Columna de OpiniónNotasNoticias
¡No te quedes en “falta”! Prepara tu informe de cumplimiento NERC-CIP SEN
- Por Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity
Un cumplimiento regulatorio no es negociable y justo ahora, a fines de marzo, existe la obligación para toda empresa del sector eléctrico de informar al Coordinador Eléctrico Nacional (CEN) el estado de cumplimiento del estándar NERC-CIP SEN (formalmente Estándar de Ciberseguridad para el Sector Eléctrico) mediante un proceso de autoevaluación, exigido por la propia norma. Esta obligación incluye, principalmente, empresas generadoras y transmisoras; aunque también clientes libres que sean parte de sistemas como EDAC, EDAG, o ERAG.
NERC-CIP homologado a nuestra realidad, fue activado como un proceso de marcha blanca de 24 meses en octubre del 2020, siendo hoy plenamente exigible. Está compuesto por 13 dominios o estándares CIPs, de los cuales uno, el CIP-012, está StandBy o no exigible. El informe citado requiere declarar y evidenciar niveles de cumplimiento a la fecha, de 12 CIPs, en el ámbito de Protección de Infraestructuras Críticas, abordando su cumplimiento mediante la definición del marco normativo asociado, así como la implementación y operación en régimen de controles en diferentes ámbitos, como lo son la seguridad lógica, la seguridad física, la protección de las personas, los riesgos en el ámbito físico, en la cadena de suministro y en la protección de la información, lo que debe ser implementado y mantenido según periodicidades establecidas en el estándar.
La cantidad de controles, o aplicabilidad CIP, que se ha de implementar y mantener en este alcance, depende de la evaluación de impacto hacia el SEN (Sistema Eléctrico Nacional) establecido por reglas de aplicabilidad ubicadas en el capítulo 6, lo que permite asignar niveles de impacto, recursivamente, a las instalaciones físicas, a los cibersistemas y a los ciberactivos que los componen en: Alto, Medio o Bajo (o también la posibilidad de que no le aplique el estándar), determinando con ellos la cantidad de requerimientos CIP o controles que debe implementar la organización.
La aplicabilidad de este estándar compete principalmente a las empresas del ámbito generación y transmisión, aunque también, a las empresas de distribución que estén participando en alguno de los sistemas de estabilización o recuperación del Sistema Eléctrico Nacional. En este sentido, empresas que sean grandes consumidores, como las mineras o grandes industrias y empresas de transporte, podrían ser parte del cumplimiento por el simple hecho de ser parte de un sistema como EDAC, que permite un balanceo de carga para prevenir mayores impactos en el sistema interconectado.
Este estándar es parte del conjunto de requerimientos que ha estado armando el Coordinador, mandatado por la Superintendencia de Electricidad y Combustibles (SEC) y que se suman a los nuevos requerimientos en desarrollo aún, de la Comisión Nacional de Energía en la Norma Técnica de Ciberseguridad y Seguridad de la Información.
Todo comenzó el 2019 con requerimientos de línea base asociado a las 13 Medidas Urgentes de Ciberseguridad. Luego, a partir de octubre del 2020, el Coordinador estableció el proceso de marcha blanca para implementar el estándar norteamericano homologado a la realidad chilena: el NERC-CIP con “apellido” SEN de Sistema Eléctrico Nacional, el cual ya está completamente vigente y exigible como operación en régimen.
De hecho, el propio Coordinador, ya ha efectuado visitas de “revisión de cumplimiento” a ciertas empresas el sector, lo que debiese seguir, haciéndolo con otras empresas del sistema. Así se complementan estos requerimientos con otras exigencias en desarrollo como la implementación y certificación de un Sistema de Gestión de Seguridad en Información (SGSI), basado en la ISO 27001 para empresas distribuidoras, puntualmente en el ámbito del SMMC (Sistema de Monitoreo Medición y Control) y el estándar ISO 55001 para la gestión de activos. Asimismo, se encuentran otros temas, como la Norma Técnica de Seguridad de la Información y Ciberseguridad o la Ley Marco de Ciberseguridad y Protección de Infraestructura Crítica, que debiesen “idealmente” complementarse con lo existente y hacer aún más seguro el Sistema Eléctrico Nacional. Estos requerimientos aplican tanto para empresas netamente eléctricas como aquellas empresas que siendo clientes libres tienen alguno de los sistemas de regulación o protección del SEN.
Hemos acompañado con servicios de consultoría a múltiples clientes del sector eléctrico para dar cumplimiento a requerimientos, como las 13 Medidas Urgentes de Ciberseguridad (13 MU CEN), en la definición del Sistema de Gestión de Seguridad de la Información sobre ISO 27001 y, por supuesto el NERC-CIP SEN, del cual se debe entregar el informe de autoevaluación ahora a fines de marzo y así cada año siguiente, además de cuando el CEN lo requiera en forma excepcional.
Al cierre, sólo reiterar, que no procrastinen con este requerimiento y gestionen su cumplimiento a tiempo. (Jorge_Olivares@BusinessContinuity.CL Cel/Whatsapp: +56-9 9751 6570)