La crescente digitalizzazione del settore energetico offre numerose opportunità, ma comporta anche nuovi rischi, soprattutto in termini di sicurezza informatica. SolarPower Europe, l’associazione dei produttori solari in Europa, ha recentemente pubblicato un documento che mette in luce l’importanza della cybersecurity nel contesto del fotovoltaico.
Cybersecurity e fotovoltaico: in aumento gli attacchi hacker
Negli ultimi anni, il settore energetico ha visto un aumento significativo degli attacchi informatici. Un rapporto recente dell’Agenzia Internazionale dell’Energia ha rilevato che i cyberattacchi settimanali alla rete elettrica globale sono più che raddoppiati, passando da 504 a 1.101.
Anche gli impianti fotovoltaici non sono esenti da questi rischi. Un esempio significativo è stato l’attacco DoS nel maggio 2019 che ha colpito un’azienda di servizi pubblici negli Stati Uniti, interrompendo la connessione con le sue installazioni solari ed eoliche.
Gli impianti fotovoltaici moderni, con la loro crescente interconnessione e complessità, presentano diverse vulnerabilità: componenti come contatori avanzati, inverter, sensori e sistemi di controllo possono essere bersaglio di attacchi informatici.
Nonostante gli sviluppatori e i produttori implementino già misure di cybersecurity, le nuove normative europee, come la direttiva NIS2 e il Cyber Resilience Act, introducono ulteriori obblighi per migliorare la sicurezza del settore.
Per questo l’associazione ha stilato alcuni suggerimenti per potenziare il sistema.
Potenziare la Governance e la Visibilità del Rischio
Per migliorare la sicurezza informatica, SolarPower Europe suggerisce di rafforzare i requisiti di governance nell’implementazione della direttiva europea NIS2, aumentando la visibilità del rischio sulle reti a bassa tensione sia a livello nazionale che europeo.
Gli audit previsti dalla normativa dovrebbero essere basati sul rischio, seguendo gli standard ISO 27001, piuttosto che essere condotti indiscriminatamente su tutte le operazioni. Questo approccio permetterebbe alle aziende di focalizzare gli audit sui dipartimenti più critici in termini di sicurezza.
Rafforzare la cybersecurity del fotovoltaico
L’associazione propone di migliorare la sicurezza informatica a livello di prodotto, tramite requisiti di conformità al Cyber Resilience Act e uno standard dedicato per le risorse energetiche distribuite.
Attualmente, queste risorse non sono classificate come prodotti critici, permettendo ai produttori di dimostrare la conformità semplicemente tramite una dichiarazione UE. Classificare tali dispositivi come “prodotti importanti con elementi digitali, classe I” comporterebbe procedure di valutazione della conformità più rigorose, aumentando così la sicurezza.
Sicurezza Operativa delle Centrali Elettriche
SolarPower Europe sottolinea l’importanza di mantenere i dati operativi e non personali degli impianti fotovoltaici e delle apparecchiature energetiche intelligenti all’interno dell’UE o in giurisdizioni con livelli di sicurezza equivalenti. Questo approccio rispecchia quanto già avviene per i dati personali ai sensi del GDPR. Inoltre, dovrebbe essere obbligatorio un elenco di buone pratiche operative per le grandi centrali elettriche, per garantire una gestione sicura delle infrastrutture.
Infine, l’associazione evidenzia la necessità che gli utenti e gli installatori di impianti fotovoltaici di piccole dimensioni gestiscano la sicurezza informatica dei propri dispositivi. È fondamentale impostare password complesse e installare regolarmente gli aggiornamenti di sicurezza per proteggere le installazioni da potenziali attacchi.
