Špatná zpráva pro hackery: Senát schválil lepší kyberochranu solárů, baterií a energetické sítě

Energetický sektor včetně obnovitelných zdrojů čelí nebývalému nárůstu kybernetických hrozeb, které se ještě zvyšují s tím, jak se rozšiřuje využívání digitálních technologií. Na to reaguje nová evropská směrnice NIS 2 a navazující český zákon o kybernetické bezpečnosti, který ve středu 11. června schválil Senát.

„Kybernetická bezpečnost je v dnešní době klíčovým prvkem ochrany a prosperity našeho státu. Předkládaný návrh zákona je zásadní nejen pro udržení vysoké úrovně bezpečnosti České republiky, ale také z hlediska potvrzení pozice ČR jako jednoho ze světových lídrů v oblasti kybernetické bezpečnosti,“ představil zákon v horní komoře parlamentu ministr zemědělství Marek Výborný (KDU-ČSL).

„Tento návrh zákona posílí kybernetickou bezpečnost České republiky,“ řekla zpravodajka předlohy Jana Mračková Vildumetzová (ANO). Právnička Petra Dobešová z kanceláře Doucha Šikola advokáti, která se zákonem dlouhodobě zabývá, připomněla, že nový zákon přináší nové povinnosti do všech oblastí ekonomiky.

„Také mnohým výrobcům elektřiny a dalším podnikatelům v energetice začíná běžet čas pro přípravu kyberbezpečnostní dokumentace a úpravu smluv v dodavatelském řetězci podle požadavků nového zákona,“ sdělila Dobešová pro Obnovitelně.cz. Nová pravidla vstoupí v účinnost letos v říjnu.

• Psali jsme: Hackeři si brousí zuby na evropskou fotovoltaiku. Síť může ohrozit i malý kyberútok

„V první fázi doporučujeme prověřit, zda a v jakém režimu bude výrobce elektřiny novým zákonem regulován. V návaznosti na to bude nutné provést takzvanou gap analýzu s cílem zjistit, která z opatření předepsaných zákonem podnikatel v praxi již aplikuje a která opatření bude potřeba ještě zavést,“ uvedla Dobešová.

Nejen elektrárny nad 100 kW

Mezi nově regulované subjekty patří například provozovatelé solárních elektráren s instalovaným výkonem nad 100 kW, provozovatelé bateriových úložišť, agregátoři flexibility a další účastníci energetického trhu. 

„Zákon reaguje na rostoucí digitalizaci a decentralizaci energetického sektoru, kde kybernetické útoky mohou mít dalekosáhlé dopady na fungování trhu i bezpečnost dodávek energie,“ vysvětlil v dřívějším komentáři pro Obnovitelně.cz Luděk Šikola, partner advokátní kanceláře Doucha Šikola advokáti.

Pod proudem: Zateplit, nebo koupit tepelné čerpadlo? Odborníci radí, jak neudělat drahou chybu

Dodal, že zákon se sice primárně zaměřuje na velké a střední podniky, avšak díky dalším kritériím může dopadnout i na menší firmy. „Klíčovým faktorem bude tedy důkladná analýza, zda se konkrétní subjekt s ohledem na svou činnost a velikost do této regulace zařadí,“ poznamenal Šikola. Zda se jich zákon týká, si společnosti mohou ověřit například na internetových stránkách advokátní kanceláře.

Podle Šikoly bude muset každý regulovaný subjekt do 60 dnů od účinnosti zákona ohlásit poskytování regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Úřad následně podle stanovených kritérií zařadí subjekty do jednoho ze dvou režimů: režimu vyšších povinností nebo režimu nižších povinností. Pro každý z režimů definují prováděcí vyhlášky k zákonu požadavky na opatření, která budou muset subjekty implementovat.

„Nový zákon přináší nejen povinnosti, ale také příležitost k posílení odolnosti podniků vůči kybernetickým hrozbám. V dnešním digitálním světě, kde jsou kybernetické útoky stále sofistikovanější, je důraz na ochranu dat a systémů klíčový pro zachování důvěry zákazníků a stability trhu,“ uvedl Luděk Šikola.

Až stamilionové pokuty

Že nejde o planý poplach, dokazuje například událost z loňského září, kdy proruská hacktivistická skupina Just Evil a pravděpodobně i státem podporovaná skupina Beregini provedly koordinovaný útok na litevskou energetickou infrastrukturu. Útočníci tvrdili, že jejich cílem bylo řešení pro monitorování fotovoltaiky používané státní energetickou holdingovou společností Ignitis Group. 

• Tip: Bitcoin je problém nejen pro Fialovu vládu, ale i pro snižování emisí

Organizace Just Evil údajně získala přístup k monitorovacímu systému pro spotřebu energie 22 zákazníků společnosti Ignitis včetně nemocnic a vojenských akademií ve městě Kaunas. Šlo o další z kybernetických útoků na Ignitis po předchozích DDoS incidentech v předchozích letech.

„Evropská fotovoltaika je kyberneticky zranitelná,“ potvrdil Jindřich Stuchlý z izraelské společnosti SolarEdge, která je považována za špičku v kybernetické bezpečnosti. „Z posledních studií plyne, že například pro ohrožení stability sítě v Nizozemsku stačí ovládnout agregovaný výkon tři gigawatty a kaskádovitým efektem je ohrožena celá evropská síť. Jen samotní výrobci měničů ovládají přes monitorovací platformy výkony v řádech desítek či stovek gigawattů,“ upozornil Stuchlý.

Podle advokáta Luďka Šikoly by si podniky měly uvědomit, že nedodržení povinností plynoucích ze zákona může mít závažné důsledky. „Za porušení zákona hrozí pokuty až ve výši stovek milionů korun,“ upozornil Šikola. Vedle toho může NÚKIB uložit rovněž nepeněžité sankce, jako je pozastavení platnosti certifikací nebo dočasný zákaz výkonu funkce člena statutárního orgánu.

Ilustrační foto: Krokodyl, CC BY-SA 3.0