Un proiect legislativ susținut de 25 de parlamentari PNL și PSD propune măsuri de securitate cibernetică pentru producătorii de energie regenerabilă. Prosumatorii critică inițiativa, temându-se de controlul statului asupra echipamentelor lor. Deputatul PSD Mădălin Borș, inițiatorul proiectului, a declarat pentru HotNews că scopul este protejarea prosumatorilor de riscul ca firme din China să le blocheze producția oricând, fără posibilitate de intervenție.
În octombrie, HotNews a relatat despre un proiect de lege semnat de 25 de senatori și deputați PNL și PSD care vizează modificarea Legii 123/2012, impunând producătorilor de energie regenerabilă respectarea unor standarde de securitate cibernetică inexistente în prezent.
Proiectul de lege introduce „reguli de securitate cibernetică pentru accesul la reţea pentru energia electrică produsă din surse regenerabile şi în cogenerare de înaltă eficienţă”:
„Directoratul Naţional de Securitate Cibernetică (…) stabileşte reguli tehnice de securitate cibernetică prin ordin al directorului Directoratului Naţional de Securitate Cibernetică pentru accesul garantat la reţelele electrice şi dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie şi în cogenerare de înaltă eficienţă (…) în centrale cu puteri instalate mai mici sau egale cu 1 MW, în măsura în care nu este afectat nivelul de siguranţă a SEN (sistemul energetic național)”, se arată în modificarea propusă a Legii energiei.
Asociația Prosumatorilor și Comunităților de Energie din România consideră că statul încearcă să preia controlul asupra echipamentelor micilor producători și a solicitat dezbaterea legii în Parlament.
„Practic, (prevederile din proiect – n.r.) ar permite statului si distribuitorilor de energie oprirea sau reducerea de la distanță a sistemelor fotovoltaice ale cetățenilor”, se arată într-un comunicat al asociației.
Deputatul PSD Mădălin Borș a declarat pentru HotNews că legea protejează prosumatorii de atacuri cibernetice care le-ar putea afecta producția.
Majoritatea echipamentelor sunt fabricate în China și nu au fost verificate din punct de vedere cibernetic.
Borș susține că echipamentele instalate de cei peste 260.000 de prosumatori nu mai pot fi verificate retroactiv. Noua lege vizează producătorii și furnizorii de echipamente, care vor trebui să obțină avizul DNSC înainte de a le vinde în România.
Echipamentele pentru producătorii de energie de peste 1 MW sunt deja auditate, dar există un vid legislativ pentru cei sub această putere, a explicat deputatul.
Având în vedere că au fost instalate 400.000 de echipamente și numărul crește, situația poate afecta securitatea întregului sistem energetic național.
În cel mai grav scenariu, echipamentele ar putea fi oprite de la distanță de companiile chinezești, a avertizat Borș.
Publicația europeană Politico scrie că „Europa este tot mai îngrijorată că Huawei ar putea stinge lumina”.
Gigantul tehnologic chinez este în centrul unei dezbateri privind securitatea rețelelor energetice europene, iar parlamentarii cer Comisiei Europene să „restricționeze furnizorii cu risc ridicat” din sectorul energiei solare.
În SUA, experții avertizează că dispozitivele chinezești instalate la panourile fotovoltaice sunt vulnerabile la atacuri cibernetice, care pot provoca întreruperi majore, conform unui articol din Washington Post, preluat de Digi24.
Peste 90% din panourile fotovoltaice provin din China, iar Agenția Internațională pentru Energie a avertizat că dependența de un singur furnizor poate genera riscuri de securitate.
HoNews: Domnule deputat, care este scopul acestei inițiative? De ce este nevoie de auditarea echipamentelor folosite de prosumatori?
Mădălin Borș: Această inițiativă legislativă vine, din păcate, cu o întârziere de cel puțin trei ani.
DNSC ar fi trebuit să aibă standarde și mecanisme de control încă din 2021.
Evoluția tehnologiilor, creșterea numărului de prosumatori și integrarea masivă în rețeaua națională fac necesară introducerea unor reguli clare privind securitatea dispozitivelor conectate.
Nu este vorba despre auditarea echipamentelor folosite de prosumatori. Repet acest lucru pentru a fi pe deplin clar și înțeles de toată lumea: nu există și nici nu se are în vedere nicio formă de audit, nici direct, nici indirect, asupra echipamentelor instalate în gospodăriile prosumatorilor.
Confuzia care a circulat în spațiul public pleacă de la interpretarea greșită și chiar tendențioasă, promovată de o anumită asociație, care a indus faptul că statul ar intenționa să inspecteze panourile sau invertoarele instalate de oameni. Nimic mai fals.
Obiectivul actului normativ este stabilirea unui cadru coerent de securitate cibernetică pentru prosumatori și nu numai pentru aceștia, astfel încât infrastructura națională să fie protejată de atacuri care ar putea compromite funcționarea rețelei electrice.
Nu vorbim despre controale în proprietatea privată și nici despre impunerea unor obligații suplimentare pentru cetățeni. Măsurile propuse au un scop strict tehnic și preventiv: să se asigure că echipamentele și sistemele cu rol critic nu devin vulnerabilități exploatabile de actori rău intenționați. Cerințele vizează operatorii de rețea și furnizorii de echipamente, nu utilizatorii casnici și cu atât mai puțin prosumatorii.
Prin urmare, prosumatorii pot sta liniștiți: nimeni nu le va verifica panourile, invertorul sau alte echipamente personale.
– Deci care sunt echipamentele care vor fi verificate?
– Nu discutăm despre auditarea echipamentelor pe care le-au instalat prosumatorii. În cazul acestora, nu există nicio obligație care să prevadă astfel de verificări. Ceea ce se urmărește prin această inițiativă legislativă este certificarea echipamentelor utilizate în instalațiile de producere a energiei cu o capacitate sub 1 MW.
Concret, este un proces de conformare tehnică și de securitate pentru echipamente, nu despre auditarea prosumatorilor sau a instalațiilor aflate în proprietatea lor. Va fi în sarcina producătorilor chinezi de echipamente să obțină avizul de la DNSC.
În ceea ce privește producătorii de energie cu o capacitate mai mare de 1 MW, reglementările sunt deja în vigoare. Odată cu obținerea licenței de producător, aceștia intră sub incidența cerințelor europene privind securitatea cibernetică, respectiv directiva NIS 2, care impun standarde stricte, inclusiv audituri periodice a echipamentelor din perspectiva securității cibernetice.
Prin urmare, pentru a elimina orice confuzie, subliniez că auditarea periodică este obligatorie deja pentru producătorii de energie, dar nu și pentru prosumatori.
– Ce riscuri concrete au fost identificate în legătură cu echipamentele importate din China? Există studii, rapoarte tehnice sau evaluări de risc care au stat la baza inițiativei legislative?
– Această inițiativă legislativă este necesară pentru că, în prezent, în România sunt instalate peste 400.000 de echipamente de producere a energiei.
Pentru o parte semnificativă dintre aceste echipamente nu există suficiente informații privind nivelul lor real de protecție împotriva unor eventuale atacuri cibernetice.
Ceea ce putem afirma cu certitudine este că, analizând platformele informatice prin care sunt gestionate aceste echipamente, se observă numeroase situații în care nu sunt respectate cerințele minime de securitate cibernetică stabilite la nivelul Uniunii Europene.
Un exemplu foarte concret îl reprezintă mecanismele de autentificare. Standardele europene prevăd utilizarea MFA, adică „multi factor authentification” (autentificarea în mai mulți pași – n.r.), care obligă utilizatorul să confirme accesul printr-un cod transmis pe un canal separat, precum SMS sau e-mail. În acest fel, utilizatorul este automat avertizat atunci când se încearcă accesarea echipamentului. Din păcate, numeroase platforme asociate unor echipamente importate nu includ această cerință de bază.
Sursa https://www.hotnews.ro
