Un proiect legislativ susținut de 25 de parlamentari PNL și PSD propune stabilirea unor reguli stricte de securitate cibernetică pentru accesul la rețea al producătorilor de energie regenerabilă. Inițiativa a generat proteste din partea prosumatorilor, care acuză statul de încercarea de a controla echipamentele personale. Într-un interviu pentru HotNews, inițiatorul proiectului, deputatul PSD Mădălin Borș, a precizat că măsura are ca scop de fapt protecția prosumatorilor împotriva riscului ca, în orice moment, companiile din China, furnizori ai echipamentelor, să oprească complet producția, fără posibilitatea de intervenție.
În octombrie, HotNews a relatat despre un proiect legislativ înaintat de 25 de senatori și deputați PNL și PSD, care urmărește modificarea legii-cadru pentru energie electrică și gaze naturale (Legea 123/2012) pentru a impune norme de securitate cibernetică producătorilor de energie din surse regenerabile, norme încă nereglementate.
Proiectul stabilește „reguli de securitate cibernetică pentru accesul la rețea în cazul energiei electrice generate din surse regenerabile și cogenerare de înaltă eficiență”:
„Directoratul Național de Securitate Cibernetică (…) stabilește reguli tehnice de securitate cibernetică prin ordin al directorului pentru accesul garantat la rețelele electrice și dispecerizarea prioritară a energiei produsă din surse regenerabile și cogenerare de înaltă eficiență (…) în centrale cu puteri instalate până la 1 MW, fără a afecta siguranța sistemului energetic național (SEN)”, se propune să modifice această lege.
Asociația Prosumatorilor și Comunităților de Energie din România susține că această inițiativă reprezintă de fapt o încercare a statului de a prelua controlul echipamentelor instalate de micii producători, persoane fizice, și îndeamnă la trimiterea de petiții legislative pentru dezbatere, nu pentru adoptare tacită.
„Practic, prevederile din proiect permit statului și distribuitorilor de energie să oprească sau să diminueze de la distanță sistemele fotovoltaice ale cetățenilor”, informează un comunicat al asociației.
Într-un interviu, deputatul PSD Mădălin Borș afirmă că proiectul ajută de fapt prosumatorii, întrucât, în prezent, există risc de atac cibernetic care le-ar putea afecta producția fără posibilitatea de intervenție, fiindcfi echipamente aduse aproape în totalitate din China, neinspecționate din punct de vedere cibernetic.
Echipamentele instalate anterior de prosumatori nu vor fi supuse verificărilor
Borș evidențiază că echipamentele instalate până acum de peste 260.000 de prosumatori nu pot fi verificate retroactiv, fiindcă nicio legislație nu prevede astfel de verificări. Inițiativa legislativă impune producătorilor și furnizorilor de echipamente obținerea avizului DNSC înainte de comercializare pe piața românească, începând cu adoptarea legii.
Echipamentele pentru producția de energie peste 1 MW sunt deja auditate conform legii, însă pentru cele sub această capacitate nu există reglementări specifice, explică deputatul.
Cu peste 400.000 de astfel de echipamente instalate și cu o tendință de creștere, această situație poate deveni o problemă atât pentru prosumatori, cât și pentru securitatea întregului sistem energetic național.
Europa manifestă îngrijorări cu privire la potențialul întreruperilor energetice provocate de echipamentele chinezești
În scenariul cel mai pesimist, există riscul ca toate aceste echipamente să fie dezactivate de la distanță de companiile chinezești, fără posibilitatea de intervenție, a subliniat Borș.
Discuțiile nu sunt limitate la România. „Europa devine tot mai îngrijorată că Huawei ar putea opri alimentarea”, scrie Politico.
Gigantul chinez se află în centrul unor controverse de securitate privind rețelele energetice europene. Parlamentarii îi recomandă Comisiei Europene restricționarea furnizorilor de risc ridicat în sectorul energiei solare.
În SUA, experți în securitate cibernetică avertizează asupra vulnerabilităților dispozitivelor chineze în panourile fotovoltaice, susceptibile la atacuri hacker, care pot duce la întreruperi dramatice ale alimentării cu energie, conform Washington Post.
Peste 90% din panourile fotovoltaice globale sunt provenite din China, iar Agenția Internațională pentru Energie avertizează asupra riscurilor de securitate legate de dependența față de un singur furnizor de echipamente.
Borș: „Inițiativa vine cu întârziere de trei ani”
HotNews: Care este scopul real al acestei propuneri legislative și de ce este necesară verificarea echipamentelor prosumatorilor?
Mădălin Borș: Această propunere legislativă a fost întârziată cel puțin trei ani. DNSC, autoritatea națională pentru securitatea cibernetică, ar fi trebuit să stabilească standarde și mecanisme de control din 2021, odată cu înființarea sa.
Creșterea rapidă a tehnologiilor, numărul tot mai mare de prosumatori și integrarea lor în rețeaua națională justifică reglementări clare privind securitatea dispozitivelor conectate.
Este important de precizat că nu se prevede auditarea echipamentelor instalate de prosumatori, despre care nu există intenția sau obligația legislativă.
Confuzia alimentată de anumite asociații, insinuând verificări în gospodării, este falsă.
Obiectivul legii este de a stabili un cadru de securitate cibernetică pentru infrastructura națională, nu de a inspecta proprietăți private sau de a impune taxe suplimentare.
Prosumatorii pot fi liniștiți: echipamentele lor nu vor fi supuse verificărilor, iar măsura are ca scop doar certificarea echipamentelor noi, nu controlul celor existente.
Echipamentele deja instalate nu vor fi verificate
– Care sunt echipamentele care vor fi supuse verificărilor?
– Nu se pune problema auditării echipamentelor instalate de prosumatori. Nu există această obligație pentru echipamentele sau instalațiile lor. Scopul inițiativei este de a certifica tehnic și de securitate echipamentele utilizate în instalațiile cu putere sub 1 MW, astfel încât producătorii chinezi să obțină avizul DNSC pentru comercializare.
– Pentru producătorii cu peste 1 MW, reglementările sunt deja în vigoare, inclusiv în conformitate cu directivele UE privind securitatea cibernetică, precum NIS 2, care impun audituri regulate.
– Așadar, auditarea periodică deja se aplică pentru producători, nu și pentru prosumatori.
„Depășim un prag critic de securitate cibernetică”
– Care sunt riscurile concrete ale echipamentelor din China? Există studii de specialitate sau evaluări de risc pe baza cărora s-a inițiat această legislație?
– Da, în România sunt peste 400.000 de echipamente de producție energetică, iar acest număr depășește un prag critic pentru securitatea cibernetică. Pentru multe dintre aceste dispozitive, nu există suficiente informații despre nivelul de protecție față de atacuri cibernetice.
– Analizând platformele informatice gestionând aceste echipamente, se observă lipsa respectării cerințelor minime europene de securitate, incluzând autentificarea multi-factor, obligatorie pentru prevenirea accesului neautorizat.
– De asemenea, guvernul chinez a implementat o obligație „voluntară” de a comunica vulnerabilitățile găsite în echipamentele locale, creând riscul ca vulnerabilitățile să fie exploatate înainte de remediere. Aceasta a determinat statele membre UE să efectueze analize suplimentare privind securitatea importurilor.
– În concluzie, inițiativa se bazează pe constatări tehnice, evaluații de risc și evoluții internaționale, cu scopul de a asigura conformitatea echipamentelor conectate la rețea cu standardele europene de securitate cibernetică.
– Au fost incidente în România care justifică această măsură sau doar în alte țări?
– În domeniul securității cibernetice, prevenția este esențială. Deși nu au fost incidente majore observate în România, există situații în care parametrii unor echipamente pot fi modificați în mod neautorizat.
La nivel global, țările au adoptat reguli mai stricte pentru protecție, astfel încât măsura nu răspunde unui incident specific, ci previne apariția unuia.
„E posibil ca toate echipamentele să fie deconectate fără intervenția prosumatorilor”
– Care este scenariul cel mai pesimist dacă echipamentele sunt atacate?
– În prezent, nu există garanții că echipamentele respectă standardele europene. În scenariul cel mai grav, operatorii de platforme de control ar putea dezactiva simultan echipamentele, scoțând din funcțiune toate dispozitivele, fără posibilitatea de intervenție a prosumatorilor.
În cazul unei deconectări masive, sistemul energetic național s-ar putea destabiliza, mai ales dacă proporția prosumatorilor depășește praguri critice.
– Cine se va ocupa de verificarea echipamentelor?
– Singura autoritate autorizată să efectueze verificări de securitate este DNSC. Orice informație contrară, conform căreia alte organisme ar verifica aceste echipamente, este nefondată. Este esențial să menținem încrederea în instituțiile statului.
– Care sunt costurile estimate și cine va suporta verificările?
– În România, sunt autorizate aproximativ 70 de companii pentru echipamente, cu câteva zeci de modele. Verificările cibernetice vor viza firmware-ul acestor dispozitive, reprezentând în jur de 100 de programe de control. Costurile vor fi suportate de producători sau reprezentanții lor, nu de prosumatori, fiind minime individual.
– Ce se întâmplă cu echipamentele instalate anterior?
– Nu vor fi supuse verificărilor, legea fiind non-retroactivă și fără taxe suplimentare pentru prosumatori. Certificarea vizează doar echipamentele noi, iar cele deja instalate nu vor fi supuse niciunei verificări suplimentare.
Aceasta elimină orice temeri legate de scumpiri sau deconectări forțate, elemente exagerate promovate de anumite asociații.
Inițiativa urmărește doar certificarea tehnică a echipamentelor de către DNSC, pentru a asigura o infrastructură sigură, nu de a impune controale în gospodării sau taxe suplimentare.
– Cum se va asigura prioritatea prosumatorilor în sistem?
– Această prevedere a fost în vigoare din 2014, fiind inclusă în legea actuală. Inițiativa legislativă numerotează DNSC ca autoritate pentru securitatea cibernetică, fără a afecta drepturile prosumatorilor, care vor putea beneficia în continuare de prioritate în rețea, conform legislației existente.
– În concluzie, această măsură vizează să protejeze rețeaua națională și să prevină riscurile cibernetice, fără a restricționa drepturile cetățenilor.
Toate instituțiile implicate susțin implementarea reglementării, evidențiind necesitatea de a preveni riscurile de securitate. Deși nu au fost incidente majore raportate în România, măsura este adoptată proactiv pentru a asigura securitatea energetică națională și pentru a evita vulnerabilități majore.