CIP-013 Gestion des risques en cybersécurité

À compter du 1er octobre 2020, le LADWP doit se conformer à la norme de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) Standard-013. Conformément à la norme CIP-013 et au Plan de gestion des risques de cybersécurité de la chaîne d’approvisionnement CIP-013 du LADWP, le LADWP doit mettre en œuvre des changements à son processus d’approvisionnement et préqualifier les fournisseurs participant aux opportunités d’appel d’offres pour l’acquisition d’actifs, équipements, logiciels ou services cybernétiques soutenant le système électrique en vrac.

Un système électrique en vrac est défini comme les installations et systèmes de contrôle nécessaires à l’exploitation d’un réseau d’énergie électrique interconnecté, incluant les systèmes de production, de transmission et d’interconnexion électriques ainsi que tous les logiciels et équipements associés utilisés pour contrôler et faire fonctionner des tensions de 100 kV ou plus.

Pour être préqualifié par le LADWP, les fournisseurs doivent fournir des informations sur le profil de risque en cybersécurité qui seront évaluées par le LADWP. Cette évaluation comprend une évaluation de l’organisation du fournisseur, du contrôle d’accès, des contrôles techniques, de la réponse aux incidents, de la sécurité du réseau et de la posture globale de sécurité.

Toutes les invitations à appels d’offres et demandes de propositions du LADWP pour l’acquisition d’actifs, équipements, logiciels ou services cybernétiques soutenant le système électrique en vrac seront exclusivement annoncés aux fournisseurs figurant sur la liste préqualifiée des fournisseurs cyber du LADWP.

Les fournisseurs qui souhaitent être préqualifiés par le LADWP doivent examiner le document intitulé LADWP – Nouvelle réglementation pour l’acquisition d’actifs et services cybernétiques, puis envoyer un courriel à [email protected] pour entamer le processus d’évaluation. Les fournisseurs actuels peuvent vérifier leur statut de préqualification CIP-013 en consultant leur page de profil sur leur compte eRSP LADWP enregistré. Si vous avez besoin d’aide supplémentaire concernant votre profil, veuillez contacter le Centre de liaison avec les fournisseurs de LAPPP à [email protected].

LADWP New Regulation for Procurement of Cyber Assets and Services pdf

Le LADWP gérera tous les risques inhérents et résiduels selon les pratiques établies et conformément au Plan de gestion des risques en cybersécurité de la chaîne d’approvisionnement CIP-013.

Intermountain Power Service Corporation (IPSC) utilise le Plan de gestion des risques en cybersécurité de la chaîne d’approvisionnement et la liste des fournisseurs préqualifiés du LADWP. Pour l’acquisition de systèmes informatiques et de matériel, logiciels, ainsi que de services informatiques et de réseautage associés aux opérations BES auprès d’un fournisseur non couvert par la liste des fournisseurs préqualifiés du LADWP, l’IPSC utilise une procédure supplémentaire de gestion des risques en cybersécurité de la chaîne d’approvisionnement afin d’atténuer les risques de cybersécurité pour le fonctionnement fiable du BES.

CIP-013 Supply Chain Cyber Security Risk Management Plan pdf

CIP-013 FAQ pdf