Menu
Patronat honorowy Patronage
  1. Główna
  2. >
  3. Prawo(OLE)
  4. >
  5. Dostawcy Wysokiego Ryzyka – jak nowelizacja ustawy o cyberbezpieczeństwie może uderzyć w fotowoltaikę

Dostawcy Wysokiego Ryzyka – jak nowelizacja ustawy o cyberbezpieczeństwie może uderzyć w fotowoltaikę

Najnowszy projekt nowelizacji ustawy o cyberbezpieczeńswie może spowodować konieczność wycofania chińskiego sprzętu o wartości miliardów złotych i poważnie wpłynąć na kondycję finansową branży fotowoltaiki i magazynowania energii. Chodzi o wprowadzenie pojęcia Dostawców Wysokiego Ryzyka.
fotowoltaike

24 maja zakończyły się konsultacje publiczne projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (nr UC32). Termin wdrożenia nowych przepisów to III kwartał 2024 r. Projekt przygotowany przez Ministerstwo Cyfryzacji implementuje unijną Dyrektywę NIS 2 (Network and Information Systems Directive UE, 2022/2555) i zakłada nowe obowiązki z zakresu cyberbezpieczeństwa dla sektorów produkcji, przetwarzania i dystrybucji energii.

Nowelizacja zwiększa liczbę podmiotów, które podlegają pod krajowy system cyberbezpieczeństwa, z ok. 400 do ok. 40 tys. i wprowadza pojęcie Dostawcy Wysokiego Ryzyka (high risk vendor). Produkty czy usługi pochodzące od Dostawcy Wysokiego Ryzyka, będą musiały być wycofane. Za podmioty kluczowe, które zostaną objęte nowymi przepisami, uznaje się m.in. podmioty wytwarzające energię elektryczną, o ile podlegają koncesji, podmioty przetwarzające czy magazynujące energię czy producentów elementów elektrycznych i elektronicznych.

Niepokojąca nadregulacja

Jak wyjaśnia Ministerstwo Cyfryzacji, nowe przepisy mają na celu usunięcie niebezpiecznego sprzęt lub usługi z kluczowych systemów teleinformatycznych. „Chcemy zwiększyć bezpieczeństwo państwa i zapewnić porządek publiczny. Unia Europejska wymaga od Polski tego, by wprowadziła przepisy o analizie ryzyka konkretnego dostawcy. Polska nowelizuje również ustawę o krajowym systemie cyberbezpieczeństwa, zgodnie z dyrektywą NIS2, aby zapewnić bezpieczeństwo łańcucha dostaw” – informuje resort w informacji przesłanej do WysokieNapiecie.pl.

Eksperci zwracają jednak uwagę, że przepisy o Dostawcach Wysokiego Ryzyka w żadnym zakresie nie wynikają z implementowanej Dyrektywy NIS2. Co więcej, podobne regulacje nie są wprowadzane w innych krajach UE.

„W ramach projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która ma implementować unijną Dyrektywę NIS2, możemy zaobserwować ogólną tendencję do nadregulacji wprowadzanej przez polskiego ustawodawcę” – mówi mec. Maciej Szambelańczyk z WKB Lawyers. „Wiele rozwiązań proponowanych w projekcie ustawy wykracza poza to, czego wymaga unijny prawodawca – najgłośniejszym i najbardziej kontrowersyjnym przykładem tego podejścia wydaje się być wprowadzenie do ustawy regulacji dot. Dostawców Wysokiego Ryzyka. Za takich dostawców Minister Cyfryzacji będzie mógł uznać w zasadzie dowolnych dostawców oprogramowania lub sprzętu, którzy świadczą usługi na rzecz podmiotów wskazanych w projekcie ustawy”.

Jak informuje Ministerstwo, decyzję o tym, by uznać przedsiębiorcę za dostawcę wysokiego ryzyka, będzie podejmował Minister Cyfryzacji z urzędu lub na wniosek Przewodniczącego Kolegium ds. Cyberbezpieczeństwa, czyli Prezesa Rady Ministrów. Decyzja będzie oparta na opinii Kolegium ds. Cyberbezpieczeństwa. W ramach Kolegium funkcjonować będzie specjalny zespół.  Jego zadaniem będzie analizować wszystkie rodzaje zagrożeń, które wiążą się z danym dostawcą, jego usługami i produktami. W skład tego zespołu wejdzie m.in. przedstawiciel Urzędu Ochrony Konkurencji i Konsumentów, co sprawi, że analiza dostawcy będzie dokładna.

W opinii mec. Macieja Szambelańczyka postępowanie administracyjne w przedmiocie uznania dostawcy za Dostawcę Wysokiego Ryzyka toczyć się będzie w dość mało transparentnym trybie, a same przesłanki, na podstawie których Minister Cyfryzacji wydawać będzie takie decyzje również są bardzo ocenne.

„Zgodnie z projektem Minister będzie mógł uznać danego dostawcę za Dostawcę Wysokiego Ryzyka, gdy dostawca ten >>stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi<<. Bezpośrednią konsekwencją takiej decyzji będzie obowiązek wycofania z przedsiębiorstw objętych nową ustawą o KSC produktów pochodzących od dostawcy wysokiego ryzyka. Projekt nie przewiduje przy tym żadnych odszkodowań dla przedsiębiorców. Oznacza to konieczność rezygnacji z produktów i usług, na które firmy poniosły czasem bardzo wysokie nakłady i które to produkty lub usługi są niezbędne z punktu widzenia prowadzenia przez daną firmę działalności” – zauważa Szambelańczyk.

O to, o jakich ryzykach związanych z cyberbezpieczeństwem w przypadku fotowoltaiki możemy mówić, zapytaliśmy NASK.

„Warto zauważyć, że przepisy zaproponowane w projekcie nowelizacji ustawy o KSC nie odnoszą się do kraju pochodzenia – dla możliwości przeprowadzenia postępowania nie ma znaczenia, skąd pochodzi dany produkt. O możliwości uznania jego dostawcy za high risk vendor będzie decydował szereg różnych czynników, zarówno tych o charakterze technicznym, prawnym (w tym w zakresie ochrony danych osobowych), jak i organizacyjnym. Będą one stwierdzane w drodze szczegółowych analiz. Nie sposób abstrakcyjnie, bez dokonania tego rodzaju ocen, stwierdzić, jakie jest ryzyko w zakresie dopuszczenia grupy producentów z danego państwa do udziału w rynku krajowym” – mówi Aleksandra Szczęsna z Zespołu Analiz Strategicznych Cyberpolicy w NASK.

Uznanie podmiotu za Dostawcę Wysokiego Ryzyka będzie równoznaczne z koniecznością wycofania podchodzącego od niego użytkowanego sprzętu lub oprogramowania. Jak informuje Ministerstwo Cyfryzacji, przewidziany na to czas to 7 lat, a w przypadku krytycznych funkcji sieci i usług komunikacji elektronicznej – 4 lata.

Kto zostanie Dostawcą Wysokiego Ryzyka?

„Aby zapewnić ciągłość świadczenia usług, w tym tych, które są istotne dla społeczeństwa informacyjnego, nie przewiduje się natychmiastowego wycofania sprzętu lub oprogramowania od dostawcy wysokiego ryzyka. 7 lat lub 4 lat na to, by wycofać sprzęt, jest wystarczające, ponieważ pozwala zachować ciągłość działania i zminimalizować koszty. Podmiot będzie miał czas na to, by zastąpić sprzęt lub oprogramowanie oraz rozłożyć koszty. Do czasu, gdy wycofa sprzęt, będzie mógł dalej go użytkować w zakresie napraw, modernizacji, wymiany elementów lub aktualizacji, jeśli będzie to niezbędne do tego, by zapewnić odpowiednią jakość i ciągłość usług” – informuje Ministerstwo.

Jeśli jednak rozwiązanie to ma służyć zapewnieniu cyberbezpieczeństwa polskich przedsiębiorstw, to pozostawienie „ryzykownego” sprzętu czy oprogramowania w przedsiębiorstwie przez kolejne 7 lat na pewno mija się z celem tej regulacji, która wydaje się raczej wymierzona w chińskich producentów. Trudno sobie wyobrazić, że takie restrykcje miałyby dotknąć firmę europejską czy amerykańską.

Unia Europejska i USA próbują walczyć z chińską dominacją w energetyce słonecznej na wiele sposobów. W 2019 amerykańscy kongresmeni nawoływali do ograniczenia użycia falowników Huawei, wyrażając obawy o podatność na cyberataki lub wykorzystywanie ich do szpiegowania przez chiński rząd, co doprowadziło do zwiększonej kontroli i nacisków na ograniczenie użycia technologii Huawei w infrastrukturze krytycznej. W efekcie Huawei Solar wycofał się z USA. Rząd Joe Bidena wprowadził też cła na chińskie panele.

Podobne rozwiązanie stosowała już UE, ale efektów wzmocnienia europejskich producentów nie widać, za to zmniejszony dostęp do tanich spowolnił tempo przyrostu mocy w fotowoltaice. Szacuje się, że około 90% komponentów instalacji fotowoltaicznych wykorzystywanych w Polsce pochodzi z Chin. Koszty ich wymiany (lub też koszty wynikające z zakazu wprowadzania ich do obrotu) mogą okazać się gigantyczne.

Technologie wspiera:
Fotowoltaikę wspiera:
Zielone technologie rozwijają:
Dlaczego zatem unijne przepisy dyskryminują kotły elektrodowe nawet, gdy prowadzi to do marnowania gigantycznych ilości zielonej energii elektrycznej?
Kotły elektrodowe nie gorsze od pomp ciepła?
Fotowoltaikę wspiera:
Rynek energii rozwija:
Ponad ćwierć tysiąca firm z umowami na dostawy gazu z gwarancją stałej ceny płaci w tym roku kilka razy więcej niż inni klienci PGNiG To konsekwencje umów z gwarancją stałej ceny, zawieranych w czasach wysokich cen gazu.
Depositphotos 5683975 S
Materiał Partnera
Garaż to pomieszczenie, w którym panują specyficzne warunki. Pełni różne funkcje i może służyć jako miejsce parkingowe, kącik do majsterkowania lub przydomowy magazyn. Niekiedy łączy w sobie wszystkie wyżej wspomniane funkcje. Dlatego tak ważne jest dopasowanie oświetlenia, które pozwoli na bezpieczne i komfortowe korzystanie z wnętrza. Co wziąć pod uwagę wybierając lampy do garażu? Poniżej przydatne wskazówki.
i90n91hXarulc95
Technologie wspiera:
Zagraniczna prasówka energetyczna: Za rozwojem fotowoltaiki muszą pójść magazyny; Europa ma pod górkę z bateriami dla elektryków; EPP będzie głowić się nad silnikami spalinowymi; Klimatyczne deklaracje są łatwiejsze od realnych działań.
Amount of energy storage systems or battery container units with
UE musi w latach 2022-2030 zwiększyć się trzykrotnie, aby unijny cel produkcji 69 proc. energii ze źródeł OZE był możliwy do spełnienia. Fot. Depositphotos
Technologie wspiera:
Elektromobilność napędza:
Fotowoltaikę wspiera:
Partner działu Klimat:
Zielone technologie rozwijają:
Rynek energii rozwija: