Dostawca Wysokiego Ryzyka – tykająca bomba w inwestycjach OZE

Nowe przepisy o cyberbezpieczeństwie zawarte w implementowanej właśnie do polskiego prawa dyrektywie NIS2 mogą wywrócić rynek odnawialnych źródeł energii do góry nogami. Inwestorzy, którzy dziś kierują się wyłącznie ceną technologii, jutro mogą zapłacić podwójnie — za jej zakup i przymusową wymianę.

Na początku marca prezydent podpisał ustawę wdrażającą dyrektywę NIS2, która znacząco rozszerza obowiązki w zakresie cyberbezpieczeństwa w Polsce i wprowadza nową jakość regulacyjną dla sektora infrastruktury krytycznej.

Nowe przepisy obejmą szeroki katalog podmiotów uznawanych za kluczowe i ważne, w tym przedsiębiorstwa z sektora energetycznego oraz branży odnawialnych źródeł energii. W praktyce oznacza to konieczność wdrażania kompleksowych systemów zarządzania ryzykiem cyberbezpieczeństwa, budowania procedur reagowania na incydenty oraz ich obowiązkowego raportowania do właściwych instytucji.

REKLAMA

Ustawa wzmacnia również kompetencje organów państwa w zakresie nadzoru i kontroli, a także przewiduje dotkliwe sankcje finansowe za niedopełnienie obowiązków. Całość wpisuje się w szerszy trend zwiększania odporności państwa na zagrożenia cyfrowe przez lepszą koordynację instytucji i standaryzację wymogów bezpieczeństwa. Więcej na ten temat w artykule: Ustawa wdrażająca NIS2 podpisana przez prezydenta. Co to oznacza dla branży OZE?

Jednak – jak zwrócił uwagę jeden z naszych czytelników – w debacie publicznej pomijany jest niezwykle istotny element nowych regulacji, jakim jest mechanizm Dostawcy Wysokiego Ryzyka. W praktyce oznacza on, że w przypadku uznania danego producenta – na przykład dostawcy falowników spoza UE – za podmiot stwarzający zagrożenie, inwestorzy mogą zostać zobowiązani do wymiany już zainstalowanych urządzeń na własny koszt.

To spostrzeżenie istotnie zmienia perspektywę oceny nowych przepisów i pokazuje, że ryzyka regulacyjne mogą być znacznie głębsze, niż wynika to z ogólnych zapisów ustawy. O komentarz w tej sprawie poprosiliśmy Rafała Barańskiego, CEO braf.tech.

Dostawca Wysokiego Ryzyka – ukryty mechanizm ustawy

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza pojęcie Dostawcy Wysokiego Ryzyka (DWR), które w praktyce może stać się jednym z najważniejszych narzędzi oddziaływania państwa na rynek technologii wykorzystywanych w energetyce.

Mechanizm ten pozwala na formalne uznanie producenta sprzętu lub oprogramowania za podmiot stwarzający zagrożenie dla bezpieczeństwa państwa, co bezpośrednio przekłada się na możliwość ograniczenia lub eliminacji jego produktów z rynku.

– To temat szczególnie wrażliwy dla branży OZE, która w dużym stopniu opiera się na komponentach pochodzących z rynków azjatyckich – podkreśla Rafał Barański, CEO braf.tech.

W praktyce oznacza to, że decyzje regulacyjne mogą bezpośrednio wpłynąć na funkcjonowanie tysięcy instalacji już działających na rynku.

Decyzja polityczna, nie tylko techniczna

Kluczowym elementem mechanizmu Dostawcy Wysokiego Ryzyka jest fakt, że proces uznania dostawcy za podmiot wysokiego ryzyka nie ma charakteru wyłącznie technicznego i nie opiera się jedynie na analizie podatności systemów czy jakości zabezpieczeń. Decyzja ta ma wymiar strategiczny i jest podejmowana przez Ministra Cyfryzacji po zasięgnięciu opinii Kolegium ds. Cyberbezpieczeństwa, co nadaje jej wyraźnie polityczny i geopolityczny charakter.

– Pod uwagę brane są nie tylko aspekty techniczne, ale również pozatechniczne, takie jak prawdopodobieństwo, że dostawca znajduje się pod kontrolą państwa spoza UE lub NATO. Na ten moment żaden z popularnych dostawców falowników nie został oficjalnie uznany za DWR, ale przepisy dają taką możliwość w przyszłości – podkreśla Rafał Barański.

7 lat na wymianę – pozorny komfort

Jak podkreśla Rafał Barański, po wydaniu decyzji o uznaniu dostawcy za DWR podmioty objęte regulacją nie będą mogły nabywać nowych urządzeń od tego dostawcy, natomiast sprzęt już zainstalowany będzie mógł funkcjonować przez określony czas, zanim zostanie obowiązkowo wycofany z użytkowania.

– To nie stanie się z dnia na dzień. Ustawodawca przewidział okresy przejściowe, które mają ograniczyć szok dla rynku – tłumaczy Rafał Barański.

Standardowy okres na wymianę wynosi siedem lat, natomiast w przypadku funkcji uznanych za krytyczne dla bezpieczeństwa państwa termin ten może zostać skrócony do czterech lat. Choć na pierwszy rzut oka wydaje się to rozwiązaniem kompromisowym, w praktyce może generować istotne wyzwania operacyjne i finansowe, zwłaszcza w przypadku dużych instalacji przemysłowych.

– Terminy te zostały dobrane tak, aby pokrywały się z naturalnym cyklem życia technologii, ale w praktyce nie zawsze będą spójne z cyklem życia całych inwestycji OZE – zaznacza CEO braf.tech.

REKLAMA

Największy problem: kto za to zapłaci?

Najbardziej kontrowersyjnym i jednocześnie najbardziej dotkliwym elementem regulacji jest brak jakiegokolwiek mechanizmu rekompensat dla inwestorów, którzy zostaną zmuszeni do wymiany infrastruktury. Ustawa w obecnym kształcie jednoznacznie przenosi pełne ryzyko finansowe na podmioty korzystające z technologii uznanych później za niebezpieczne.

Ustawa obecnie nie przewiduje mechanizmu odszkodowań za konieczność wymiany sprzętu od dostawcy uznanego za DWR. Koszt takiej operacji rzeczywiście spoczywa na podmiocie objętym ustawą (inwestorze/operatorze). Dlatego tak ważna jest dzisiaj staranna analiza łańcucha dostaw już na etapie planowania inwestycji lub modernizacji

– mówi Rafał Barański.

W praktyce oznacza to konieczność poniesienia kosztów demontażu, zakupu nowych urządzeń, ich instalacji oraz potencjalnych przestojów operacyjnych.

Dla wielu projektów, szczególnie tych finansowanych długiem, może to oznaczać poważne zaburzenie modeli finansowych i konieczność renegocjacji warunków kredytowych lub umów inwestycyjnych.

Inwestorzy muszą zmienić sposób myślenia

Nowe regulacje w sposób fundamentalny zmieniają logikę podejmowania decyzji inwestycyjnych w sektorze OZE. Dotychczas dominującymi kryteriami były cena, efektywność technologiczna oraz dostępność komponentów. Obecnie coraz większego znaczenia nabierają czynniki związane z bezpieczeństwem, stabilnością łańcucha dostaw oraz ryzykiem geopolitycznym.

– Cena i parametry techniczne przestają być jedynymi kryteriami wyboru. Coraz większe znaczenie ma to, skąd pochodzi technologia i jakie ryzyka polityczne się z nią wiążą – podkreśla Rafał Barański.

W praktyce oznacza to konieczność prowadzenia pogłębionej analizy dostawców, uwzględniającej ich pochodzenie, strukturę właścicielską oraz potencjalną ekspozycję na decyzje polityczne. Coraz większą rolę będą odgrywać również zapisy umowne, które powinny zabezpieczać inwestorów na wypadek uznania danego producenta za DWR.

– Warto wprowadzać do umów z dostawcami odpowiednie klauzule zabezpieczające na wypadek uznania ich za DWR, a w procesach zakupowych dywersyfikować źródła komponentów – dodaje CEO braf.tech.

Narzędzie bezpieczeństwa czy ryzyko dla rynku?

Z punktu widzenia państwa mechanizm Dostawcy Wysokiego Ryzyka stanowi istotne narzędzie ochrony infrastruktury krytycznej przed zagrożeniami, które mogą mieć charakter zarówno cybernetyczny, jak i polityczny. W dobie rosnącej cyfryzacji energetyki oraz integracji systemów zarządzania potencjalna możliwość zdalnego zakłócenia pracy instalacji staje się realnym zagrożeniem.

Mechanizm DWR to potężne narzędzie w rękach państwa, które ma chronić naszą sieć energetyczną przed potencjalnym zdalnym paraliżem. Dla branży OZE oznacza to konieczność jeszcze głębszej analizy ryzyka przy wyborze technologii, ponieważ błąd na etapie zakupów może za kilka lat odbić się na rentowności całego projektu

– ocenia Rafał Barański.

W konsekwencji decyzje podejmowane dziś przez inwestorów będą miały długofalowe skutki nie tylko finansowe, ale również regulacyjne i operacyjne, a ich wpływ może ujawnić się dopiero po wielu latach funkcjonowania instalacji.