Guvernul renunță la obligația auditului cibernetic pentru prosumatori. APCE: Prosumatorilor „le-a trecut glonțul pe lângă ureche”
Ministerul Energiei a lansat în dezbatere publică o nouă formă a proiectului de act normativ, lansat recent, care cuprindea unele prevederi pentru operatorii de distribuție a energiei electrice și prosumatori: obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice. În noua formă, nu mai există această prevedere pentru prosumatori.
Ministerul Energiei a publicat marți Proiectul de Ordonanță de urgență pentru modificarea şi completarea Legii energiei electrice şi a gazelor naturale nr. 123/2012, precum și pentru modificarea Legii nr. 220/2008 privind stabilirea sistemului de promovare a producerii energiei din surse regenerabile, în variantă actualizată. Termenul de consultare este de 10 zile.
Ce spunea proiectul
Inițial, se arăta că auditul cibernetic anual și periodic al invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice va fi realizat „în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică”.
„Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care poate permit atacatorilor să preia controlul asupra dispozitivului/ rețelei energetice. Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice”, arăta proiectul.
Printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave, se mai menționa în proiect.
Conform documentului, auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice. „Având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice. Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetice.”
Auditul cibernetic reprezintă o evaluare detaliată și sistematică a măsurilor de securitate implementate într-o infrastructură IT, în rețele și dispozitive, pentru a identifica posibile vulnerabilități și disfuncționalități. În acest context, introducerea acestei obligații părea că vine drept măsură proactivă pentru a proteja infrastructura critică de posibile atacuri care ar putea afecta funcționarea sistemelor energetice.
Legea nr. 58/2023 definește auditul de securitate cibernetică ca o evaluare sistematică a politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, având ca scop identificarea disfuncționalităților și vulnerabilităților și furnizarea soluțiilor de remediere. Această lege stabilește cadrul necesar pentru implementarea auditului de securitate cibernetică ca măsură proactivă, destinată prevenirii incidentelor și consolidării apărării împotriva atacurilor cibernetice.
Explicațiile Ministerului Energiei
În urma reacțiilor din spațiul public, Ministerul Energiei a transmis o serie de precizări privind proiectul de act normativ: „Ministerul Energiei nu urmărește sub nicio formă obligarea prosumatorilor de a efectua audituri de securitate cibernetică, ci doar, eventual, a marilor producători/operatori de rețea. Individualizarea marilor producători/ operatori de rețea se poate realiza doar prin raportare la calitatea de operator de servicii esențiale, astfel cum este definită prin Directiva NIS2 și viitoarea lege de transpunere”, spunea Ministerul Energiei.
„Singura intenție a Ministerului Energiei este aceea de a proteja, prin măsuri preventive, securitatea cibernetică a marilor producători de energie electrică, în scopul asigurării securității sistemului energetic național. Ministerul Energiei rămâne deschis dialogului cu specialiștii din domeniu și garantează public că forma finală a proiectului de act normativ va satisface opiniilor formulate de specialiști și autoritățile naționale competente în domeniul energiei, securității cibernetice etc.”.
Reacția ANRE
Deși în nota de fundamentare se menționa că proiectul a fost elaborat în consultare cu Autoritatea Națională de Reglementare în domeniul Energiei (ANRE), reprezentanții au declarat că nu au fost întrebați.
„ANRE dorește să clarifice că nu a fost consultată cu privire la nota de fundamentare a proiectului de ordonanță de urgență pentru modificarea și completarea Legii energiei electrice și a gazelor naturale nr. 123/2012, precum și pentru modificarea și completarea Legii nr. 220/2008 privind promovarea energiei din surse regenerabile”, a transmis ANRE pentru Profit.ro.
Cum arată acum
Propunerea de Ordonanță de Urgență revizuită nu mai include prevederile inițiale referitoare la prosumatori. Potrivit APCE, noul proiect cuprinde o serie de măsuri pozitive, precum eliminarea dublei taxări a energiei stocate; definirea clară a lucrărilor de interes public național și stabilirea exactă a serviciilor de stocare.
„Prosumatorilor din România tocmai ce le-a trecut glonțul pe lângă ureche. În urma unui dialog instituțional între A.P.C.E. și Ministerul Energiei, în urma ecourilor din presă și, mai ales, în urma reacției prosumatorilor din România, șase propuneri nocive din actualul proiect de OUG privind modificări aduse Legii Energiei au fost eliminate. Dl.Ministru a înțeles că implementarea acestor propuneri ar fi generat obstacole suplimentare pentru un sector deja afectat de legi si ordine ANRE discutabile.
Propunerile eliminate prevedeau, în principal: controlul total al invertoarelor prosumatorilor de către operatorii de distribuție; codificarea curbelor de funcționare și chiar oprirea injectării energiei pentru perioade determinate; o măsură controversată care ar fi impus auditarea cibernetică anuală și periodică a invertoarelor sub pretextul spionajului cibernetic. Aceste propuneri, care păreau să aibă „semnătura” ANRE, ar fi creat o presiune suplimentară asupra prosumatorilor și ar fi încetinit progresul tranziției energetice”, arată Dan Pîrșan, președinte Asociația Prosumatorilor și a Comunităților de Energie (APCE).