Obligația auditului cibernetic pentru operatori și prosumatori: ANRE nu a fost consultată și va recomanda eliminarea prevederii

G.C. Data publicării: Data actualizării:
panouri solare
sursa: shutterstock.com/

Un nou proiect de act normativ referitor la stocare cuprinde unele prevederi ce vizează operatorii de distribuție a energiei electrice și prosumatorii: obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice. Deși în nota de fundamentare se menționează că proiectul a fost elaborat în consultare cu Autoritatea Națională de Reglementare în domeniul Energiei (ANRE), reprezentanții au declarat că nu au fost întrebați. 

„ANRE dorește să clarifice că nu a fost consultată cu privire la nota de fundamentare a proiectului de ordonanță de urgență pentru modificarea și completarea Legii energiei electrice și a gazelor naturale nr. 123/2012, precum și pentru modificarea și completarea Legii nr. 220/2008 privind promovarea energiei din surse regenerabile”, a transmis ANRE pentru Profit.ro.

De asemenea, Autoritatea va recomanda, în cadrul procesului de consultare publică, eliminarea acestei prevederi întrucât „presupune resurse semnificative și specializate, poate avea un impact asupra tarifelor și nu definește în mod clar scopul auditului cibernetic. De asemenea, nu se prezintă o analiză de risc sau un studiu din care să rezulte necesitatea respectivului audit”. 

Nu în cele din urmă, ANRE mai arată, potrivit Profit.ro, că nu are atribuții de interpretare a legislației pe care nu o emite. „Conform prevederilor art. 9 alin. (1) din Codul civil, 'cel care a adoptat norma civilă este competent să facă și interpretarea ei oficială'. În acest sens, responsabilitatea de a interpreta și clarifica dispozițiile legale revine exclusiv instituției care a inițiat și emis această legislație.”

Ce spune proiectul

Proiectul de Ordonanţă de Urgenţă pentru modificarea şi completarea Legii energiei electrice şi a gazelor naturale nr.123/2012, precum și pentru modificarea și completarea Legii nr.220/2008 privind stabilirea sistemului de promovare a producerii energiei din surse regenerabile” a fost lansat miercuri în consultare publică. Termenul de consultare este de 10 zile lucrătoare.

Auditul cibernetic anual și periodic al invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice va fi realizat „în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică”, arată proiectul legislativ.

Vezi și Statul român vrea să impună operatorilor de distribuție și prosumatorilor obligația unui audit cibernetic anual. Despre ce e vorba?

„Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care poate permit atacatorilor să preia controlul asupra dispozitivului/ rețelei energetice. Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice”, arată sursa citată.

Printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie  în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave, se mai menționează în proiect.

Conform documentului, auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice. „Având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice. Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetice.”

Auditul cibernetic reprezintă o evaluare detaliată și sistematică a măsurilor de securitate implementate într-o infrastructură IT, în rețele și dispozitive, pentru a identifica posibile vulnerabilități și disfuncționalități. În acest context, introducerea acestei obligații pare că vine drept măsură proactivă pentru a proteja infrastructura critică de posibile atacuri care ar putea afecta funcționarea sistemelor energetice.

Legea nr. 58/2023 definește auditul de securitate cibernetică ca o evaluare sistematică a politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, având ca scop identificarea disfuncționalităților și vulnerabilităților și furnizarea soluțiilor de remediere. Această lege stabilește cadrul necesar pentru implementarea auditului de securitate cibernetică ca măsură proactivă, destinată prevenirii incidentelor și consolidării apărării împotriva atacurilor cibernetice.

Ministerul Energiei spune că nu urmărește obligarea prosumatorilor de a efectua audituri cibernetice

Ministerul Energiei a transmis, joi seară, o serie de precizări privind proiectul de act normativ care cuprinde, printre altele, unele prevederi ce vizează operatorii de distribuție a energiei electrice și prosumatorii: obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice.

„Ministerul Energiei nu urmărește sub nicio formă obligarea prosumatorilor de a efectua audituri de securitate cibernetică, ci doar, eventual, a marilor producători/operatori de rețea. Individualizarea marilor producători/ operatori de rețea se poate realiza doar prin raportare la calitatea de operator de servicii esențiale, astfel cum este definită prin Directiva NIS2 și viitoarea lege de transpunere”, a transmis Ministerul Energiei.

Proiectul se află în faza consultării publice, ceea ce înseamnă că poate suferi modificări, completări sau chiar eliminarea normei, dacă autoritățile publice consultate, partenerii sociali și societatea civilă formulează propuneri în cauză, mai spune sursa citată. 

„Singura intenție a Ministerului Energiei este aceea de a proteja, prin măsuri preventive, securitatea cibernetică a marilor producători de energie electrică, în scopul asigurării securității sistemului energetic național. 

Ministerul Energiei rămâne deschis dialogului cu specialiștii din domeniu și garantează public că forma finală a proiectului de act normativ va satisface opiniilor formulate de specialiști și autoritățile naționale competente în domeniul energiei, securității cibernetice etc.”, mai arată ministerul.