Czy elektrownie fotowoltaiczne w Polsce są bezpieczne?
O kwestiach bezpieczeństwa rozproszonej generacji w Polsce, zagrożeniach i potrzebach systemu w rozmowie z Gramwzielone.pl opowiada Szymon Witoszek, wiceprezes zarządu Polskiego Stowarzyszenia Fotowoltaiki.
Barbara Blaczkowska: Czy rozproszona generacja w Polsce jest bezpieczna?
Szymon Witoszek, wiceprezes zarządu Polskiego Stowarzyszenia Fotowoltaiki: Poziom bezpieczeństwa rozproszonej generacji w Polsce jest bardzo zróżnicowany i zależy od skali jednostek wytwórczych, wykorzystywanych komponentów oraz sposobu integracji z systemami zdalnego nadzoru i sterowania. Szczególnie istotne są najmniejsze i najbardziej rozproszone jednostki – a wśród nich elektrownie fotowoltaiczne, które ze względu na swoją skalowalność i niski próg kapitałowy stanowią zdecydowanie najliczniejszy i najbardziej rozdrobniony segment rozproszonej generacji. Wiele takich instalacji jest podłączonych do zewnętrznych systemów NMS (Network Management System), często działających na serwerach zlokalizowanych poza UE. Polityki prywatności tych rozwiązań bywają nieprzejrzyste, a niektóre z systemów umożliwiają zdalne sterowanie instalacjami – nie tylko odczyt parametrów. Brakuje przy tym ujednoliconych standardów zabezpieczeń oraz protokołów komunikacyjnych, co powoduje znaczną rozpiętość w poziomie ochrony między różnymi obiektami.
Z drugiej strony silne rozproszenie geograficzne i technologiczne sprawia, że system jako całość jest trudniejszy do zaatakowania w sposób skoordynowany. Nie zmienia to jednak faktu, że brak centralnej odpowiedzialności, niska świadomość użytkowników oraz ograniczone mechanizmy kontrolne po stronie operatorów sieci niskiego napięcia powodują, że wiele najmniejszych jednostek wytwórczych działa dziś bez realnych zabezpieczeń.
Czy poziom bezpieczeństwa takich instalacji fotowoltaicznych zmienia się z czasem?
Poziom bezpieczeństwa tych instalacji może się obniżać z czasem, jeśli nie są objęte regularnym serwisem i aktualizacjami oprogramowania. Starsze systemy nie spełniają często współczesnych wymogów cyberbezpieczeństwa, a ich podatności pozostają niewykryte.
Zagrożenia dla instalacji PV i dostaw energii
Jakie ewentualnie zagrożenia mogą dotyczyć działania rozproszonej generacji (w szczególności PV)?
Najpoważniejsze zagrożenia dotyczą warstwy zdalnego sterowania i integracji rozproszonych jednostek wytwórczych z systemami nadrzędnymi. Ataki mogą być realizowane m.in. przez:
- słabo chronione chmurowe systemy sterowania i nadzoru,
- wyłudzanie lub przechwytywanie danych logowania do kont właścicieli i instalatorów,
- błędy w algorytmach sterowania zagregowanego (np. DCS),
- niezabezpieczony dostęp do przemysłowych sieci komunikacyjnych,
- niechronioną infrastrukturę teletechniczną na terenie instalacji i w przyłączach,
- potencjalne backdoory w falownikach i regulatorach (brak aktualnie dowodów na takie praktyki).
Z perspektywy systemowej szczególne znaczenie mają węzły komunikacji zbiorczej – umożliwiające zdalne, zbiorcze sterowanie ze strony OSD, operatorów O&M oraz agregatorów. Uzyskanie nieautoryzowanego dostępu do tych elementów może doprowadzić do zakłóceń o charakterze skoordynowanym, obejmujących znacznie większy obszar niż pojedyncza instalacja.
Po blackoucie w Hiszpanii pojawiły się analizy przyczyn tego zdarzenia, wśród których wskazywano także udział OZE. Czy rozproszona generacja może zwiększać ryzyko przerw w dostawach energii?
Może, jeśli nie towarzyszy jej odpowiednie zaplecze techniczne i regulacyjne. Podczas blackoutu w Hiszpanii 28 kwietnia 2025 r. wystąpiły oscylacje częstotliwości i napięcia – dwa odrębne, szybkozmienne zaburzenia, których źródło wskazywało na udział źródła o znacznej mocy zakłócającej. System pracował z obniżoną, lecz nie krytycznie niską inercją – pracowały m.in. cztery reaktory jądrowe. Wykluczono cyberatak.
Elektrownie PV, dominujące w strukturze rozproszonej generacji, pracują najczęściej w trybie grid-following, który umożliwia wsparcie systemu (np. poprzez funkcje grid-support), ale nie zapewnia fizycznej inercji i nie tłumi szybkozmiennych zakłóceń częstotliwości. W Hiszpanii znaczna część OZE opiera się na starszych technologiach o ograniczonej zdolności regulacyjnej, a brak jednoznacznych wymogów aktywacji funkcji stabilizujących osłabił reakcję systemu.
Podsumowując: jednostki PV nie są źródłem zakłóceń, ale ich masowe występowanie przy braku koordynacji i wsparcia systemowego (np. dynamicznych rezerw, wymuszonego udziału w regulacji) może utrudniać tłumienie zakłóceń. System z dużym udziałem generacji niesynchronicznej wymaga aktywnego zarządzania elastycznością i precyzyjnego projektowania odporności sieciowej.
Dane o bezpieczeństwie instalacji PV w Polsce
Czy w Polsce analizuje się problem bezpieczeństwa rozproszonej generacji (w tym prosumenckiej)? Na jakim etapie jesteśmy?
W Polsce problem bezpieczeństwa rozproszonej generacji jest rozpoznawany, ale nie przekłada się to na konkretne działania systemowe. Choć przedstawiciele PSE biorą udział w międzynarodowych pracach analitycznych (np. w związku z blackoutem w Hiszpanii), na poziomie krajowym brakuje kompleksowych regulacji dotyczących funkcji grid-support w instalacjach PV. Obecnie ich aktywacja wiąże się wyłącznie z ograniczeniami dla właścicieli, bez jakiejkolwiek rekompensaty. Zamiast zachęt w praktyce stosowane są mechanizmy represyjne – np. ograniczenia mocy lub wyłączenia instalacji przez zabezpieczenia, nawet jeśli technicznie mogłyby one wesprzeć system. Producenci falowników dysponują technologiami umożliwiającymi taką współpracę, jednak brak zarówno wymogów, jak i rynku, który pozwalałby na aktywację i rozliczanie takich funkcji.
Unia Europejska wprowadza regulacje, takie jak dyrektywa NIS2, nakładające obowiązki w zakresie cyberbezpieczeństwa na dostawców systemów zarządzania (np. NMS, DCS). Natomiast kodeksy sieci pozostawiają kwestię bezpieczeństwa komunikacji w gestii operatorów, którzy koncentrują się głównie na standaryzacji warstwy technicznej – protokołów (np. SunSpec) i interfejsów (np. RS485) – nie odnosząc się do kluczowego problemu, jakim jest zdalne sterowanie urządzeniami bez odpowiedniego nadzoru i kontroli dostępu.
Kto ma zdalny dostęp do falowników PV – czy są gromadzone dane na ten temat?
Nie – w Polsce nie prowadzi się żadnych rejestrów ani analiz zbiorczych dotyczących dostępu do falowników i systemów zarządzania instalacjami PV. Brakuje przepisów nakładających obowiązek ujawniania lub raportowania tego typu informacji. Wiele falowników działa zdalnie w oparciu o infrastrukturę dostarczaną przez producentów (często spoza UE), lecz nie ma obecnie dowodów na nadużycia w tym zakresie. Propozycje ograniczenia dostępu dla podmiotów spoza UE – jak postulowane przez SolarPower Europe – mogą poprawić bezpieczeństwo, ale też ograniczyć konkurencję i dostęp konsumentów do funkcji zaawansowanego zarządzania. Z perspektywy polskiego systemu elektroenergetycznego problem ten nie został dotąd rozpoznany ani ujęty w regulacjach sektorowych.
Cyberbezpieczeństwo poza regulacją prawną
Jakie przepisy i normy obowiązują w Polsce w zakresie bezpieczeństwa instalacji PV?
W zakresie technicznym w Polsce stosowane są międzynarodowe normy regulujące bezpieczeństwo produktów i zachowanie urządzeń w sieci – m.in. w odniesieniu do falowników (np. EN IEC 62109) oraz parametrów ich pracy przyłączeniowej (np. EN 50549). Normy te obejmują takie aspekty jak reakcja na zakłócenia, kontrola napięcia i częstotliwości, kompatybilność z PPC. Choć są szeroko uznawane, nie są bezpośrednio powoływane w polskich przepisach.
W zakresie cyberbezpieczeństwa brak jest w Polsce dedykowanych norm dla instalacji PV. Nie istnieje system nadzoru nad dostępem do urządzeń, brak jest regulacji dotyczących autoryzacji zdalnego sterowania czy bezpieczeństwa warstwy komunikacyjnej. Kwestie te nie są ujęte w krajowym prawodawstwie ani w kontekście wdrożenia dyrektywy NIS2. Inicjatywy europejskie oraz rekomendacje branżowe (np. SolarPower Europe) wskazują na konieczność wypracowania standardów sektorowych, ale brak jest ich przełożenia na praktykę krajową.
Kwestie bezpieczeństwa energetycznego będą jednym z tematów poruszanych podczas Kongresu PV 2025, który odbędzie się 26-27 maja w Warszawie. Gramwzielone.pl jest patronem medialnym wydarzenia.
Barbara Blaczkowska
barbara.blaczkowska@gramwzielone.pl
© Materiał chroniony prawem autorskim. Wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy Gramwzielone.pl Sp. z o.o.
Nie,nie są bezpieczne.Ale to mniej rozległy obszar niebezpieczeństwa jakie obecnie za grubą kasę bezmyślnie jest instalowany.Ten większy to liczniki energii te niby inteligentne, a dokładniej ich interfejsy komunikacyjne i infrastrukturą komunikacyjna do jakiej są podpięte. Proszę mi pokazać wyniki stres testu na atak cybernetyczny wykonanego przez niezależny od Spółki energetycznej (ta będzie w zawarte twierdzić jakoby wszystko było bezpiecznie bez testowania) podmiot.
Oczywiście, ze nie są bezpieczne , bo jest bardzo dużo w instalacji małych PV i farm PV z chińskimi inwerterami. Inne kraje zakazują instalacji chińskich inwerterów w tym przede wszystkich na farmach PV w u nas …. Dobrze , że teraz się o tym mówi i zacznie się wymiana chińskich inwerterów na europejskie.. A jest sporo producentów inwerterów również we Francji czy Hiszpanii, Włoch. A u nas promuje się tylko chińskie …Ale polak i po szkodzie ( blackout – Hiszpania Portugalia ) głupi..
NIESTETY NIE SĄ BEZPIECZNE DOPÓKI RZADZI TEN NIERZĄD I PSE CODZIENNIE WYŁĄCZA ELEKTROWNIE PV