Praktische Umsetzung zur Einhaltung von NERC CIP-015-1

Seit Jahren ist die  NERC (North American Electric Reliability Corporation)  konzentrierte sich die CIP-Compliance stark auf die Absicherung des Perimeters. CIP-006 regelte den physischen Zugang, CIP-007 sperrte Ports und Dienste, und CIP-005 definierte den ESP (Electronic Security Perimeter). Die zugrunde liegende Annahme war, dass man das Risiko kontrollieren könne, wenn man kontrolliere, was die Grenze überschreite. 

CIP-015-1 hat diese Annahme verworfen und ist seit September 2025 in Kraft. Angesichts der ersten wichtigen Frist für die Umsetzung im September 2028 gewinnt die Kluft zwischen „Wir haben den Standard gelesen“ und „Wir haben eine funktionierende Architektur“ zunehmend an Bedeutung. 

Die FERC (Federal Energy Regulatory Commission) hat NERC CIP-015-1 am 26. Juni 2025 durch die Verordnung 907 als INSM-Standard (Internal Network Security Monitoring) genehmigt. Der Standard trat am 2. September 2025 in Kraft. Die Frist für die Einhaltung beträgt für BES-Cybersysteme (Bulk Electric System) mit hoher Auswirkungsstufe und BES-Cybersysteme mit mittlerer Auswirkungsstufe, die über ERC (External Routable Connectivity) in Leitstellen verfügen, den 2. September 2028. Alle anderen betroffenen Systeme mit mittlerer Auswirkungsstufe müssen die Anforderungen bis zum 2. September 2030 erfüllen.

Die zentrale Anforderung ist von operativer Bedeutung:

• Stromversorgungsunternehmen müssen den Datenverkehr innerhalb ihrer ESPs überwachen, nicht nur das, was die Grenze passiert.

• R1 verpflichtet Unternehmen dazu, Netzwerkdaten auf der Grundlage einer risikobasierten Herangehensweise zu erfassen, ungewöhnliche Aktivitäten zu erkennen, festgestellte Anomalien zu bewerten und die damit verbundenen Daten so lange aufzubewahren, dass sie für Untersuchungen herangezogen werden können.

• R2 und R3 befassen sich mit dem Schutz und der Kontrolle des Zugriffs auf die gespeicherten Daten. 

Die Regulierungsbehörden blicken bereits in die Zukunft: Die NERC wurde angewiesen, den Standard bis September 2026 so zu erweitern, dass er auch EACMS (elektronische Zugangskontroll- und Überwachungssysteme) und PACS (physische Zugangskontrollsysteme) außerhalb des ESP abdeckt, die imkünftigen CIP-015-2 enthalten sind. Diese Frist ist nun nur noch wenige Monate entfernt. 

Die Bereitstellung von INSM in einer OT-Umgebung ist nicht mit der Bereitstellung eines SIEM (Security Information and Event Management) in einem Unternehmensrechenzentrum vergleichbar. Die Überwachung muss passiv erfolgen, da aktives Scannen in laufenden ICS-Umgebungen nicht möglich ist. Häufig kommt eine Vielzahl von Protokollen zum Einsatz, darunter Modbus, DNP3, IEC 61850, PROFINET und EtherNet/IP, neben dem Standard-IP-Verkehr. Die Bestandsaufnahmen der Anlagen sind oft unvollständig, was bedeutet, dass INSM-Projekte in der Regel mit der Erfassung beginnen, bevor eine Erkennung möglich ist. Darüber hinaus erfordert die Übertragung von Überwachungsdaten aus der OT-Zone in ein IT-seitiges Speichersystem, ohne neue Sicherheitsrisiken einzuführen, eine gezielte architektonische Planung und nicht nur eine Konfiguration.

Was auf dem Papier wie ein kurzes OT-Projekt aussieht, kann leicht 18 Monate oder länger dauern, wenn man die Bereitstellung, das Änderungsmanagement und die Dokumentation mit einbezieht. Für Stromversorgungsunternehmen, deren Anlagen bis 2028 in den Projektumfang fallen, verengt sich der Spielraum für die langfristige Planung.

Das OT-Sicherheitsportfolio OPSWATentspricht direkt den Anforderungen der Norm CIP-015-1.

MetaDefender Security™ deckt die Anforderungen von R1.1 bis R1.3 ab und bietet eine passive, agentenlose Netzwerküberwachung über SPAN/TAP-Architekturen ohne Traffic-Injection und ohne Unterbrechung der Regelkreise.

Die Deep Packet Inspection über Hunderte von OT- und IT-Protokollen hinweg ermöglicht die Erfassung von Systemressourcen, die Erstellung von Datenverkehr-Baselines und die Erkennung von Anomalien, wie sie R1 erfordert. Dadurch können Sicherheitsteams Verhaltensabweichungen wie unerwartete Modbus-Befehle, unbefugte Verbindungen zu Engineering-Workstations und unbekannte Geräte erkennen, die von herkömmlichen IT-Sicherheitstools oft übersehen werden.

MetaDefender bietet alles, was zur Bewältigung der Herausforderungen beim R2-Datentransport erforderlich ist. Sein unidirektionales Sicherheitsgateway leitet INSM-Telemetriedaten aus der OT-Zone ausschließlich in eine Richtung – hardwaremäßig erzwungen und ohne Rückkanal – an IT-seitige Analyse- und SIEM-Plattformen weiter. Stromversorgungsunternehmen können die Anforderungen an den Datentransfer erfüllen, ohne einen bidirektionalen Kanal zu öffnen, der neue Sicherheitsrisiken mit sich bringt.

Genauer gesagtNetWall sicherenNetWall , während die Aufbewahrungs- und Zugriffskontrollpflichten gemäß R2 und R3 vom empfangenden System erfüllt werden. Die vollständige Compliance-Architektur besteht ausOT Security und Erkennung,NetWall sicherenNetWall sowie einem IT-seitigen SIEM für die Aufbewahrung und Zugriffskontrolle.

Für Stromversorgungsunternehmen, die die Automatisierungsplattformen DeltaV™ oder Ovation™ von Emerson einsetzen, ist der Weg zur Einhaltung der Vorschriften einfacher. Diese Plattformen kommen in Hunderten von Anlagen zur Stromerzeugung sowie in Wasser- und Abwasseranlagen zum Einsatz und fallen damit unter die BES-Anlagenbetreiber im Geltungsbereich von CIP-015-1.  OPSWAT Emerson gaben im April 2026 eine globale Vertriebspartnerschaft bekannt, wodurch das Cybersicherheitsportfolio OPSWATüber Emersons Cybersicherheitssuite für die Energie- und Wasserwirtschaft verfügbar wird.  

Die bestehende DeltaV-Allianz umfasst bereitsMetaDefender undUnidirectional Security Gateway die DeltaV-Plattform. Diese Integration bietet eine Kontrolle für Wechseldatenträger und eine Architektur für den unidirektionalen Datenexport, die die Anforderungen von CIP-003-9 bzw. CIP-015-1 R2 erfüllt.

Die neue Vereinbarung erweitert das OT-Patch-Management OPSWATauf die Ovation-Plattform von Emerson an mehr als 800 Standorten weltweit, wobei Central Management OrtMetaDefender und My Central Management MetaDefender . Für DeltaV- und Ovation-Kunden steht über die bestehende Geschäftsbeziehung mit Emerson eine speziell entwickelte, CIP-konforme Architektur zur Verfügung.

Der Standard CIP 015-1 steht nicht für sich allein. Gerade an der Schnittstelle zwischen CIP-003-9, der am 1. April 2026 in Kraft tritt, und CIP-015-1 entfaltet das Portfolio OPSWATseine besondere Wirksamkeit. Die regulatorischen Anforderungen von CIP-003-9 decken auch Wechseldatenträger und temporäre Cyber-Assets für BES-Cybersysteme mit geringer Auswirkung ab.

In OT-Umgebungen werden Wechseldatenträger und temporäre Cyber-Ressourcen routinemäßig für Patches und Firmware-Updates in Systemen mit physischer Isolierung (Air-Gapped) verwendet.OPSWAT helfen dabei, Wechseldatenträger und Laptops von Anbietern zu scannen und zu bereinigen, bevor diese mit einer Komponente des Steuerungssystems in Berührung kommen. Mit Inkrafttreten von CIP-003-9 ist diese Lücke in Ihrem nächsten Zyklus prüfbar, wenn Ihr Programm eher auf Richtlinien als auf technologische Kontrollen setzt.