SolarPower Europe ha pubblicato un nuovo position paper sulla sicurezza informatica per il settore del solare fotovoltaico. Tra le raccomandazioni riportate, quella di aumentare la visibilità del rischio sulle reti a bassa tensione
Migliorare le valutazioni del rischio informatico. Definire un nuovo standard comunitario per la sicurezza prodotto per le risorse energetiche distribuite. Stabilire un livello di monitoraggio autorizzato a livello UE o nazionale. Questi alcuni punti chiave emersi dal nuovo documento su fotovoltaico e cybersicurezza presentato ieri da SolarPower Europe, l’associazione dei produttori solari in Europa. Il paper offre una serie di raccomandazioni politiche per alzare la guardia ora che la digitalizzazione è divenuta a un trend essenziale per lo sviluppo del sistema energetico.
“La digitalizzazione del settore energetico è una scelta ovvia”, ha sottolineato Dries Acke, Vice CEO di SolarPower Europe. “Aumenta l’efficienza delle centrali elettriche e consente una migliore gestione dell’energia distribuita per soddisfare la domanda e la capacità della rete. Un sistema energetico digitale ed elettrificato costerà agli europei 160 miliardi di euro in meno entro il 2040. Tuttavia, come le rivoluzioni tecnologiche precedenti, porta con sé anche nuove sfide, come la sicurezza informatica. Non avevamo bisogno di una protezione antivirus per una macchina da scrivere, ma ne abbiamo bisogno per i nostri laptop”.
Il rischio informatico colpisce anche gli impianti fotovoltaici
Nota bene: al momento i rischi sono ancora limitati ma con precedenti degni di nota. Il primo attacco informatico contro un impianto fotovoltaico denunciato pubblicamente ha coinvolto una vulnerabilità nota nel firewall di un software di rete commerciale. Nel maggio 2019, un’azienda di servizi pubblici negli Stati Uniti occidentali ha segnalato al Dipartimento dell’Energia di essere stata compromessa da un attacco DoS che aveva preso di mira il firewall dell’azienda e che aveva interrotto la connessione con le sue installazioni solari ed eoliche.
Ed è innegabile che negli ultimi anni gli attacchi informatici abbiano registrato un aumento nel settore energetico. Un recente rapporto dell’Agenzia internazionale dell’Energia ha dimostrato che i cyberattacchi alla rete elettrica globale sono passati da 504 a 1.101 a settimana.
I punti deboli di un impianto fotovoltaico
Va da sé che la crescente complessità dei sistemi FV interconnessi sia destinata a introdurre sfide alla sicurezza sempre nuove. Vari componenti come i contatori avanzati, gli inverter, i sensori e i sistemi di controllo possono presentare rischi di vulnerabilità.
“Oggigiorno, il rischio di un attacco informatico di vasta portata alla rete elettrica europea tramite gli impianti fotovoltaici è limitato. Gli sviluppatori e i produttori di progetti implementano già misure di cybersecurity nel loro interesse”, commenta Acke. “E le nuove normative dell’UE sulla sicurezza informatica, all’avanguardia a livello mondiale, come la direttiva aggiornata sulla sicurezza delle reti e dell’informazione e il Cyber Resilience Act, comportano nuovi obblighi. Tuttavia, siamo un settore che guarda al futuro e sulla buona strada per fornire la maggior parte dell’elettricità europea. Prendiamo questa responsabilità seriamente”.
leggi anche Incentivi al fotovoltaico per aziende, i contributi 2024
Fotovoltaico e cybersicurezza
Come migliorare il rapporto tra fotovoltaico e cybersicurezza? L’associazione riporta alcuni suggerimenti a cominciare dal miglioramento dei requisiti di governance nell’implementazione della direttiva europea NIS2 e dall’applicazione al fotovoltaico. Aumentando nel contempo la visibilità del rischio sulle reti a bassa tensione nel quadro nazionale e dell’UE.
Secondo SolaPower Europe “gli audit previsti dalla normativa NIS2 dovrebbero essere basati sul rischio, seguendo gli standard ISO 27001, anziché essere condotti per tutte le operazioni”, come richiesto dal testo attuale. “Questo approccio ridurrebbe l’onere per le aziende, consentendo loro di concentrare gli audit sui dipartimenti con implicazioni significative in termini di sicurezza, garantendo al tempo stesso la copertura necessaria”.
L’associazione suggerisce anche di rafforzare la sicurezza informatica a livello di prodotto, tramite requisiti di conformità al Cyber Resilience Act (CRA) e uno standard dedicato per le risorse energetiche distribuite. Attualmente, queste risorse non sono classificate come prodotti importanti o critici, consentendo ai produttori di dimostrare la conformità semplicemente rilasciando una dichiarazione di conformità UE. Tuttavia, classificare i loro dispositivi come “prodotti importanti con elementi digitali, classe I”, sottoporrebbe i fabbricanti a procedure di valutazione della conformità più rigorose.
Altro punto essenziale: incrementare la cybersecurity per il funzionamento delle centrali elettriche, garantendo che i dati operativi e non personali degli impianti fotovoltaici e delle apparecchiature energetiche intelligenti rimangano nell’UE o in giurisdizioni che possano garantire un livello di sicurezza equivalente. Un po’ come succede oggi con i dati personali ai sensi del GDPR.
Per SolarPower Europe, inoltre, dovrebbe essere obbligatorio un elenco di buone pratiche di funzionamento sicuro per le grandi centrali elettriche. Infine l’associazione chiede che utenti e gli installatori di impianti fotovoltaici di piccola dimensione gestiscano la sicurezza informatica dei propri dispositivi impostando password complesse e installando aggiornamenti di sicurezza.