Pe lângă parametrii tehnici pe care orice producător trebuie să îi respecte atunci când pune pe piață un dispozitiv inteligent folosit în sistemul energetic, pe viitor, acesta ar putea să mai aibă o obligație.
Aceea de a respecta o serie de reguli privind securitatea cibernetică – precum verificarea firmware-ului, adică a codului software care însoțește echipamentul, de către o instituție a statului român sau stocarea datelor utilizatorilor într-un cloud din România.
O propunere legislativă înregistrată la Senat zilele trecute de 24 de parlamentari PSD și PNL deschide calea implicării Departamentului Național de Securitate Cibernetică (DNSC) în procesul de autorizare a acestor echipamente.
E vorba de dispozitive inteligente – precum invertoarele sistemelor fotovoltaice aflate în multe gospodării sau contoarele inteligente montate de operatorii de energie – pe care, în prezent, statul român nu le auditează din punctul de vedere al securității cibernetice.
Piața acestor echipamente este controlată de companii din China. În cazul invertoarelor, de pildă, acestea presupun colectarea de date personale ale utilizatorilor, care sunt stocate în cloud-uri din afara Uniunii Europene.
Temerea că aceste date ar putea fi folosite de un stat neprietenos – precum China – există, de altfel, și la nivelul Uniunii Europene. Lituania a impus deja măsuri similare celor pe care vrea să le implementeze acum România, pentru a-și proteja sistemul energetic.
Inițiatorul legii, deputatul PSD, Mădălin Borș, declară pentru Europa Liberă că una dintre obligațiile viitoare ale acestor producători ar putea fi chiar de a stoca aceste date într-un cloud pus la dispoziție de statul român.
El argumentează că, în prezent, autoritățile române nu știu cât de sigure sunt din punct de vedere al securității cibernetice echipamentele de acest tip conectate la sistemul energetic național. Cele mai multe sunt fabricate în China.
Ce prevede propunerea
Propunerea legislativă de modificare a Legii energiei electrice și gazelor naturale a fost înregistrată la finele lunii septembrie la Senat.
Ea introduce un articol de lege care dă putere Directoratului Național de Securitate Cibernetică să stabilească un set de reguli pe care producătorii de echipamente inteligente trebuie să le respecte dacă vor să intre sau să rămână pe piața din România.
Practic, DNSC ar urma să auditeze echipamentele, la fel ca Agenția Națională de Reglementare a Energiei (ANRE).
ANRE verifică însă doar respectarea de către producători a parametrilor tehnici și comerciali.
O altă instituție a statului român implicată în acest proces este Transelectrica – proprietarul rețelei naționale – care însă „nu autorizează invertoare, ci verifică îndeplinirea cerințelor tehnice de racordare la rețea a acestora”, după cum precizează compania într-un răspuns pentru Europa Liberă.
Astfel, noul proiect vizează echipamentele folosite în sistemele de până 1 MW, adică toți cei aproximativ 250.000 de prosumatori din țară, precum și parcurile de producție care au sub această capacitate.
Momentan, propunerea legislativă a fost trimisă la ANRE, Consiliul Legislativ, Consiliul Concurenței și Consiliul Economic și Social pentru puncte de vedere.
Motivarea proiectului menționează că unul dintre scopurile noii legi este „minimalizarea riscurilor legate de potențiala influență a unor actori ostili asupra sistemului energetic național”.
„Prin prezenta propunere legislativă se urmărește introducerea temeiului legal pentru viitoare norme de securitate cibernetic prin care să se asigure un mediu sigur din această perspectivă.”
Expunerea de motive precizează că respectarea unor reguli de securitate cibernetică s-ar putea aplica și firmelor care livrează echipamente inteligente în energie în diferite licitații publice.
„Licitațiile pentru desfășurarea de energie din surse regenerabile ar trebui să includă criterii de precalificare care să pună în aplicare măsuri de gestionare a riscurilor de securitate cibernetică.”
Dacă propunerea legislativă va fi adoptată – iar șansele sunt mari având în vedere că inițiatorii și susținătorii sunt din partea Puterii – ar urma ca DNSC să bată în cuie, concret, regulile pe care producătorii de astfel de echipamente trebuie să le respecte.
Europa Liberă a solicitat un punct de vedere pe acest subiect de la DNSC. Îl vom publica imediat ce vom primi răspunsul.
„Nu are nimeni control asupra a ceea ce se întâmplă cu aceste echipamente”
Într-un interviu pentru Europa Liberă, deputatul Mădălin Borș, inițiatorul proiectului, estimează că legea și regulamentul DNSC ar putea intra în vigoare cel mai târziu în vara anului viitor.
Borș este secretar în Comisia pentru tehnologia informației și comunicațiilor din Parlament și a organizat, recent, mai multe dezbateri cu privire la securitatea cibernetică a sistemului energetic.
El spune că ideea de a introduce noi reguli de securitate cibernetică pentru producători i-a venit după ce a aflat cât de puțin protejate sunt datele colectate de producători de la consumatori și prosumatori.
Un invertor, de pildă, adică dispozitivul care transformă curentul continuu produs de panourile fotovoltaice în curent electric alternativ, funcționează prin intermediul unei aplicații informatice puse la dispoziție de producător.
În România, cei mai mulți producători de invertoare sunt din China; estimările specialiștilor arată că cel puțin 70% din aceste dispozitive sunt chinezești, cu Huawei – companie exclusă de România din rețeaua 5G fix pentru temeri legate de securitate cibernetică – lider incontestabil.
„În prezent, nu are nimeni control asupra a ceea ce se întâmplă cu aceste echipamente. Nu vreau să alarmez pe nimeni, dar datele care sunt folosite pentru accesul la aceste echipamente în clipa de față nu au niciun fel de protecție și îmi asum această afirmație”, declară deputatul Mădălin Borș.
Datele la care face referire parlamentarul sunt stocate, de regulă, în servere din China asupra cărora statul român nu are niciun control.
Ce reguli ar putea apărea, așadar, pe fundamentul acestei propunere de lege?
„Practic, ce ne interesează este ca firmware-ul – acel cod software care însoțește echipamentul – să nu vină la pachet cu un cod malițios, care să permită accesarea sa externă”, spune inițiatorul legii.
El subliniază că procesul nu va afecta în niciun fel consumatorii, ci doar producătorii, care vor avea obligația să pună la dispoziția DNSC firmware-ul care însoțește echipamentul energetic.
„DNSC-ul va analiza acest firmware și îl va valida [dacă totul e în regulă]. Producătorul, în mod invizibil pentru utilizatorul final, va face ceea ce se cheamă deployment software – practic un update – astfel încât să știm că de la momentul T0 acel firmware este verificat de DNSC”.
Europa Liberă a scris despre riscurile de securitate
Nu e prima dată când la nivelul statului român se discută despre verificarea echipamentelor inteligente folosite în energie.
Pe 29 octombrie 2024, Ministerul Energiei punea în dezbatere publică un proiect de modificare a Legii energiei electrice care avea să stârnească rumoare.
Printre modificările propuse prin acel proiect se număra și „obligația auditării cibernetice anuale și periodice a invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice”.
În nota de fundamentare a acelui proiect de lege, ministerul susținea că are informații că în România sunt montate invertoare fotovoltaice și controlere energetice aduse din China care sunt „frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care pot permite atacatorilor să preia controlul asupra dispozitivului/rețelei energetice.”
„Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice”, scria ministerul.
Atât proiectul de lege, cât și nota de fundamentare au fost retrase de minister, iar ministrul de la acea vreme, Sebastian Burduja, explica pentru Europa Liberă că a renunțat la proiect pentru că Guvernul lucra, în paralel, la o altă legislație.
Pe 13 aprilie 2025, într-un articol intitulat „România a fugărit China din infrastructura 5G, dar i-a deschis larg porțile către cea energetică”, Europa Liberă atrăgea atenția asupra vulnerabilităților pe care invertoarele folosite în sistemele fotovoltaice le pot avea pentru sistemul energetic.
Explicam atunci cu ajutorul experților că lider în piața invertoarelor este Huawei, cu zeci de mii de invertoare montate în gospodăriile sau instituțiile publice din România, pe care nimeni nu le-a auditat strict din punctul de vedere al securității cibernetice.
Asta deși echipamentele sale sunt interzise în rețelele de comunicații 5G, printr-o decizie luată de Consiliul Suprem de Apărare a Țării în aprilie 2024.
Într-un răspuns pentru Europa Liberă, Huawei – care are 1.500 de angajați în România – spune că respectă standardele internaționale și industriale de securitate cibernetică.
„Infrastructura noastră IT pentru aplicația FusionSolar împreună cu centrul de operare și întreținere sunt localizate în Europa, astfel, toate datele aferente sunt stocate în Europa și pot fi accesate numai în Europa pe baza autorizației prealabile a utilizatorului invertorului, în conformitate cu Regulamentul general privind protecția datelor.”
Compania ne-a transmis, de asemenea, că „nu se angajează niciodată în nicio activitate care amenință securitatea cibernetică a clienților săi sau încalcă confidențialitatea datelor utilizatorilor finali.”
Manualul aplicației prin intermediul căreia se folosește invertorul Huawei menționează însă că compania poate partaja datele colectate cu furnizori de servicii intragrup, inclusiv cu Huawei Technologies Co., Ltd. din Republica Populară Chineză, companie care oferă servicii de mentenanță.
De ce e o problemă un invertor nesecurizat?
Pentru că invertorul nu este doar un dispozitiv care controlează fluxul de energie electrică.
El comunică în mod direct cu rețeaua electrică, cu bateria sau, prin intermediul internetului, cu alte sisteme externe.
Dacă ai devenit prosumator, probabil știi că, înainte de a injecta energie în rețeaua națională, invertorul tău a fost limitat de inginerul care ți-a instalat sistemul să capteze din panourile solare doar energia pe care o consumi în casă.
După ce operatorul de distribuție ți-a montat un nou contor, acea limitare a fost ridicată, în timp real, de la distanță, de instalator.
De la zeci, sute sau mii de kilometri distanță, așadar, cineva poate stabili ca invertorul tău să valorifice mai mult din energia captată de panourile de pe casă.
Dacă pe acel traseu, în loc să fie o persoană de bună credință (instalatorul), s-ar afla un hacker, ce daune ar putea provoca?
Pentru un simplu consumator – explică expertul în securitate cibernetică Alexandru Angheluș – un astfel de actor rău-voitor ar putea să-i oprească de la distanță producția de energie, să modifice setările de funcționare ale invertorului sau chiar să transmită comenzi malițioase prin care să deterioreze bateria.
Ultima variantă ar putea îmbrăca, în anumite situații, și o formă sinistră: incendierea bateriei.
În infrastructuri de mari dimensiuni – precum ferme fotovoltaice sau instituții publice alimentate cu energia produsă de panouri – consecințele pot fi mult mai grave. Ele pot ajunge până la destabilizarea rețelei electrice locale sau regionale.
Teoretic, hackerii pot să oprească de la distanță furnizarea de electricitate dinspre punctul în care e montat sistemul de panouri fotovoltaice. Fie că e vorba de o casă sau un spital.
„Deși nu este o funcționalitate justificată legal sau etică, posibilitatea tehnică de oprire de la distanță există în anumite configurații, iar dependența de aplicațiile cloud și de producători poate reprezenta un risc serios pentru continuitatea furnizării de energie prin intermediul sistemului fotovoltaic”, atrage atenția expertul în securitate cibernetică Alexandru Angheluță.
Dacă legea propusă de deputatul Borș va fi adoptată, România s-ar alătura țărilor europene care au implementat deja măsuri similare.
În noiembrie 2023, Parlamentul lituanian a adoptat o lege prin care a introdus în legislație un articol numit „cerințe de securitate pentru sistemele de control ale dispozitivelor electrice” în legislația țării.
Legea lituaniană prevede că sistemele de producție a energiei electrice și/sau de gestionare a informațiilor (invertoare, de exemplu) cu o capacitate instalată mai mare de 100 kW trebuie configurate în așa fel încât țările care reprezintă o amenințare la adresa securității naționale a Republicii Lituania să nu aibă acces la ele.
Europa Liberă România e pe Google News. Abonați-vă AICI.
