Fotovoltaické systémy v posledních letech zažívají rychlý rozmach a stávají se nepostradatelnou součástí energetické infrastruktury. S nárůstem počtu instalací a připojení do distribučních sítí však roste také riziko kybernetických hrozeb. Směrnice NIS2 a nový zákon o kybernetické bezpečnosti přinášejí jasná pravidla pro ochranu těchto systémů, což má zásadní dopad na všechny subjekty, které se podílejí na provozu a instalaci fotovoltaických elektráren (FVE).
Kybernetická bezpečnost jako základní kámen nové legislativy
Kybernetická bezpečnost je dnes jedním z klíčových témat v oblasti kritické infrastruktury, kam patří i energetické sítě. Fotovoltaické systémy se stávají běžnou součástí těchto sítí, a právě proto se na ně vztahují nová pravidla vyplývající z NIS2. Tato směrnice zavádí přísnější bezpečnostní požadavky a povinnosti pro všechny provozovatele systémů, které jsou napojeny na energetickou síť, a to včetně fotovoltaických elektráren.
Hlavním cílem směrnice NIS2 je zajistit, aby byla fotovoltaická zařízení chráněna před kybernetickými útoky, které by mohly narušit stabilitu distribuční sítě. Zákon ukládá provozovatelům FVE povinnost zajistit, že jejich systémy budou splňovat přísné technické a bezpečnostní standardy. Tyto požadavky zahrnují například ochranu dat, bezpečnou správu aktualizací softwaru a filtrování příkazů, které střídače přijímají z externích zdrojů.
Kdo nese odpovědnost za kybernetickou bezpečnost FVE?
Jednou z klíčových otázek, kterou směrnice NIS2 přináší, je otázka odpovědnosti. Zodpovědnost za kybernetickou bezpečnost fotovoltaických systémů je přenesena na několik subjektů. Provozovatelé distribučních sítí (například ČEZ Distribuce nebo EG.D) mají za úkol stanovit technické a bezpečnostní požadavky pro všechna zařízení připojená k jejich sítím. Na jejich základě pak musí dodavatelé technologií, instalační firmy a provozovatelé FVE zajistit, že jejich zařízení splňují všechny potřebné standardy.
Dodavatelé technologií, tedy firmy, které dovážejí a instalují střídače a další komponenty, musí zajistit, že jejich produkty budou v souladu s požadavky směrnice NIS2. To znamená, že musí zabezpečit ochranu dat, správu softwarových aktualizací a další technické požadavky. Pokud dodavatelé nesplní tyto povinnosti, nesou odpovědnost za případné kybernetické incidenty, které by jejich zařízení mohly způsobit.
Provozovatelé FVE (koncoví zákazníci) jsou však těmi, kdo nese hlavní odpovědnost za provozní bezpečnost svých zařízení. To znamená, že každý majitel FVE musí zajistit, aby jeho systém neohrožoval distribuční síť. Provozovatelé FVE musí spolupracovat s dodavateli technologií a realizačními firmami, aby měli jistotu, že technologie, kterou si pořizují, je bezpečná a splňuje všechny technické požadavky.
Technické požadavky: Co musí splňovat střídače a další komponenty FVE?
Jedním z nejdůležitějších prvků fotovoltaických systémů je střídač, který převádí stejnosměrný proud vyrobený solárními panely na střídavý proud, který je poté využíván v domácnostech nebo distribuován do sítě. Střídače hrají klíčovou roli v provozu FVE a proto jsou jejich kybernetická bezpečnost a správa softwarových aktualizací zásadní.
Směrnice NIS2 a zákon o kybernetické bezpečnosti stanovují jasné požadavky na střídače a další komponenty FVE:- Šifrování dat: Všechna data přenášená mezi střídačem a distribuční sítí musí být šifrována, aby se zabránilo neoprávněnému přístupu a zneužití zařízení.
- Bezpečná správa aktualizací: Každá softwarová aktualizace, která se na střídačích provádí, musí být předem otestována a schválena, aby se zabránilo zavedení škodlivého softwaru nebo zneužití aktualizací ke kybernetickému útoku.
- Monitorování příkazů: Všechny příkazy zasílané do střídačů z externích zdrojů musí být filtrovány a ověřovány, aby se předešlo neautorizovanému přístupu k zařízení a jeho potenciálnímu zneužití.
Co to znamená pro trh s fotovoltaikou?
Zavedení směrnice NIS2 a zákona o kybernetické bezpečnosti znamená, že provozovatelé FVE i dodavatelé technologií musí investovat do zabezpečení svých systémů. Velké technologické společnosti, které již disponují certifikací ISO 27001, jsou na tyto nové požadavky lépe připraveny. Certifikace ISO totiž potvrzuje, že mají zavedené postupy pro ochranu dat a kybernetickou bezpečnost.
Menší dodavatelé a instalační firmy, které dosud nemají zkušenosti s kybernetickou bezpečností, však budou čelit výzvám. Tyto firmy budou muset investovat do nových technologií a školení, aby byly schopny splnit požadavky směrnice NIS2 a zákona o kybernetické bezpečnosti. To může vést k vyšším nákladům, které se mohou projevit i v cenách pro koncové zákazníky.
