Nowe programy dotacyjne dla magazynów energii wywołały gorącą debatę o cyberbezpieczeństwie instalacji prosumenckich. Tymczasem kluczowe regulacje unijne — od NIS2 po Cyber Resilience Act — nie są nowością, lecz obowiązującym lub wprowadzanym standardem dla falowników, baterii i systemów zarządzania energią.
W ostatnim czasie, zwłaszcza po publikacji wstępnych warunków nowego programu dotacyjnego dla przydomowych magazynów energii, ożyła dyskusja o wymogach cyberbezpieczeństwa dla instalacji prosumenckich.
Czas ją trochę odczarować i oddzielić fakty od mitów. Od razu zaznaczę, że cyberbezpieczeństwo to temat, który powinien jednoczyć branżowych konkurentów, a nie być przedmiotem handlowych sporów. Wymagania związane z cyberbezpieczeństwem są takie same dla wszystkich, niezależnie od kraju pochodzenia producenta.
Zacznijmy od poukładania najważniejszych aktów prawnych i określenia ich wpływu na polską energetykę rozproszoną.
NIS2 to skrót od Network and Information Security Directive 2 – czyli zaktualizowanej dyrektywy Unii Europejskiej dotyczącej cyberbezpieczeństwa. Do polskiego porządku prawnego została ona transponowana w postaci ustawy o Krajowym Systemie Cyberbezpieczeństwa, która w lutym została podpisana przez Prezydenta RP. Dyrektywa ta obejmuje znacznie więcej podmiotów niż jej poprzedniczka, wprowadzając rozróżnienie na podmioty kluczowe i podmioty ważne. Sektor energetyczny został zakwalifikowany jako sektor o szczególnym znaczeniu, więc uzyskał najwyższą klasyfikację (kluczową). Co ciekawe termin na wdrożenie przepisów upłynął 17 października 2024, więc nie można powiedzieć, że kogokolwiek działającego na rynku te wymagania zaskoczyły. Polska wdrożyła przepisy w kwietniu tego roku, a nasz zachodni sąsiad, Niemcy, 6 grudnia 2025.
A więc jakie obowiązki nakłada UKSC (NIS2) na podmioty operujące w sektorze elektroenergetycznym? W pierwszym etapie, do 03/10/2026, jest to obowiązek dokonania samooceny. Oczywiście rodzi się pytanie, czy taki producent, który swoją siedzibę ma poza UE, podlega tym przepisom. Moim zdaniem tak — samo to, że firma jest chińska, amerykańska, czy brytyjska, nie wyłącza zgodności z Polskim prawem. Decydujące jest nie obywatelstwo lub kraj siedziby, tylko to, czy podmiot podlega polskiej ustawie KSC. Zgodnie z art. 5a po nowelizacji, podmiot kluczowy lub ważny podlega ustawie, jeżeli prowadzi działalność na terytorium Polski przez siedzibę, oddział albo w ramach działalności transgranicznej.
Wiele firm obecnie chwali się AI, nowymi aplikacjami, sterowaniem, myślę, że nie do końca zdają sobie sprawę, że może to być broń obusieczna, bo tacy producenci urządzeń mogą się zamienić w dostawcę całych ekosystemów, co może drastycznie wpłynąć na ich kwalifikację. Sam jestem ciekaw co wyjdzie z samooceny niektórych producentów mających setki MW, a nawet GW mocy pod kontrolą. Ta moc może być potencjalnie zdalnie zarządzana przez producentów urządzeń, więc może trzeba będzie ich zakwalifikować jako uczestników rynku?
Czy zatem NFOŚiGW powinien wymagać zgodności w zakresie zgodności z NIS2? Moim zdaniem tak. Czy powinien odnosić się do producentów systemów zarządzania energią, czyli EMS? Znowu moja odpowiedź jest twierdząca. Pominięto tylko fakt, że to producenci inwerterów PV mają tutaj najwięcej do zrobienia, więc liczę że ten zapis zostanie rozszerzony również na nich.
Drugim dokumentem cytowanym w drafcie programu jest CRA (Cyber Resilience Act). Rozporządzenie 2024/2847 Unii Europejskiej, którego celem jest podniesienie poziomu cyberbezpieczeństwa produktów cyfrowych – zarówno sprzętu, jak i oprogramowania – w całym cyklu ich życia. CRA nakłada obowiązki na producentów urządzeń i oprogramowania, które:
- Posiadają jakiekolwiek układy cyfrowe i interfejsy komunikacyjne (nawet lokalne)
- są podłączone do internetu lub innych sieci (IoT, systemy zdalne, chmura),
- przetwarzają dane lub komunikują się z innymi systemami.
Dotyczy więc bezpośrednio m.in.:
- inwerterów PV z monitoringiem online,
- systemów EMS (Energy Management System),
- platform chmurowych producentów.
W przypadku tego rozporządzenia, raz jeszcze, komunikowane przez producentów wdrożenie AI, czy innego zdalnego sterowania, może być bronią obosieczną, zmuszającą do nowych obowiązków w przyszłości.
Głównym wymogiem wynikającym z tych przepisów jest projektowanie swoich urządzeń w myśl zasady „security by design” i „security by default”, czyli uwzględnienia wymogów cyberbezpieczeństwa, już na samym poziomie tworzenia produktu. Dodatkowo udokumentowane zarządzanie podatnościami, raportowanie incydentów, szyfrowanie komunikacji, czy wreszcie aktualizacje cyberbezpieczeństwa przez cały okres życia produktu. Zwłaszcza ten ostatni element jest ciekawy w kontekście naszego rynku i tego jak wyglądają aktualizacje firmware’u na większości zainstalowanego obecnie sprzętu w Polsce. W znaczącej części floty urządzeń tych aktualizacji po prostu nie ma. Oczywiście ostatecznie deklaracja zgodności UE (CE) będzie musiała obejmować też normy związane z cyberbezpieczeństwem.
Na pewno trochę ubocznym, ale pozytywnym efektem CRA w sektorze urządzeń dla prosumentów będzie większa standaryzacja rynku. Wydaje się, że rynek podzieli się na producentów, którzy będą chcieli dostarczać wyłącznie hardware, a cała warstwę zarządzania zostawią graczom lokalnym, oraz na dostawców całych ekosystemów. Ci drudzy będą musieli podnieść nakłady na R&D jak i koszty utrzymania np. starszych modeli.
Czy więc zapisy dotyczące CRA powinny znaleźć się w wymaganiach dotyczących programu? Oczywiście, że tak. Co więcej, trzeba je rozszerzyć na cały produkt, a nie tylko na EMS.
Kolejnym dokumentem, cytowanym przez NFOŚGW jest RED DA. RED DA (Radio Equipment Directive Delegated Act) to rozszerzenie dyrektywy Radio Equipment Directive (RED), które wprowadza obowiązkowe wymagania cyberbezpieczeństwa dla urządzeń radiowych podłączonych do Internetu. Dotyczy m.in. urządzeń IoT — a więc również inwerterów PV komunikujących się z chmurą.
Kontrowersje wokół tego wymogu są o tyle absurdalne, że znacząca większość produktów na rynku ma już wpisaną tę normę w deklarację zgodności UE (CE), czy to samych inwerterów, czy też urządzeń WiFi, których te inwertery używają. Jeśli te produkty nie byłby zgodne z dyrektywą i nie miały tego potwierdzonego w deklaracji zgodności UE, lub co gorsza by jej nie spełniały, to nie mogą być wprowadzane na rynek UE.
Czy więc ten zapis w regulaminie jest zasadny? Tak, natomiast ponownie to nie jest wymóg tylko do EMS, ale do wszystkich urządzeń z komunikacją radiową. Co ciekawe, jeżeli EMS jest przewodowy, a sam inwerter nie ma połączenia z Internetem, to oczywiście tej normy spełniać nie musi.
Ostatnią normą cytowaną w programie jest ETSI EN 303 645. To europejski standard bezpieczeństwa dla urządzeń IoT (Internet of Things), szczególnie konsumenckich. Zgodność z tą normą wymusza szereg rozwiązań w zakresie cyberbezpieczeństwa i przetwarzania danych. Tak jak w przypadku CRA są to podstawowe wymogi w zakresie haseł, dostępów, ról czy wreszcie zarządzania incydentami.
Myślę, że o ile znowu spełnienie tej normy jest deklaratywne, to już teraz można zobaczyć, którzy producenci są mniej lub bardziej zaawansowani we wdrażaniu procesów i procedur. Można z czystym sumieniem stwierdzić, że są to producenci, którzy osiągają największe sukcesy w krajach Europy Zachodniej. Tym bardziej w programach dotacyjnych warto wymagać rozwiązań, które taką dojrzałość wykazują.
Podsumowując, wymagania związane z cyberbezpieczeństwem powinny być uwzględniane w programach dotacyjnych, bo na pewno pozwolą na pozytywną standaryzację rynku, a także będą pełnić funkcję profilaktyczną.
Na koniec pozwolę sobie na chwilę refleksji, że o prawie, wymaganiach i ich konsekwencjach warto dyskutować wtedy, kiedy prawo jest tworzone (w tym wypadku akurat bardzo transparentnie) , a nie dopiero wówczas, kiedy ktoś wpisze wspomniane wymagania do programu dotacyjnego.
Niezależnie od tego czy NFOŚiGW wpisałby do regulaminu powyższe dyrektywy i normy czy też nie to nie zmienia to postaci rzeczy, że są one już obowiązującym prawem w Polsce i UE. Oznacza to, że wszystkie firmy działające na rynku energetycznym oraz produkty, które wprowadzają na ten rynek muszą się do tego prawa stosować.
—
Piotr Czak, prezes PySense, firmy specjalizującej się w rozwiązaniach komunikacyjnych technologii IoT dla producentów liczników energii elektrycznej i inwerterów.
