Propunere de modificare a Legii energiei: introducerea de norme privind riscurile cibernetice în infrastructura energetică

Un proiect legislativ ce propune modificarea Legii 123/2012 a energiei prevede introducerea unor dispoziții care să asigure un nivel ridicat de securitate cibernetică și securitate a datelor în instalațiile de producere a energiei.

Conform parlamentarilor care susțin proiectul, inițiativa este importantă pentru menținerea securității aprovizionării cu energie și a infrastructurii energetice critice a României. După cum se arată în expunerea de motive ce prefațează măsura, necesitatea reglementării ar decurge din faptul că riscurile de securitate cibernetică pot afecta negativ confidențialitatea informațiilor prelucrate în construcția și exploatarea instalațiilor de energie din surse regenerabile, punând în pericol capacitatea operatorului de a păstra controlul operațional al acestora.

Conform sursei citate, instalațiile de energie din surse regenerabile se confruntă cu un set larg de riscuri potențiale legate de lanțul de aprovizionare, inclusiv indisponibilitatea comunicațiilor (TIC), riscuri asociate produselor sau serviciilor din lanțul de aprovizionare, precum și atacuri cibernetice inițiate de actori din lanțul de aprovizionare, incluzând state rău intenționate.

Pentru a se asigura că toți ofertanții abordează în mod corespunzător aceste provocări, licitațiile pentru desfășurarea de energie din surse regenerabile ar trebui să includă criterii de precalificare care să pună în aplicare măsuri de gestionare a riscurilor de securitate cibernetică.

Aceste măsuri trebuie să fie aplicabile produselor sau serviciilor TIC furnizate de furnizorii lor, susțin parlamentarii PSD care au inițiat propunerea. Conform acestora, criteriile de precalificare, inspirate de recomandările europene, precum cele din Actul privind Industria Net Zero (The Net Zero Industry Act), trebuie să acopere conduita comercială responsabilă, securitatea cibernetică și securitatea datelor, alături de capacitatea de a livra proiectele integral și la timp.

Un aspect invocat în susținerea propunerii de reglementare se referă la gestionarea datelor în context internațional. Astfel, stocarea și prelucrarea datelor legate de exploatarea instalațiilor de energie regenerabilă în jurisdicții din afara Spațiului Economic European (SEE) ar putea genera amenințări la adresa securității instalațiilor și a întregului sistem.

Prin urmare, ar fi necesar un nivel suplimentar de protecție a datelor. Astfel, dacă un ofertant se află sub jurisdicția unei țări terțe care solicită raportarea informațiilor privind vulnerabilitățile software sau hardware către autoritățile sale, ofertanții trebuie să furnizeze un plan de securitate cibernetică justificat.

Acest plan trebuie să prezinte măsuri tehnice, operaționale și organizatorice clare, care să garanteze că datele utilizate sau generate în activitățile lor comerciale legate de licitație sunt stocate și prelucrate în SEE și nu sunt transferate în afara SEE. Totodată, un operator stabilit în SEE ar trebui să mențină controlul operațional al instalației pentru a garanta securitatea acesteia și aplicarea legislației UE.

Controlul prosumatorilor, noul „măr al discordiei” din energie

Proiectul legislativ prevede, de asemenea, că Directoratul Național de Securitate Cibernetică (DNSC) ar urma să stabilească reguli tehnice și să controleze la distanță prin oprire funcționarea instalațiilor de producere a energiei regenerabile: „accesul garantat la reţelele electrice şi dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie şi în cogenerare de înaltă eficienţă, cât şi pentru accesul prioritar la reţelele electrice şi dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie şi în cogenerare de înaltă eficienţă în centrale cu puteri instalate mai mici sau egale cu 1 MW, în măsura în care nu este afectat nivelul de siguranţă a SEN” (n. red. - sistemul energetic național).

Această din urmă prevedere a determinat reacția Asociației Prosumatorilor și Comunităților de Energie din România (APCE), care susține într-un comunicat de presă că „dispecerizarea prioritară a energiei electrice produse din surse regenerabile”, la care face referire propunerea, nu face altceva decât să dea posibilitatea statului sau operatorului de rețea „să oprească sau să reducă producția instalației tale fotovoltaice, prin internet sau printr-o interfață software conectată la invertor”.

De asemenea, APCE susține că legiferarea unei astfel de propuneri ar permite statului să acceseze și să controleze echipamentele energetice private ale cetățenilor,  transformând un concept de securitate digitală într-o armă împotriva prosumatorilor. 

Conform Asociației, adoptarea unei astfel de legi „ar transforma România în prima țară din lume care introduce un control guvernamental asupra echipamentelor energetice private ale prosumatorilor, încălcând flagrant principiile pieței unice europene și drepturile fundamentale ale cetățenilor. (...) E ca și cum cineva ar decide prin lege să stingă becul din casa fiecărui român, de la distanță, în numele securității cibernetice”.