrica".

¿Otra diferencia clave? El cumplimiento del NERC CIP es obligatorio para los sistemas eléctricos a granel. "Las certificaciones ISO e IEC son voluntarias. Las empresas las persiguen porque son una buena práctica o porque los clientes se lo piden. El NERC CIP, en cambio, es obligatorio por ley en Norteamérica. No tienes elección si operas dentro del sistema eléctrico a granel".

Aún así, las normas se complementan entre sí. "Si ya sigue los marcos ISO o IEC, en realidad está en una buena posición", dice Josue. "Hay mucho solapamiento en los controles. Ya está a medio camino de cumplir los requisitos del NERC CIP".

¿Qué tipos de sistemas o assets protege el NERC CIP?

"NERC CIP está diseñado para proteger la infraestructura de distribución de energía y energía de Norteamérica", explica Josue. "Hoy en día todo está interconectado. Cualquier interrupción del suministro eléctrico afectaría a las líneas aéreas, las comunicaciones y otras partes de las infraestructuras críticas. El objetivo es asegurarse de que no haya ningún impacto en la red, o que cualquier impacto se minimice tanto como sea posible".

Señala que las normas abarcan algo más que los assets de la red. "No se trata sólo de la propia red, sino también de la seguridad física. Asegurarse de que existe el nivel adecuado de protección física para las subestaciones remotas o las estaciones de distribución", afirma. "También incluye todos los datos recogidos de la red durante la generación, ya que esa información es valiosa por sí misma".

"Los sistemas que se utilizan para gestionar el acceso electrónico, tanto local como remoto, también forman parte de ello", añade. "Y se extiende a la infraestructura de apoyo que acompaña al funcionamiento de la red".

En resumen, el NERC CIP se aplica a los cibersistemas y assets, ya sean físicos o digitales, que apoyan directamente el funcionamiento del sistema eléctrico a granel.

¿Cuáles son los mayores desafíos a los que se enfrentan las Empresas cuando intentan cumplir con el NERC CIP?

"Uno de los mayores desafíos son los sistemas heredados", afirma Josué. "Gran parte de la infraestructura de la red existe desde hace décadas y no se puede simplemente desconectar y sustituir. Gran parte de la Tecnología no se diseñó pensando en la ciberseguridad".

Explica que los operadores tienen que encontrar formas prácticas de adecuar los sistemas más antiguos a los estándares actuales. "Puede que se trate de equipos que no pueden cifrar los datos o restringir el acceso del mismo modo que los sistemas más nuevos. Eso dificulta el cumplimiento".

Encontrar soluciones adecuadas requiere tanto conocimientos técnicos como awareness operativo. "Se trata de identificar soluciones que permitan a los sistemas heredados y modernos trabajar juntos de forma segura y que cumplan la normativa", afirma Josue. "A veces eso significa introducir una tecnología puente o aislar los sistemas de forma que se limite el riesgo al tiempo que se mantiene la estabilidad de las operaciones".

Los especialistas familiarizados tanto con las operaciones industriales como con la ciberseguridad pueden ayudar a las empresas a identificar las opciones más realistas sin interrumpir el servicio, pero en última instancia, son los operadores los que mejor conocen sus sistemas. "Ellos son los que entienden lo que es factible en el día a día. Los expertos externos pueden orientar y recomendar, pero las decisiones siempre tienen que tener sentido para las operaciones."

¿Existen conceptos erróneos comunes sobre el NERC CIP?

"Un gran concepto erróneo es que el cumplimiento va a ser enormemente perturbador", afirma Josue. "Las Personas asumen que tendrán que rehacer gran parte de su TECNOLOGÍA o desconectar los sistemas, pero el NERC CIP es realmente un conjunto mínimo de requisitos. Se trata de examinar lo que ya está en marcha. Sus procedimientos existentes, su configuración informática, sus cortafuegos, sus controles de acceso... y ver cómo encajan con las normas".

Explica que el Proceso no tiene por qué interferir en las operaciones. "No es tan intrusivo como la gente piensa", afirma. "No se está derribando la red. Se trata sobre todo de entender cómo funcionan las cosas hoy y encontrar los ajustes adecuados para cumplir la normativa."

Trabajar con una Empresa como Bureau Veritas Cybersecurity, añade, puede ayudar a minimizar las interrupciones. "Podemos identificar lo que ya es eficaz y dónde se pueden hacer mejoras, eso hace que cumplir la normativa sea un proceso más suave en general."

¿Cuáles son otras formas en las que Bureau Veritas puede ayudar a las Empresas a conseguir la conformidad con NERC CIP?

"Lo que aportamos es una combinación de experiencia en ciberseguridad y una perspectiva externa", dice Josué. "Los operadores entienden sus sistemas mejor que nadie, pero a veces esa familiaridad puede llevar a puntos ciegos".

Bureau Veritas proporciona assessment, análisis de brechas y recomendaciones prácticas adaptadas al entorno operativo. "Revisamos cómo se alinean los controles existentes con los requisitos del NERC CIP, identificamos cualquier carencia y sugerimos soluciones factibles", explica.

Bureau Veritas también puede ayudar a los clientes a adelantarse a los próximos cambios. "Por ejemplo, el CIP-015, que cubre la supervisión de la seguridad de la red interna (INSM), es relativamente nuevo", señala Josue. "Y nuevas revisiones como la CIP-003-9 ya tienen fechas de aplicación fijadas para 2026. Ayudamos a los clientes a interpretar esas actualizaciones y a prepararse antes de que sean obligatorias."

Contar con una assessment independiente, explica Josue, añade seguridad. "No se trata de llamar la atención a nadie, sino de confirmar que realmente se cumple la normativa y se está seguro".

¿Cómo evoluciona el NERC CIP?

El NERC CIP no es estático. Cambia a medida que cambia el panorama de las amenazas. "Cada norma pasa por múltiples revisiones", explica Josue. "Eso se debe a que las ciberamenazas evolucionan. Lo que funcionaba hace cinco años puede no valer hoy".

Señala el CIP-015 como ejemplo de cómo el marco se está ampliando hacia una supervisión más proactiva de los sistemas y redes BES. "Se trata de saber cuándo está dentro de su red alguien que no debería estarlo", afirma. "Es un gran paso adelante en la protección de la red".

Josué también predice que nuevas tecnologías como la IA podrían influir en futuras actualizaciones. "No me sorprendería que la IA apareciera en futuras revisiones. Ya sea para regular su uso o para aprovecharla en la detección de amenazas. Ya estamos viendo cómo se adopta la IA en otras industrias, y con el tiempo llegará también al sector energético."

¿Qué consejo daría a las Empresas que empiezan ahora?

"Mi consejo es que empiecen pronto", dice sencillamente Josué. "Empiece por leer las normas y comprender qué partes se aplican a sus sistemas. Identifique lo que ya tiene en marcha y dónde están sus lagunas".

Hace hincapié en la importancia de la colaboración interna. "Reúna a sus equipos de TI, OT y cumplimiento desde el principio. Cada uno de ellos tiene perspectivas diferentes, y el NERC CIP les afecta a todos".

Y aunque las Empresas pueden hacerlo solas, Josué dice que el apoyo externo puede acelerar el progreso. "Bureau Veritas proporciona orientación sobre NERC CIP, ayudando a los clientes a comparar con lo que ha funcionado en otros lugares. Una vez que entienden su línea de base, el camino hacia el cumplimiento se vuelve mucho más claro".

¿Por qué las empresas deberían empezar ahora y no más tarde?

"Cuanto más se acerque a los plazos de aplicación, más caro y complicado será el cumplimiento", advierte Josue. "Competirá por los recursos. Consultores, equipos, incluso la atención de los proveedores. Empezar ahora le da flexibilidad".

Añade que el cumplimiento temprano no es sólo para evitar multas. Es un movimiento empresarial inteligente. "Le ayuda a reforzar su infraestructura, a reducir el riesgo operativo y a generar confianza entre los reguladores y los clientes. El cumplimiento y la seguridad van de la mano".

Crear resiliencia para el futuro

Para Josué, el NERC CIP no consiste sólo en marcar casillas, sino en garantizar la fiabilidad. "Estas normas están aquí para mantener las luces encendidas", afirma. "Protegen los sistemas que alimentan nuestra vida cotidiana".

A medida que surjan nuevas tecnologías y amenazas, esa misión no hará sino cobrar más importancia. "La ciberseguridad no es un esfuerzo de una sola vez. Es continua", añade. "El NERC CIP proporciona al sector energético el marco necesario para adelantarse, adaptarse y mantener seguras las infraestructuras críticas de Norteamérica".