Attuazione pratica per l'adeguamento alla norma NERC CIP-015-1

Da anni, la  NERC (North American Electric Reliability Corporation)  la conformità CIP si è concentrata fortemente sulla protezione del perimetro. Il CIP-006 regolava l’accesso fisico, il CIP-007 bloccava porte e servizi e il CIP-005 definiva l’ESP (Electronic Security Perimeter). Il presupposto di fondo era che, controllando ciò che attraversava il confine, si controllava il rischio. 

La CIP-015-1 ha respinto tale ipotesi ed è in vigore dal settembre 2025. Con la prima scadenza importante per l'adeguamento fissata a settembre 2028, il divario tra il "abbiamo letto lo standard" e il "abbiamo un'architettura funzionante" sta iniziando a diventare rilevante. 

La FERC (Commissione federale per la regolamentazione dell'energia) ha approvato lo standard NERC CIP-015-1 come standard INSM (Internal Network Security Monitoring) il 26 giugno 2025, tramite l'Ordinanza 907. Lo standard è entrato in vigore il 2 settembre 2025. Il termine per la conformità è il 2 settembre 2028 per i sistemi informatici BES (Bulk Electric System) ad alto impatto e per i sistemi informatici BES a medio impatto con ERC (External Routable Connectivity) nei centri di controllo. Tutti gli altri sistemi a medio impatto applicabili devono conformarsi entro il 2 settembre 2030.

Il requisito fondamentale è di grande rilevanza operativa:

• Le aziende elettriche devono monitorare il traffico all'interno dei propri ESP, non solo ciò che entra ed esce dai confini.

• La norma R1 impone alle entità di raccogliere flussi di dati di rete secondo un approccio basato sul rischio, individuare attività anomale, valutare le anomalie rilevate e conservare i dati associati per un periodo di tempo sufficiente a supportare le indagini.

• R2 e R3 riguardano la protezione e il controllo dell'accesso ai dati conservati. 

Le autorità di regolamentazione guardano già al futuro: il NERC ha ricevuto l'incarico di ampliare lo standard entro settembre 2026 per includere i sistemi EACMS (sistemi elettronici di controllo e monitoraggio degli accessi) e PACS (sistemi di controllo fisico degli accessi) al di fuori dell'ESP, che saranno contemplati nelfuturo CIP-015-2. A tale scadenza mancano ormai solo pochi mesi. 

L'implementazione di INSM all'interno di un ambiente OT non è uguale all'implementazione di un SIEM (Security Information and Event Management) in un data center aziendale. Il monitoraggio deve essere passivo poiché la scansione attiva non è un'opzione praticabile in ambienti ICS operativi. Spesso viene utilizzata un'ampia gamma di protocolli, tra cui Modbus, DNP3, IEC 61850, PROFINET ed EtherNet/IP, oltre al traffico IP standard. Gli inventari delle risorse sono spesso incompleti, il che significa che i progetti INSM iniziano in genere con la scoperta prima che sia possibile qualsiasi rilevamento. Inoltre, trasferire i dati di monitoraggio dalla zona OT a un sistema di conservazione sul lato IT, senza introdurre nuovi rischi per la sicurezza, richiede una pianificazione architettonica intenzionale, non solo una configurazione.

Quello che sulla carta sembra un breve progetto OT può facilmente richiedere 18 mesi o più se si tiene conto dell'implementazione, della gestione del cambiamento e della documentazione. Per le aziende elettriche con impianti del 2028 interessati dal progetto, il tempo a disposizione per la pianificazione a lungo termine sta per scadere.

La gamma di soluzioni di sicurezza OT OPSWATè pienamente conforme ai requisiti della norma CIP-015-1.

MetaDefender Security™ risponde ai requisiti da R1.1 a R1.3, con un monitoraggio passivo della rete senza agenti tramite architetture SPAN/TAP, senza iniezione di traffico e senza interruzioni dei circuiti di controllo.

L'ispezione approfondita dei pacchetti su centinaia di protocolli OT e IT garantisce l'individuazione delle risorse, la definizione di profili di riferimento del traffico e il rilevamento delle anomalie richiesti da R1. Ciò consente ai team di sicurezza di identificare anomalie comportamentali quali comandi Modbus inattesi, connessioni non autorizzate a workstation di progettazione e dispositivi sconosciuti che gli strumenti tradizionali di sicurezza IT spesso trascurano.

MetaDefender offre tutto il necessario per affrontare la sfida del trasporto dei dati R2. Il suo gateway di sicurezza unidirezionale esporta i dati di telemetria INSM dalla zona OT alle piattaforme di analisi e SIEM del lato IT in un'unica direzione, con un meccanismo garantito a livello hardware e senza percorso di ritorno. Le aziende di servizi elettrici possono soddisfare i requisiti di trasferimento dei dati senza aprire un canale bidirezionale che crei nuove vulnerabilità.

Per essere precisi,MetaDefender NetWall i dati in modo sicuro, mentre gli obblighi di conservazione e controllo degli accessi previsti dai livelli R2 e R3 sono soddisfatti dal sistema ricevente. L'architettura di conformità completa prevede cheOT Security e del rilevamento,NetWall sicuro e un sistema SIEM sul lato IT della conservazione e del controllo degli accessi.

Per le aziende elettriche che utilizzano le piattaforme di automazione DeltaV™ o Ovation™ di Emerson, il percorso di conformità è più diretto. Queste piattaforme sono implementate in centinaia di impianti di produzione di energia elettrica, di trattamento delle acque e di depurazione delle acque reflue, rientrando tra i proprietari di asset BES nell'ambito di applicazione della norma CIP-015-1.  OPSWAT Emerson hanno annunciato un accordo di rivendita globale nell'aprile 2026, rendendo disponibile il portafoglio di soluzioni di sicurezza informatica OPSWATattraverso la suite di sicurezza informatica per il settore energetico e idrico di Emerson.  

L'attuale DeltaV AllianceMetaDefender giàMetaDefender eUnidirectional Security Gateway la piattaforma DeltaV. Questa integrazione offre il controllo dei supporti rimovibili e un'architettura di esportazione dati unidirezionale che soddisfa, rispettivamente, i requisiti CIP-003-9 e CIP-015-1 R2.

Il nuovo accordo estende la gestione delle patch OT OPSWATalla piattaforma Ovation di Emerson in oltre 800 siti in tutto il mondo,MetaDefender e My Central Management locale. Per i clienti DeltaV e Ovation, è disponibile un'architettura appositamente progettata e conforme alle norme CIP tramite il rapporto già esistente con Emerson.

Lo standard CIP-015-1 non è l'unico. È proprio nell'intersezione tra lo standard CIP-003-9, che entrerà in vigore il 1° aprile 2026, e lo standard CIP-015-1 che la gamma di soluzioni OPSWATsi rivela particolarmente efficace. I requisiti normativi del CIP-003-9 coprono anche i supporti rimovibili e le risorse informatiche transitorie per i sistemi informatici BES a basso impatto.

Negli ambienti OT, i supporti rimovibili e le risorse informatiche temporanee vengono abitualmente utilizzati per l'applicazione di patch e l'aggiornamento del firmware nei sistemi isolati fisicamente.OPSWAT consentono di eseguire la scansione e la sanificazione dei supporti rimovibili e dei laptop dei fornitori prima che entrino in contatto con le risorse dei sistemi di controllo. Con l'entrata in vigore della norma CIP-003-9, se il vostro programma si basa su controlli di tipo normativo piuttosto che tecnologico, tale lacuna sarà soggetta a verifica nel vostro prossimo ciclo.