A partir del 1 de octubre de 2020, el LADWP debe cumplir con la Norma 013 de Protección de Infraestructura Crítica (CIP) de la Corporación de Confiabilidad Eléctrica de América del Norte (NERC). De conformidad con la Norma CIP-013 y el Plan de Gestión de Riesgos de Seguridad Cibernética de la Cadena de Suministro CIP-013 del LADWP, el LADWP debe implementar cambios en su proceso de adquisición y precalificar a los proveedores que participan en oportunidades de licitación para la adquisición de activos, equipos, software o servicios cibernéticos que respaldan el Sistema Eléctrico a Granel.
Un sistema eléctrico a granel se define como las instalaciones y sistemas de control necesarios para operar una red de energía eléctrica interconectada, incluidos los sistemas de generación, transmisión e interconexión eléctrica y todo el software y equipo asociados utilizados para controlar y operar voltajes de 100 kV o más.
Para ser precalificados por el LADWP, los proveedores deben proporcionar información sobre el perfil de riesgo de ciberseguridad que será evaluada por el LADWP. Esta evaluación incluye una evaluación de la organización del proveedor, el control de acceso, los controles técnicos, la respuesta a incidentes, la seguridad de la red y la postura de seguridad general.
Todas las Convocatorias de Licitación y Solicitudes de Propuestas del LADWP para la adquisición de activos cibernéticos, equipos, software o servicios que respalden el Sistema Eléctrico a Granel se anunciarán exclusivamente a los proveedores que se encuentren en la Lista Precalificada de Proveedores Cibernéticos del LADWP.
Los proveedores que deseen ser precalificados por el LADWP deberán revisar el documento titulado LADWP – Nueva Regulación para la Adquisición de Activos y Servicios Cibernéticos y enviar una copia completa del Cuestionario de Evaluación de Riesgos del Proveedor CIP-013 a [email protected] para su evaluación.
LADWP gestionará todos los riesgos inherentes y residuales en función de las prácticas establecidas y de acuerdo con el Plan de Gestión de Riesgos de Seguridad Cibernética de la Cadena de Suministro CIP-013.
Intermountain Power Service Corporation (IPSC) utiliza el Plan de Gestión de Riesgos de Seguridad Cibernética de la Cadena de Suministro y la Lista de Proveedores Precalificados de LADWP. Para la adquisición de sistemas informáticos y hardware, software y servicios informáticos y de redes de sistemas de control industrial asociados con las operaciones de BES de un proveedor no cubierto por la Lista de proveedores precalificados del LADWP, IPSC utiliza un Procedimiento Suplementario de Gestión de Riesgos de Seguridad Cibernética de la Cadena de Suministro para mitigar los riesgos de seguridad cibernética para el funcionamiento confiable del BES.