Deputatul PSD Mădălin Borș anunță că proiectul de lege care asigură un nivel ridicat de securitate cibernetică și securitate a datelor în instalațiile de producere a energiei a trecut de Senat și intră la Camera Deputaților pentru dezbateri.
Prin prezenta propunere legislativă se urmărește introducerea temeiului legal pentru viitoare norme de securitate cibernetică prin care să se asigure un mediu sigur din această perspectivă, prin care să se asigure o independență strategică, în timp ce este accelerată tranziția verde, în mod echitabil și competitiv. De asemenea, prin prezentul document se asigură armonizarea legislației naționale în domeniu cu prevederile și recomandările normelor europene, asigurând adoptarea direcției de reglementare trasate la nivelul UE, relevant în acest context fiind chiar proiectul pentru The Net Zero industry Act menționat anterior.
În prezent, Legea energiei electrice și a gazelor naturale nr. 123/2012 reprezintă cadrul de reglementare pentru desfăşurarea activităților în sectorul energiei electrice și al energiei termice produse în cogenerare, în vederea utilizării optime a resurselor primare de energie și a atingerii obiectivelor de securitate energetică, competitivitate și dezvoltare durabilă în condiții de accesibilitate, disponibilitate și suportabilitate a prețurilor și cu respectarea normelor de siguranță, calitate și protecție a mediului. Acest act normativ tratează, într-un capitol dedicat, normele privind energia electrică produsă din resurse regenerabile de energie. În acest sens, se găsește oportună completarea capitolului respectiv cu dispoziții care să permită colaborarea de norme de securitate cibernetică care să vizeze accesul la rețeaua electrică a energiei electrice produse din surse regenerabile.
- Instalațiile de energie din surse regenerabile se confruntă cu un set larg de riscuri potențiale de securitate cibernetică legate de lanțul de aprovizionare
Potrivit inițiatorilor, riscurile de securitate cibernetică din sectorul energetic pot afecta în mod negativ confidențialitatea informațiilor prelucrate în construcția și exploatarea instalațiilor de energie din surse regenerabile și pot afecta capacitatea operatorului de a păstra controlul operațional al instalației.
Instalațiile de energie din surse regenerabile se confruntă cu un set larg de riscuri potențiale de securitate cibernetică legate de lanțul de aprovizionare, cum ar fi indisponibilitatea comunicațiilor (TIC), a produselor, serviciilor sau proceselor din lanțul de aprovizionare sau atacuri cibernetice inițiate de actori din lanțul de aprovizionare, inclusiv de către state rãu intenționate.
Acest aspect a fost dezbătut și la nivelul Uniunii Europene, rezultând atât recomandări ale acesteia adresate diferitelor persoane interesate, cât și, cel mai recent, The Net Zero Industry Act care prevede că o anumită parte a licitațiilor pentru anumite tehnologii de energie din surse regenerabile trebuie să includă: i) criterii de precalificare privind conduita comercială responsabilă, securitatea cibernetică și securitatea datelor, precum și capacitatea de a livra proiectele integral și la timp; și ii) criterii de precalificare sau de atribuire pentru a evalua contribuția licitației la durabilitate și reziliență. Această inițiativă va preciza aceste criterii pentru a asigura aplicarea lor uniformă în întreaga UE.
Din perspectiva securității cibernetice, proiectul asigură un nivel ridicat de securitate cibernetică și securitate a datelor în instalațiile de producere a energiei, fapt care este esențial pentru menținerea securității aprovizionării cu energie și a infrastructurii energetice critice.
În acest sens, pentru a se asigura că toți ofertanții abordează în mod corespunzător riscurile de securitate cibernetică și de securitate a datelor, licitațiile pentru desfășurarea de energie din surse regenerabile ar trebui să includă criterii de precalificare care să pună în aplicare măsuri de gestionare a riscurilor de securitate cibernetică și să se asigure că aceste mãsuri sunt aplicabile produselor sau serviciilor TIC furnizate de furnizorii lor. Este necesară stocarea și prelucrarea datelor legate de exploatarea instalațiilor de energie din surse regenerabile în jurisdicții din afara Spațiului Economic European (SEE) care pot genera amenințări la adresa securității instalațiilor și a sistemului în ansamblu. Un nivel suplimentar de protecție a datelor de protecție este necesar pentru a asigura securitatea instalației și a întregului sistem în cazurile în care ofertantul se află sub jurisdicția unei țări terte solicitând ofertantului să raporteze informații privind vulnerabilitățile software sau hardware către autoritățile din țara terță respectivă, înainte de a se ști că acestea pot fi exploatate.
În astfel de cazuri, ofertanții ar trebui să furnizeze un plan de securitate cibernetică justificat care să prezinte măsurile tehnice, operaționale și organizatorice pentru a garanta că datele utilizate sau generate în activitățile lor comerciale legate de licitație sunt stocate și prelucrate în SEE și nu sunt transferate în afara SEE. Este important ca un operator stabilit in SEE să mențină controlul operațional al instalației pentru a asigura supravegherea și aplicarea corespunzătoare a legislației UE în vederea garantării securității instalației și a sistemului în ansamblu.
Acest proiect are un articol dedicat securității cibernetice, articol al cărui conținut face referire la măsurile tehnice, operaționale și organizatorice preväzute in Directiva (UE) 2022/2555 (NIS2) care a fost transpusă în legislația națională prin Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil. Măsurile menționate trebuie să vizeze gestionarea riscurilor, securitatea lanțului de aprovizionare și politicile de gestionare a vulnerabilitaților.
În plus, tranziția accelerată către o economie a energiei din surse regencrabile, a cărei expansiune este înlesnită de statele dezvoltate pentru înlocuirea energiei obținute din combustibili fosili, comportă un complex de riscuri specifice, inclusiv de natură ciberenetică ori cu manifestare în planul securității cibernetice care potențează criticitatea preexistentă a infrastructurilor energetice din perspectivă economică, socială și pentru securitatea națională.
Aceasta cu atât mai mult cu cât tehnologiile emergente converg către o nouă arhitectură a rețelei electrice, evoluând de la o structură centrată pe utilități la o rețea inteligentă distribuită, bazată pe sisteme energetice cyber-fizice.
În mod special, proliferarea agregării resurselor de energie distribuită – una din cele mai semnificative, accelerate și mai disruptive evoluții în cadru sub-sectorului energiei electrice, implică instalarea de către consumatori de energie și terți și conectarea la rețea a unui număr enorm de dispozitive inteligente – inclusiv din categoria internet of things – deținute și controlate de către aceștia și achiziționate de pe piața liberă, dispozitive de care depinde furnizarea unei varietăți tot mai mari de servicii de rețea, pe componenta gestionării generării de energie electrică și a sistemelor de stocare a acesteia și până la agregări în scopuri de tranzacționare pe piețe alternative, automate și descentralizate de energie electrică.
În mod intrinsec, aceste dispozitive prezintă o dependență semnificativă de comunicarea și controlul digitale, fiind deci purtătoare de riscuri de securitate cibernetică în creștere, mai ales avänd în vedere tendința spre ubicuitate a unora dintre acestea, precum invertoarele – prezente în automobile electrice, turbine coliene, panouri solare, stații de încărcare ș.a.
Minimizarea riscurilor legate de potențiala influență a unor actori ostili asupra sistemului energetic național al României contribuie la asigurarea independenței energetice a României și a rezilienței sistemului energetic național, drept pentru care prezentele reglementări, asigurând baza legală pentru introducerea viitoarelor reguli minimale de securitate cibernetică pentru sistemele și dispozitivele din domeniul energiei din surse regenerabile, intervin asupra cadrului normativ existent în sensul:
* asigurării integrării resurselor de energie distribuită cu protejarea stabilității și siguranței rețelei electrice și a sistemului energetic național.
* prevenirii accesului neautorizat la date și a controlului de la distanță a infrastructurilor energetice ce pot fi dobândite prin exploatarea unor vulnerabilități de securitate cibernetică ale dispozitivelor inteligente care îndeplinesc roluri precum cele de senzori, echipamente de management al informațiilor, comunicații sau control în cadrul sistemelor electronice dedicate gestionării generării, stocării și tranzacționării automatizate de energie electrică din surse regenerabile.
Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă la nivel național pentru spațiul cibernetic național civil, precum și pentru gestionarea riscurilor și a incidentelor de securitate cibernetică, iar principala sa responsabilitate este asigurarea securității cibernetice a spațiului cibernetic național civil, în colaborare cu instituțiile și autoritățile competente. În acest sens, autoritatea competentă să reglementeze aspectele ce țin de securitatea cibernetică în domeniu este DNSC, care se va putea sprijini în activitatea sa de autoritățile competente conform cadrului de reglementare specific.
| Știri BVB