A CIP-003-8 célja, hogy egyenszilárd és fenntartható kontroll-rendszert nyújtson a nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System - BES) működését biztosító informatikai rendszerek számára azok ellen a támadások ellen, amik üzemeltetési problémákat vagy stabilitási gondokat okozhatnak a rendszerben.

A CIP-003-8 keretében megfogalmazott követelmények alapján a CIP hatálya alá tartozó szervezeteknél egy erre kijelölt felsővezetőnek legalább 15 havonta felül kell vizsgálnia az alábbi kiberbiztonsági szabályokat tartalmazó szabályzati elemeket.

A CIP-002-5.1a alapján magas és közepes szintre besorolt rendszerelemek esetén:

- Személyzeti és képzési szabályok (CIP-004-6);
- Elektronikus határvédelmi rendszerek és távoli hozzáférést biztosító rendszerek szabályai (CIP-005-6);
- A nagyfeszültségű villamosenergia-rendszer fizikai biztonsági szabályai (CIP-006-6);
- Informatikai rendszerek biztonság menedzsmentje (CIP-007-6);
- Informatikai incidensek bejelentésének és kezelésének rendje (CIP-008-6);
- A nagyfeszültségű villamosenergia-rendszer helyreállítási tervei (CIP-009-6);
- Konfiguráció változáskezelés és sérülékenységek tesztelési tesztjei (CIP-010-3);
- Információ védelem (CIP-011-2);
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-002-5.1a alapján alacsony szintre besorolt rendszerelemek esetén:

- Biztonságtudatosság;
- Fizikai biztonsági kontrollok;
- Elektronikus hozzáférési kontrollok;
- Kiberbiztonsági incidenskezelés;
- Ideiglensen használt informatikai eszközök és adathordozók kártékony kód elleni védelme;
- CIP kivételes körülmények elrendelésének és kezelésének szabályai.

A CIP-003-8 a fentieken túl számos referencia modellt is tartalmaz, amelyeken bemutatja, hogyan kell a NERC CIP előírásainak megfelelően kialakítani a magas/közepes/alacsony szintre besorolt eszközök hálózati hozzáférés-kontrolljait.

A CIP-003 jelenleg (2022.03.10-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-003-8.pdf