North American Electric Reliability Corporation (NERC)North American Electric Reliability Corporation (NERC)

Informazioni sulla NERCAbout the NERC

La North America Electric Reliability Corporation (NERC) è un'ente di certificazione no profit che ha l'obiettivo di garantire l'affidabilità del sistema elettrico nordamericano.The North American Electric Reliability Corporation (NERC) is a nonprofit regulatory authority whose mission is to ensure the reliability of the North American bulk power system. La NERC è soggetta alla supervisione da parte della Federal Energy Regulatory Commission (FERC) statunitense e di autorità governative canadesi.NERC is subject to oversight by the US Federal Energy Regulatory Commission (FERC) and governmental authorities in Canada. Nel 2006, in accordo a quanto stabilito dall'Energy Policy Act del 2005 (US Public Law 109-58), tale commissione ha designato la NERC come Electric Reliability Organization (ERO), dandole così carattere di ufficialità.In 2006, FERC granted the Electric Reliability Organization (ERO) designation to NERC in accordance with the Energy Policy Act of 2005 (US Public Law 109-58). La NERC si occupa dello sviluppo e applicazione di criteri di affidabilità noti come Critical Infrastructure Protection (CIP) standard, ovvero per la protezione di infrastrutture fondamentali.NERC develops and enforces reliability standards known as NERC Critical Infrastructure Protection (CIP) standards.

Microsoft e i CIP standard NERCMicrosoft and the NERC CIP standard

La North America Electric Reliability Corporation (NERC) è un'ente di certificazione no profit che ha l'obiettivo di garantire l'affidabilità del sistema di produzione di energia elettrica nordamericano.The North American Electric Reliability Corporation (NERC) is a nonprofit regulatory authority whose mission is to ensure the reliability of the North American bulk power system. La NERC è soggetta alla supervisione da parte della Federal Energy Regulatory Commission (FERC) statunitense e di autorità governative canadesi.NERC is subject to oversight by the US Federal Energy Regulatory Commission (FERC) and governmental authorities in Canada. Nel 2006, in accordo a quanto stabilito dall'Energy Policy Act del 2005 (US Public Law 109-58), tale commissione ha designato la NERC come Electric Reliability Organization (ERO), dandole così carattere di ufficialità.In 2006, FERC granted the Electric Reliability Organization (ERO) designation to NERC in accordance with the Energy Policy Act of 2005 (US Public Law 109-58). La NERC si occupa dello sviluppo e applicazione di criteri di affidabilità noti come Critical Infrastructure Protection (CIP) standard, ovvero per la protezione di infrastrutture fondamentali.NERC develops and enforces reliability standards known as NERC Critical Infrastructure Protection (CIP) standards.

Ciascun proprietario, operatore e utente del sistema di produzione di energia elettrica deve conformarsi ai CIP standard NERC.All bulk power system owners, operators, and users must comply with NERC CIP standards. È richiesto che tali entità si registrino alla NERC.These entities are required to register with NERC. I provider di servizi cloud e terze parti fornitrici non sono soggetti ai CIP standard NERC, tuttavia sono previsti certi obiettivi da tenere in considerazione qualora le entità registrate si avvalgano di fornitori per le loro operazioni nell'ambito del sistema di produzione di elettricità (BES, Bulk Electric System).Cloud Service Providers and third-party vendors are not subject to NERC CIP standards; however, the CIP standards include goals that should be considered when Registered Entities use vendors in the operation of the Bulk Electric System (BES). I clienti Microsoft che gestiscono sistemi BES sono totalmente responsabili del rispetto dei CIP standard NERC da parte della propria organizzazione.Microsoft customers operating Bulk Electric Systems are wholly responsible for ensuring their own compliance with NERC CIP standards. Né Microsoft Azure né Microsoft Azure per enti pubblici costituiscono un BES o un BES Cyber Asset.Neither Microsoft Azure nor Microsoft Azure Government constitutes a BES or BES Cyber Asset.

Come indicato dalla NERC nell'attuale corpus dei CIP standard e del glossario dei termini NERC, i BES Cyber Asset eseguono funzioni di monitoraggio o controllo del BES in tempo reale, influenzando l'affidabilità del funzionamento del BES stesso entro 15 minuti da una loro eventuale compromissione.As stated by NERC in the current set of CIP standards and the NERC Glossary of Terms, BES Cyber Assets perform real-time functions of monitoring or controlling the BES, and would affect the reliable operation of the BES within 15 minutes of being impaired. Per ospitare nel cloud computing i BES Cyber Asset e i Protected Cyber Asset in modo adeguato, le attuali definizioni fornite dai CIP standard NERC hanno bisogno di essere riviste.To properly accommodate BES Cyber Assets and Protected Cyber Assets in cloud computing, existing definitions in NERC CIP standards would need to be revised. Tuttavia, esistono molti carichi di lavoro che trattano dati relativi ai CIP, ma che non rientrano nell'ambito della regola dei 15 minuti; per esempio, la vasta categoria BCSI (BES Cyber System Information).However, there are many workloads that deal with CIP sensitive data and do not fall under the 15-minute rule, including the broad category of BES Cyber System Information (BCSI).

Azure e Azure per enti pubblici sono idonei per quelle entità registrate che distribuiscono certi carichi di lavoro seguendo i CIP standard NERC, inclusi i carichi di lavoro BCSI.Azure and Azure Government are suitable for Registered Entities deploying certain workloads subject to NERC CIP standards, including BCSI workloads. Microsoft rende disponibili i seguenti documenti a tutte le entità registrate, interessate alla distribuzione di dati e carichi di lavoro in Azure o Azure per enti pubblici nel rispetto degli obblighi di conformità ai CIP standard NERC:Microsoft makes the following documents available to Registered Entities interested in deploying data and workloads subject to NERC CIP compliance obligations in Azure or Azure Government:

  • Il white paper CIP standard NERC e cloud computing, che include considerazioni in materia di conformità a tali requisiti basandosi su controlli effettuati da terzi e applicabili ai provider di servizi cloud, come ad esempio gli audit di FedRAMP.NERC CIP Standards and Cloud Computing is a white paper that discusses compliance considerations for NERC CIP requirements based on established third-party audits that are applicable to cloud service providers such as FedRAMP. Il documento tratta del controllo dei precedenti per le risorse impegnate in operazioni relative al cloud, rispondendo alle più domande comuni in materia di isolamento logico e multi-tenancy, di interesse per le entità registrate.It covers background screening for cloud operations personnel and answers common question about logical isolation and multitenancy that are of interest to Registered Entities. Vi trova spazio anche un paragone fra la sicurezza per la distribuzione locale piuttosto che cloud.It also addresses security considerations for on-premises vs. cloud deployment.
  • La Guida all'implementazione cloud per controlli NERC è un documento orientativo che fornisce la verifica del mapping tra i requisiti dei CIP standard NERC correnti e il set di controllo NIST SP 800-53 Rev 4, che costituisce la base di analisi per FedRAMP.Cloud Implementation Guide for NERC Audits is a guidance document that provides control mapping between the current set of NERC CIP standards requirements and the NIST SP 800-53 Rev 4 control set that forms the basis for FedRAMP. È stato concepito come una guida tecnica pratica per avvicinare le entità registrate ai requisiti di conformità CIP NERC per le risorse distribuite nel cloud.It is designed as technical how-to guidance to help Registered Entities address NERC CIP compliance requirements for assets deployed in the cloud. Il documento contiene i fogli di lavoro precompilati Reliability Standard Audit Worksheets (RSAWs) per le verifiche di affidabilità, i quali spiegano l'approccio di Azure nel controllo dei requisiti CIP NERC, fornendo inoltre alle entità registrate indicazioni su come utilizzare i servizi di Azure per implementare i controlli di cui devono occuparsi.The document contains pre-filled Reliability Standard Audit Worksheets (RSAWs) narratives that help explain how Azure controls address NERC CIP requirements, and guidance for Registered Entities on how to use Azure services to implement controls that they own.

La divisione ERO Enterprise della NERC ha rilasciato una guida pratica al CMEP (Compliance Monitoring and Enforcement Program), il programma di monitoraggio e applicazione della conformità, in modo da fornire al proprio personale indicazioni utili alla valutazione del processo di autorizzazione di un'entità registrata per l'accesso alle posizioni di archiviazione di BCSI designate e per eventuali controlli di accesso implementati dalla stessa.The NERC ERO Enterprise released a Compliance Monitoring and Enforcement Program (CMEP) practice guide to provide guidance to ERO Enterprise CMEP staff when assessing a Registered Entity's process to authorize access to designated BCSI storage locations and any access controls the Registered Entity implemented. Inoltre, la NERC ha esaminato i dettagli dell'implementazione del controllo di Azure e le prove di controllo di FedRAMP relative agli standard CIP-004-6 e CIP-011-2 applicabili a BCSI.Moreover, NERC reviewed Azure control implementation details and FedRAMP audit evidence related to NERC CIP-004-6 and CIP-011-2 standards that are applicable to BCSI. Considerando la guida pratica rilasciata dall'ERO e la revisione dei controlli di FedRAMP con la finalità di garantire che le entità registrate criptino i dati, non risultano necessarie ulteriori indicazioni o chiarimenti circa la distribuzione nel cloud dei carichi di lavoro BCSI e di carichi associati.Based on the ERO-issued practice guide and reviewed FedRAMP controls to ensure that Registered Entities encrypt their data, no additional guidance or clarification is needed for Registered Entities to deploy BCSI and associated workloads in the cloud. Tuttavia, in ultima analisi, le entità registrate sono responsabili della propria conformità ai CIP standard NERC sulla base dei fatti e circostanze a loro noti.However, Registered Entities are ultimately responsible for compliance with NERC CIP standards according to their own facts and circumstances. Si invitano le entità registrate a esaminare la Guida all'implementazione cloud per controlli NERC, per assistenza nella documentazione dei propri processi e prove volti ad autorizzare l'accesso elettronico alle posizioni di archiviazione BCSI, inclusa la gestione della chiave usata per la crittografia di BCSI in Azure e Azure per enti pubblici.Registered Entities should review the Cloud Implementation Guide for NERC Audits for help with documenting their processes and evidence used to authorize electronic access to BCSI storage locations, including encryption key management used for BCSI encryption in Azure and Azure Government.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Microsoft è tenuta a ricertificare i suoi servizi cloud ogni anno per mantenere le proprie autorizzazioni P-ATO e ATO.Microsoft is required to recertify its cloud services each year to maintain its P-ATOs and ATOs. A tal fine, Microsoft deve monitorare e valutare costantemente i propri controlli di sicurezza e dimostrare il mantenimento della conformità.To do so, Microsoft must monitor and assess its security controls continuously, and demonstrate that it remains in compliance.

Come eseguire l'implementazioneHow to implement

CIP standard NERC e cloud computingNERC CIP Standards and Cloud Computing

Tratta della conformità delle entità registrate considerando l'adozione di sistemi cloud per i carichi di lavoro soggetti ai CIP standard NERC.Addresses compliance for Registered Entities considering cloud adoption for workloads subject to NERC CIP standards.

Ulteriori informazioniLearn more

Guida all'implementazione cloud per controlli NERCCloud Implementation Guide for NERC Audits

Indicazioni tecniche per aiutare le entità registrate con i controlli NERC sulle risorse distribuite in Azure o Azure per enti pubblici.Technical guidance helps Registered Entities with NERC audits of assets deployed in Azure or Azure Government.

Ulteriori informazioniLearn more

Domande frequentiFrequently asked questions

Su chi ricade la responsabilità del rispetto dei CIP standard NERC?Who is responsible for compliance with NERC CIP standards?

Ciascun proprietario, operatore e utente del sistema di produzione di energia elettrica deve conformarsi ai CIP standard NERC.All bulk power system owners, operators, and users must comply with NERC CIP standards. È richiesto che tali entità si registrino alla NERC.These entities are required to register with NERC. I provider di servizi cloud e terze parti fornitrici non sono soggetti ai CIP standard NERC, tuttavia sono previsti certi obiettivi da tenere in considerazione qualora le entità registrate si avvalgano di fornitori per le loro operazioni nell'ambito del sistema di produzione di elettricità (BES, Bulk Electric System).Cloud Service Providers and third-party vendors are not subject to NERC CIP standards; however, the CIP standards include goals that should be considered when Registered Entities use vendors in the operation of the Bulk Electric System (BES). I clienti Microsoft che gestiscono sistemi BES sono totalmente responsabili del rispetto dei CIP standard NERC da parte della propria organizzazione.Microsoft customers operating Bulk Electric Systems are wholly responsible for ensuring their own compliance with NERC CIP standards. Né Azure né Azure per enti pubblici costituiscono un BES o un BES Cyber Asset.Neither Azure nor Azure Government constitutes a BES or BES Cyber Asset.

Per valutare l'idoneità di Azure e Azure per enti pubblici a trattare i dati e i carichi di lavoro soggetti ai CIP standard NERC, si invita le entità registrate a consultare i propri responsabili della conformità e i revisori della NERC.To assess the suitability of Azure and Azure Government for data and workloads subject to NERC CIP standards, Registered Entities should consult with their own compliance officers and NERC auditors. Si invita inoltre a leggere la Guida all'implementazione cloud per controlli NERC, per assistenza nella documentazione dei propri processi e delle prove per le risorse distribuite nel cloud.They should review the Cloud Implementation Guide for NERC Audits for help with documenting their processes and evidence for assets deployed in the cloud.

Quali carichi di lavoro possono distribuire su Azure e Azure per enti pubblici le entità registrate?What workloads can Registered Entities deploy on Azure and Azure Government?

I CIP standard NERC e il glossario dei termini afferma che i BES Cyber Asset eseguono funzioni di monitoraggio o controllo del BES in tempo reale e che, nel caso di una loro compromissione, nel giro di 15 minuti vanno a influenzare l'affidabilità del funzionamento del BES stesso.The NERC CIP standards and Glossary of Terms state that BES Cyber Assets perform real-time functions of monitoring or controlling the BES, and that if impaired would, within 15 minutes, affect the reliable operation of the BES. Per ospitare nel cloud computing i BES Cyber Asset e i Protected Cyber Asset in modo adeguato, le attuali definizioni fornite dai CIP standard NERC hanno bisogno di essere riviste.To properly accommodate BES Cyber Assets and Protected Cyber Assets in cloud computing, existing definitions in NERC CIP standards would need to be revised. Tuttavia, esistono molti carichi di lavoro che trattano dati relativi ai CIP, ma che non rientrano nell'ambito della regola dei 15 minuti; per esempio, la vasta categoria BCSI (BES Cyber System Information).However, there are many workloads that deal with CIP sensitive data and do not fall under the 15-minute rule, including the broad category of BES Cyber System Information (BCSI).

La divisione ERO Enterprise della NERC ha rilasciato una guida pratica al CMEP (Compliance Monitoring and Enforcement Program), il programma di monitoraggio e applicazione della conformità, in modo da fornire al proprio personale indicazioni utili alla valutazione del processo di autorizzazione di un'entità registrata per l'accesso alle posizioni di archiviazione di BCSI designate e per eventuali controlli di accesso implementati dalla stessa.The NERC ERO Enterprise released a Compliance Monitoring and Enforcement Program (CMEP) practice guide to provide guidance to ERO Enterprise CMEP staff when assessing a Registered Entity's process to authorize access to designated BCSI storage locations and any access controls the Registered Entity implemented. Inoltre, la NERC ha esaminato i dettagli dell'implementazione del controllo di Azure e le prove di controllo di FedRAMP relative agli standard CIP-004-6 e CIP-011-2 applicabili a BCSI.Moreover, NERC reviewed Azure control implementation details and FedRAMP audit evidence related to NERC CIP-004-6 and CIP-011-2 standards that are applicable to BCSI. Considerando la guida pratica rilasciata dall'ERO e la revisione dei controlli di FedRAMP con la finalità di garantire che le entità registrate criptino i dati, non risultano necessarie ulteriori indicazioni o chiarimenti per la distribuzione nel cloud dei carichi di lavoro BCSI e dei carichi associati.Based on the ERO issued practice guide and reviewed FedRAMP controls to ensure that Registered Entities encrypt their data, no additional guidance or clarification is needed for Registered Entities to deploy BCSI and associated workloads in the cloud. Tuttavia, in ultima analisi, le entità registrate sono responsabili della propria conformità ai CIP standard NERC sulla base dei fatti e circostanze a loro noti.However, Registered Entities are ultimately responsible for compliance with NERC CIP standards according to their own facts and circumstances.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources