NERC CIP uitgelegd: Wat energie-organisaties moeten weten

Uitleg over NERC CIP met Josue Alvarez-DeGolia, Security Engineer bij Bureau Veritas Cybersecurity.

Het Noord-Amerikaanse elektriciteitsnet is een van de meest complexe systemen ter wereld. Het is ook een van de belangrijkste om te beschermen. Naarmate het elektriciteitsnet meer gedigitaliseerd wordt, neemt ook de blootstelling aan cyberdreigingen toe. Dat is waar de NERC CIP (North American Electric Reliability Corporation's Critical Infrastructure Protection) normen voor cybersecurity om de hoek komen kijken: een reeks verplichte normen die ontworpen zijn om de betrouwbaarheid van het elektriciteitsnet te beschermen.

Om te begrijpen wat deze normen in de praktijk betekenen, spraken wij met Josue Alvarez-DeGolia, Security Engineer bij Bureau Veritas Cybersecurity. Josue werkt iets meer dan drie jaar bij het bedrijf en heeft een zeldzame mix van technische, operationele en analytische ervaring in zijn functie. Hij begon zijn carrière bij de Amerikaanse marine als onderzeebootofficier, getraind in de bedrijfsvoering en het onderhoud van kernenergie, een ervaring die zijn begrip van systemen met een hoge inzet en betrouwbaarheid heeft gevormd. Na zijn tijd in het leger werkte hij in de bouw van energiecentrales (stoom- en gasturbinecentrales), investment banking en consulting voordat hij overstapte naar cybersecurity.

Sinds hij bij Bureau Veritas werkt, heeft Josue samengewerkt met bedrijven in de productietechnologie, dienstverleners in de cloud en in toenemende mate met industriële en energieorganisaties, om hen te helpen hun operationele technologie (OT) te versterken en te voldoen aan de toenemende eisen op het gebied van compliance en beveiliging.

Wat is NERC CIP en waarom is het belangrijk?

"NERC CIP verwijst naar de cybersecuritynormen van de North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP)," begint Josue. "Het is een reeks verplichte vereisten die zijn opgesteld en ontworpen om het Bulk Electric System (BES) in Noord-Amerika te beschermen tegen cybersecurity-bedreigingen."

Deze standaarden zijn niet vrijwillig. Ze zijn goedgekeurd door de Federal Energy Regulatory Commission (FERC) in de Verenigde Staten. Ze zijn ook wettelijk afdwingbaar. NERC en de bijbehorende regionale entiteiten bewaken de compliance en zien toe op de naleving ervan door middel van audits. FERC kan boetes opleggen voor niet-naleving. Sommige Canadese provincies hebben de NERC-normen overgenomen door middel van overeenkomsten. Dezelfde vereisten zijn daar dus van toepassing en worden afgedwongen door provinciale regelgevende instanties.

Josue legt uit dat het framework meegroeit met opkomende bedreigingen. "Cyberrisico's in de energiesector zijn niet statisch. Naarmate de technologie verandert, wordt NERC CIP periodiek bijgewerkt om de basislijn voor beveiliging te versterken." Voor nutsbedrijven gaat compliance niet alleen over het slagen voor een audit. Het gaat erom dat het elektriciteitsnet stabiel en veerkrachtig blijft in het licht van steeds geraffineerdere aanvallen.

Waarin verschilt NERC CIP van andere cybersecurity frameworks?

"Er zijn verschillende standaarden, zoals ISO 27001, IEC 62443 en andere. Ze dienen allemaal een ander doel," zegt Josue. "ISO 27001 is breed; het is voor het beheren van informatiebeveiliging in elke organisatie. IEC 62443 richt zich meer op industriële automatisering en OT, dus het is populair bij zowel fabrikanten als olie- en gasbedrijven."

"Maar NERC CIP is specifiek voor het Bulk Electric System," vervolgt hij. "Het richt zich op energieopwekking, -transmissie en -distributie. Eigenlijk alles wat het elektriciteitsnet stabiel houdt.

Nog een belangrijk verschil? Compliance onder NERC CIP is verplicht voor bulk-elektrische systemen. "ISO- en IEC-certificeringen zijn vrijwillig. Bedrijven streven deze na omdat het een goede praktijk is of omdat klanten erom vragen. NERC CIP daarentegen is wettelijk verplicht in Noord-Amerika. U hebt geen keuze als u binnen het elektrische bulksysteem opereert."

Toch vullen de standaarden elkaar aan. "Als u al ISO of IEC frameworks volgt, bevindt u zich in een goede positie," zegt Josue. "Er is veel overlap in de controles. U bent al een eind op weg om aan de NERC CIP-vereisten te voldoen."

Welke soorten systemen of assets beschermt NERC CIP?

"NERC CIP is ontworpen om de energiedistributie en energie-infrastructuur van Noord-Amerika te beschermen," legt Josue uit. "Alles is tegenwoordig met elkaar verbonden. Elke stroomstoring zou gevolgen hebben voor luchtvaartmaatschappijen, communicatie en andere onderdelen van kritieke infrastructuur. Het doel is om ervoor te zorgen dat er geen impact is op het elektriciteitsnet, of dat elke impact zo klein mogelijk is."

Hij merkt op dat de normen niet alleen betrekking hebben op assets op het elektriciteitsnet. "Het gaat niet alleen om het netwerk zelf, maar ook om fysieke beveiliging. Ervoor zorgen dat er het juiste niveau van fysieke beveiliging is voor afgelegen onderstations of distributiestations," zegt hij. "Het gaat ook om alle gegevens die tijdens de opwekking van het net worden verzameld, want die informatie is op zichzelf al waardevol."

"De systemen die u gebruikt om elektronische toegang te beheren, zowel lokaal als op afstand, maken er ook deel van uit," voegt hij eraan toe. "En het strekt zich uit tot de ondersteunende infrastructuur die bij de bedrijfsvoering van het elektriciteitsnet hoort."

Kortom, NERC CIP is van toepassing op cybersystemen en assets, zowel fysiek als digitaal, die de bedrijfsvoering van het Bulk Electrical System direct ondersteunen.

Wat zijn de grootste uitdagingen waar organisaties mee te maken krijgen als ze aan NERC CIP willen voldoen?

"Een van de grootste uitdagingen zijn legacysystemen," zegt Josue. "Een groot deel van de netinfrastructuur bestaat al tientallen jaren en je kunt het niet zomaar offline halen en vervangen. Veel van de technologie is niet ontworpen met cybersecurity in het achterhoofd."

Hij legt uit dat beheerders praktische manieren moeten vinden om oudere systemen aan de huidige normen aan te passen. "Het kan zijn dat u te maken hebt met apparatuur die gegevens niet kan coderen of de toegang niet kan beperken op dezelfde manier als nieuwere systemen dat kunnen. Dat maakt compliance moeilijk."

Het vinden van geschikte oplossingen vereist zowel technisch inzicht als operationele awareness. "Het gaat erom oplossingen te vinden die legacy- en moderne systemen veilig laten samenwerken en die compliant zijn," zegt Josue. "Soms betekent dat het introduceren van een overbruggingstechnologie of het isoleren van systemen op een manier die risico's beperkt terwijl de bedrijfsvoering stabiel blijft."

Specialisten die bekend zijn met zowel industriële bedrijfsvoering als cybersecurity kunnen organisaties helpen bij het identificeren van de meest realistische opties zonder de dienstverlening te verstoren, maar uiteindelijk zijn het de operators die hun systemen het beste kennen. "Zij zijn degenen die begrijpen wat dagelijks haalbaar is. Externe experts kunnen begeleiden en aanbevelingen doen, maar de beslissingen moeten altijd zinvol zijn voor de bedrijfsvoering."

Zijn er veelvoorkomende misvattingen over NERC CIP?

"Een grote misvatting is dat compliance enorm storend zal zijn," zegt Josue. "Mensen gaan ervan uit dat ze veel van hun technologie moeten aanpassen of systemen offline moeten halen, maar NERC CIP is eigenlijk een minimumset vereisten. Het gaat erom te kijken naar wat er al is. Uw bestaande procedures, uw IT-inrichting, uw firewalls, uw toegangscontroles - en kijken hoe dat past bij de standaarden."

Hij legt uit dat het proces de bedrijfsvoering niet hoeft te verstoren. "Het is niet zo opdringerig als mensen denken," zegt hij. "Je haalt het elektriciteitsnet er niet uit. Het gaat er vooral om te begrijpen hoe dingen vandaag de dag werken en de juiste aanpassingen te vinden om aan compliance te voldoen."

Samenwerken met een organisatie als Bureau Veritas Cybersecurity, voegt hij eraan toe, kan helpen om de verstoring tot een minimum te beperken. "Wij kunnen identificeren wat al effectief is en waar verbeteringen kunnen worden aangebracht, waardoor het over het algemeen een soepeler proces wordt om compliant te worden."

Wat zijn enkele andere manieren waarop Bureau Veritas organisaties kan helpen om NERC CIP compliant te worden?

"Wat wij inbrengen is een combinatie van expertise op het gebied van cybersecurity en een perspectief van buitenaf," zegt Josue. "Beheerders begrijpen hun systemen beter dan wie dan ook, maar soms kan die vertrouwdheid leiden tot blinde vlekken."

Bureau Veritas biedt assessments, gap analyses en praktische aanbevelingen op maat van de operationele omgeving. "We bekijken hoe de bestaande controles overeenkomen met de NERC CIP vereisten, identificeren eventuele tekortkomingen en stellen haalbare oplossingen voor," legt hij uit.

Bureau Veritas kan klanten ook helpen om toekomstige veranderingen voor te blijven. "CIP-015 bijvoorbeeld, dat betrekking heeft op interne netwerkbeveiligingsbewaking (INSM), is relatief nieuw," merkt Josue op. "En nieuwe herzieningen zoals CIP-003-9 hebben al handhavingsdata voor 2026. Wij helpen klanten deze updates te interpreteren en zich voor te bereiden voordat ze verplicht worden."

Een onafhankelijk assessment, legt Josue uit, voegt zekerheid toe. "Het gaat er niet om iemand uit te schelden, het gaat erom te bevestigen dat u daadwerkelijk compliant en veilig bent."

Hoe ontwikkelt NERC CIP zich?

NERC CIP is niet statisch. Het verandert als het bedreigingslandschap verandert. "Elke standaard wordt meerdere keren herzien," legt Josue uit. "Dat komt omdat cyberdreigingen evolueren. Wat vijf jaar geleden werkte, houdt vandaag misschien geen stand meer."

Hij wijst op CIP-015 als voorbeeld van hoe het framework zich uitbreidt naar meer proactieve monitoring voor BES-systemen en -netwerken. "Het gaat erom dat u weet wanneer iemand zich in uw netwerk bevindt die dat niet zou moeten zijn," zegt hij. "Dat is een grote stap voorwaarts in de bescherming van het elektriciteitsnet."

Josue voorspelt ook dat nieuwe technologieën zoals AI toekomstige updates kunnen beïnvloeden. "Het zou me niet verbazen als AI in toekomstige herzieningen opduikt. Hetzij om regelgeving op te stellen voor het gebruik ervan, hetzij om het te gebruiken voor het detecteren van bedreigingen. We zien nu al dat AI in andere industrieën wordt toegepast, en uiteindelijk zal het ook de energiesector bereiken."

Welk advies zou u geven aan organisaties die nu beginnen?

"Mijn advies is om vroeg te beginnen," zegt Josue eenvoudig. "Begin met het lezen van de standaarden en begrijp welke onderdelen op uw systemen van toepassing zijn. Identificeer wat u al hebt en waar uw hiaten zitten."

Hij benadrukt het belang van interne samenwerking. "Breng uw IT-, OT- en compliance-teams vanaf het begin samen. Ze hebben allemaal een andere invalshoek, en NERC CIP raakt ze allemaal."

En hoewel organisaties het alleen kunnen doen, zegt Josue dat externe ondersteuning de voortgang kan versnellen. "Bureau Veritas biedt NERC CIP-richtlijnen en helpt klanten te vergelijken met wat elders heeft gewerkt. Zodra u uw basis begrijpt, wordt het pad naar compliance veel duidelijker."

Waarom zouden bedrijven nu beginnen in plaats van later?

"Hoe dichter u bij de deadlines voor handhaving komt, hoe duurder en ingewikkelder compliance wordt," waarschuwt Josue. "U zult moeten concurreren om middelen. Adviseurs, apparatuur, zelfs aandacht van leveranciers. Nu beginnen geeft u flexibiliteit."

Hij voegt eraan toe dat het bij vroegtijdige compliance niet alleen gaat om het vermijden van boetes. Het is een slimme zakelijke zet. "Het helpt u om uw infrastructuur te versterken, operationele risico's te verminderen en vertrouwen op te bouwen bij regelgevers en klanten. Compliance en security gaan hand in hand."

Veerkracht bouwen voor de toekomst

Voor Josue gaat het bij NERC CIP niet alleen om het aanvinken van vakjes - het gaat om het garanderen van betrouwbaarheid. "Deze normen zijn er om het licht aan te houden," zegt hij. "Ze beschermen de systemen die ons dagelijks leven van stroom voorzien."

Naarmate er nieuwe technologieën en bedreigingen opduiken, zal die missie alleen maar belangrijker worden. "Cybersecurity is geen eenmalige inspanning. Het is continu," voegt hij eraan toe. "NERC CIP geeft de energiesector het framework om voorop te blijven lopen, zich aan te passen en de kritieke infrastructuur van Noord-Amerika veilig te houden."