З 1 жовтня 2020 року LADWP зобов'язана дотримуватися стандарту захисту критичної інфраструктури (CIP) Північноамериканської корпорації з надійності електроенергетики (NERC). Відповідно до стандарту CIP-013 та Плану управління ризиками кібербезпеки ланцюга поставок LADWP CIP-013, LADWP повинна впровадити зміни до свого процесу закупівель та попередньо кваліфікувати постачальників, які беруть участь у тендерах на закупівлю кіберактивів, обладнання, програмного забезпечення або послуг, що підтримують систему оптової електроенергії.
Масова електрична система визначається як обладнання та системи керування, необхідні для роботи взаємопов'язаної мережі електроенергії, включаючи системи виробництва, передачі та взаємоз'єднання електроенергії, а також усе пов'язане з ними програмне забезпечення та обладнання, що використовуються для керування та роботи напругою 100 кВ або вище.
Щоб пройти попередню кваліфікацію LADWP, постачальники повинні надати інформацію про профіль ризиків кібербезпеки, який буде оцінено LADWP. Ця оцінка включає оцінку організації постачальника, контролю доступу, технічних засобів контролю, реагування на інциденти, безпеки мережі та загального стану безпеки.
Усі Запрошення до участі в торгах та запити на пропозиції LADWP щодо закупівлі кіберактивів, обладнання, програмного забезпечення або послуг, що підтримують систему Bulk Electric System, будуть рекламуватися виключно постачальникам, які перебувають у попередньо кваліфікованому списку кіберпостачальників LADWP.
Постачальники, які бажають пройти попередню кваліфікацію LADWP, повинні переглянути документ під назвою LADWP – Нове положення про закупівлю кіберактивів та послуг, а потім надіслати електронного листа на адресу [email protected], щоб розпочати процес оцінки. Поточні постачальники можуть перевірити свій статус попередньої кваліфікації CIP-013, перевіривши сторінку свого профілю на зареєстрованому обліковому записі LADWP eRSP. Якщо вам потрібна додаткова допомога щодо вашого профілю, зверніться до Центру зв’язку з постачальниками LADWP за адресою [email protected].
LADWP управлятиме всіма властивими та залишковими ризиками на основі усталених практик та відповідно до Плану управління кіберризиками безпеки ланцюга поставок CIP-013.
Корпорація Intermountain Power Service Corporation (IPSC) використовує План управління ризиками кібербезпеки ланцюга поставок та Список попередньо кваліфікованих постачальників LADWP. Для закупівлі обчислювальних систем та апаратного та програмного забезпечення для систем промислового керування, а також обчислювальних і мережевих послуг, пов'язаних з функціонуванням BES, у постачальника, який не включений до попередньо кваліфікованого списку постачальників LADWP, IPSC використовує Додаткову процедуру управління ризиками кібербезпеки ланцюга поставок для зменшення ризиків кібербезпеки для надійної роботи BES.