Mikroinstalacje PV pod lupą UE: koniec tanich rozwiązań, początek ery cyberbezpieczeństwa

Ponad 1,6 mln mikroinstalacji fotowoltaicznych w Polsce to nie tylko sukces transformacji energetycznej, ale i rosnące wyzwanie dla bezpieczeństwa cyfrowego. Wraz z wejściem w życie nowych regulacji unijnych – takich jak CRA, NIS2 i RED – branża OZE staje przed koniecznością radykalnej zmiany podejścia: od „taniej i szybkiej” technologii do rozwiązań projektowanych zgodnie z zasadą security by design.

W ciągu ostatnich 10 lat Polska wykonała ogromny skok w rozwoju odnawialnych źródeł energii. Według ostatniego raportu Urzędu Regulacji Energetyki mamy dziś ponad 1,6 mln mikroinstalacji PV o mocy przekraczającej 13 GW. To fundament transformacji energetycznej i większej niezależności energetycznej kraju.

Jednocześnie wraz z rozwojem rynku pojawia się nowe, często niedocenione wyzwanie: cyberbezpieczeństwo. Musimy sobie uświadomić, że tego typu instalacje są elementem infrastruktury krytycznej. Nowoczesna instalacja PV to już nie tylko falownik, ale cały ekosystem, w tym m.in.:

REKLAMA

• magazyn energii,
• system EMS,
• komunikacja (WiFi, LTE, RS485),
• chmura i aplikacje mobilne.

Każdy z tych elementów jest podłączony do sieci internetowej i podatny na cyberataki. Co więcej, przejęcie kontroli nad mikroinstalacjami w skali masowej może wpłynąć na stabilność systemu elektroenergetycznego. Innymi słowy: mikroinstalacje przestają być instalacjami mikro z punktu widzenia cyberbezpieczeństwa.

Dlaczego powstały nowe regulacje w UE?

Wiele urządzeń Internetu Rzeczy (Internet of Things, IoT), w tym te dla energetyki, było projektowanych bez podejścia „security by design”. W efekcie powstały miliony podłączonych do internetu, podatnych na ataki urządzeń. Unia Europejska odpowiedziała na to systemowo, wprowadzając nowe regulacje, tj.:

• CRA (Cyber-Resilience Act) – definiujące bezpieczeństwo produktu,
• NIS2 (Network and Information Security Directive 2) – bezpieczeństwo organizacji i infrastruktury oraz
• RED (Radio Equipment Directive) – bezpieczeństwo urządzeń komunikujących się radiowo.

Wspólnym celem tych wszystkich regulacji jest wymuszenie cyberbezpieczeństwa na całym rynku energetycznym – od producenta OEM do operatora sieci dystrybucyjnej czy agregatora usług elastyczności. W tym momencie większość tych regulacji już obowiązuje albo właśnie wchodzi w życie, a firmy działające w branży OZE powinny znać wynikające z nich obowiązki.

Cyber-Resilience Act (CRA)

CRA definiuje, że produkt musi być bezpieczny w całym cyklu wytwarzania i dostarczania do klienta. Każde urządzenie w ramach ekosystemu PV, tj. falownik, system EMS, magazyn energii czy ładowarka:

• musi być projektowane zgodnie z zasadami security by design,
• musi mieć procesy zarządzania podatnościami (aktualizacja OTA, łatki),
• podlega ocenie zgodności (często z udziałem jednostki notyfikowanej).

Tutaj warto dodać, że elementy PV stanowią produkt klasy II (ważny), przez co wymagana jest formalna certyfikacja w ramach CRA, a nie tylko deklaracja zgodności w ramach self-assessment.

Dyrektywa NIS 2

NIS 2 definiuje bezpieczeństwo całego systemu i głównie odnosi się do kluczowych firm świadczących usługi m.in. operatorów energetycznych, tj. OSD, agregatorów usług elastyczności czy wirtualnych elektrowni (VPP). Firmy objęte NIS 2 muszą:

• zapewnić procesy zarządzania ryzykiem,
• raportować incydenty do krajowego CSIRT (zespołu reagowania na incydenty bezpieczeństwa komputerowego) oraz
• spełniać rygorystyczne wymagania bezpieczeństwa.

Powyższe wymogi wobec operatorów przekładają się na to, że będą oni wymagać od dostawców cyberbezpiecznego sprzętu i oprogramowania zgodnego z regulacjami produktowymi (tj. CRA czy RED), co pozwoli im na bezpieczne świadczenie usług kluczowych.

REKLAMA

Radio Equipment Directive (RED)

Dyrektywa dla urządzeń wyposażonych w komunikację bezprzewodową (RED) ma z założenia położyć kres „dziurom” w systemach zabezpieczeń urządzeń radiowych.

Zgodnie z jej zapisami każde urządzenie z WiFi lub LTE:

• musi chronić dane użytkownika,
• nie może destabilizować sieci oraz
• musi być odporne na ataki.

Dyrektywa bezpośrednio obejmuje inwertery PV oraz systemy EMS.

Co to oznacza dla rynku OZE i nowych programów dotacyjnych?

Możemy przyjąć założenie, że wszystkie nowe programy w tym planowany program wsparcia magazynów energii, będą coraz silniej powiązane z wymaganiami UE. W praktyce oznacza to, że model „najtańszy inwerter + rozwiązanie chmurowe poza EOG i aplikacja” jest zastępowany rozwiązaniem zgodnym z regulacjami UE – cyberbezpiecznym i certyfikowanym. Odnosi się to głównie do elementów komunikacyjnych oraz systemów zdalnego zarządzania, takich jak systemy EMS.

Nie oznacza to, że producenci spoza UE nie maja szansy uczestniczyć dalej w rynku OZE, ale na pewno będzie to stanowiło dla nich duże wyzwanie i łatwiej będzie im spełnić wymogi, współpracując z lokalnymi dostawcami sprzętu komunikacyjnego i oprogramowania.

Cyberbezpieczeństwo przestaje być dodatkiem, a staje się warunkiem dopuszczenia do rynku. Producenci mają już teraz obowiązek projektowania i dostarczania bezpiecznych produktów, instalatorzy odpowiedzialni są za wybór technologii, a na kliencie końcowym spoczywa realne ryzyko wyboru niezgodnych rozwiązań.

Na pewno w najbliższym czasie będziemy świadkiem przejścia od niekontrolowanych rozwiązań do bezpiecznego, regulowanego ekosystemu OZE, co powinno mieć pozytywne skutki zarówno dla całego systemu elektroenergetycznego, jak i samego użytkownika.

Tomasz Leszczyński | Chief Technology Officer (CTO) w zeronest

redakcja@gramwzielone.pl