Ministerul Energiei susține că nu vrea să-i oblige pe prosumatori la audituri de securitate cibernetică, după ce a făcut un proiect de OUG din care asta s-a înțeles

“Ministerul Energiei nu urmărește sub nicio formă obligarea prosumatorilor de a efectua audituri de securitate cibernetică, ci doar, eventual, a marilor producători/operatori de rețea. Individualizarea marilor producători/ operatori de rețea se poate realiza doar prin raportare la calitatea de operator de servicii esențiale, astfel cum este definită prin Directiva NIS2 și viitoarea lege de transpunere”, a transmis instituția.

“Singura intenție a Ministerului Energiei este aceea de a proteja, prin măsuri preventive, securitatea cibernetică a marilor producători de energie electrică, în scopul asigurării securității sistemului energetic național”, mai arată instituția, care mai spune că proiectul este în dezbatrere publică, deci se va ține cont de obiecțiile formulate.

“Proiectul se află abia în faza consultării publice, ceea ce înseamnă că poate suferi modificări, completări sau chiar eliminarea normei, dacă autoritățile publice consultate, partenerii sociali și societatea civilă formulează propuneri în cauză.Ministerul Energiei rămâne deschis dialogului cu specialiștii din domeniu și garantează public că forma finală a proiectului de act normativ va satisface opiniilor formulate de specialiști și autoritățile naționale competente în domeniul energiei, securității cibernetice etc”, a mai transmis instituția.

De la ce a pornit totul

După cum am scris cu o zi în urmă, ministerul Energiei a elaborat un proiect de act normativ referitor la stocare, care conține și câteva prevederi cu impact asupra proprietarilor de instalații fotovoltaice, indiferent dacă sunt mici sau mari – toate invertoarele vor fi auditate cibernetic pentru că există temerea că transmit date către țări din Asia care ar permite atacuri cibernetice asupra rețelei electrice.

“Se propune inclusiv obligația auditării cibernetice anuale și periodice a invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice, în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică. Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care poate permit atacatorilor să preia controlul asupra dispozitivului/ rețelei energetice”

Prevederea apare în nota de fundamentare a unui proiect de OUG elaborat de Ministerul Energiei, “Ordonanță de urgență pentru modificarea şi completarea Legii energiei electrice şi a gazelor naturale nr. 123/2012,  precum și pentru modificarea și completarea Legii nr. 220/2008 privind stabilirea sistemului de promovare a producerii energiei din surse regenerabile”

“Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice. Printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie  în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave”, se arată în nota de fundamentare.

“Auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice. Având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice. Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetice”, mai arată nota de fundemantare.