Ante el aumento de los ataques a la infraestructura energética en Europa, las medidas de seguridad energética se están convirtiendo en un elemento fundamental de un sistema energético moderno de la UE. Sin embargo, los esfuerzos actuales se centran en la infraestructura energética tradicional, como las grandes centrales eléctricas centralizadas.
Para acelerar la transición a un sistema energético inteligente y digitalizado basado en energías renovables, el sector solar europeo ha emitido sólidas recomendaciones a los responsables políticos y reguladores de la UE para abordar los riesgos de ciberseguridad asociados a su tecnología en un sistema energético cada vez más digital. Los sistemas solares fotovoltaicos están digitalizados y cada vez más conectados a internet mediante inversores. Un nuevo informe, elaborado por DNV y encargado por SolarPower Europe, realiza una evaluación exhaustiva de riesgos para el sector y ofrece soluciones claras:
1 Desarrollar y exigir controles de ciberseguridad específicos de la industria, por ejemplo a través de una norma, para proteger la infraestructura solar fotovoltaica controlada a distancia.
2 Limitaro el acceso remoto y el control de los sistemas solares fotovoltaicos de la UE desde fuera de la UE a través del inversor.
Walburga Hemetsberger, CEO de SolarPower Europe, afirmó: “Como cualquier revolución tecnológica, la digitalización presenta una oportunidad increíble; por ejemplo, un ahorro de 160.000 millones de euros al año en costes del sistema energético. También conlleva nuevos retos, como la ciberseguridad. No necesitábamos protección antivirus para una máquina de escribir, pero sí la necesitamos para nuestros portátiles. Como sector responsable y con visión de futuro, hemos identificado el reto de la ciberseguridad y estamos a la altura para afrontarlo con soluciones claras e integrales”.
La transición ofrece claros beneficios para la seguridad energética
El informe señala que la transición de Europa de un sistema energético dependiente de unos pocos objetivos de alto impacto a un sistema más descentralizado ofrece claros beneficios para la seguridad energética. Para maximizar este beneficio, es necesario actualizar la legislación sobre ciberseguridad, centrada en la infraestructura energética centralizada heredada. Debe abordar las necesidades de seguridad específicas de las fuentes de energía distribuidas, como las pequeñas instalaciones solares en tejados.
El informe también señala que, si bien el sector solar ha sido blanco de ciberataques, estos no son comparables a los observados en otros sectores del sector energético, donde el espionaje industrial, el ransomware y los ataques que provocan apagones en la red pública se han producido con una frecuencia creciente durante la última década.
Al analizar el riesgo, el informe destaca los riesgos derivados de los controles directos sobre los inversores, por ejemplo, los destinados a la prestación de servicios de red, y las actualizaciones, por ejemplo, las destinadas a actualizaciones de seguridad. Por un lado, concluye que las instalaciones a gran escala son más seguras. Suelen estar gestionadas por empresas de servicios públicos con experiencia y amparadas por la Directiva NIS2 de la UE. Por otro lado, los sistemas solares a pequeña escala, que suelen ser instalaciones en tejados, carecen de normativas cibernéticas estrictas. Están conectados a las nubes de fabricantes, instaladores o proveedores de servicios. Si bien el impacto de comprometer una sola instalación es bajo, al sumarse para mejorar la eficiencia del sistema eléctrico, se convierten en centrales eléctricas virtuales de gran escala.
El informe señala que una vulneración selectiva de 3 GW de capacidad de generación puede tener implicaciones significativas para la red eléctrica europea. El análisis revela que más de una docena de fabricantes, tanto occidentales como no occidentales, controlan considerablemente más de 3 GW de capacidad instalada en la actualidad. En consecuencia, de las 14 áreas de riesgo evaluadas en el informe, 5 se clasifican como de riesgo medio, 6 como de riesgo alto y 3 como de riesgo crítico.
La medición del riesgo combina la gravedad del impacto y la probabilidad. Si bien la legislación adoptada por la UE, como la Ley de Ciberresiliencia, la Directiva NIS2 y el Código de Red para la Ciberseguridad (NCCS), mitigan parte del riesgo, SolarPower Europe describe una ruta clara para alcanzar la categoría de "riesgo bajo" en las 14 áreas de riesgo.
Dos soluciones generales
Para volver a una categoría de riesgo "bajo" en materia de ciberseguridad, el informe recomienda dos soluciones generales. La primera garantizaría que la legislación vigente en materia de ciberseguridad se ajuste a las necesidades del sector solar. La segunda introduciría nuevas normas que mantengan el control de los sistemas solares pertinentes mediante inversores dentro de la UE o en jurisdicciones que puedan ofrecer un nivel de seguridad equivalente.
En cuanto a la segunda solución, el informe recomienda seguir un enfoque similar al del RGPD, según el cual el control de dispositivos distribuidos agregados, como los sistemas solares de pequeña escala en tejados, solo debería realizarse en regiones con una seguridad equivalente a la de la UE. Esto debería implementarse a través del Sistema Nacional de Control de la Seguridad de la Información (NCCS) de la UE u otro nuevo procedimiento acelerado. Las entidades de alto riesgo estarían obligadas a desarrollar soluciones cibernéticas que serían supervisadas y aprobadas por las autoridades competentes.
Deja tu comentario
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios