El sector solar europeo propone reglas de ciberseguridad más sólidas para la energía distribuida

En previsión de la creciente digitalización del sector energético, SolarPower Europe ha publicado un documento de posición que recoge una serie de recomendaciones para establecer una base de referencia de ciberseguridad armonizada para la energía solar fotovoltaica.

Para SolarPowerEurope, la digitalización es una gran oportunidad para el sector energético, ya que aumenta la eficiencia de las centrales eléctricas y permite gestionar de forma flexible los recursos energéticos descentralizados. Según los últimos modelos, las soluciones de flexibilidad digital ahorrarán 32.000 millones de euros en 2030 y 160.000 millones de euros en 2040. Sin embargo, al igual que las revoluciones tecnológicas anteriores, conlleva nuevos riesgos: en este caso, la ciberseguridad.

Los ciberataques pueden provocar el robo o la manipulación de datos, interrumpir las operaciones de las plantas de energía y desestabilizar el sistema eléctrico. Con el nivel actual de penetración de la energía solar, el riesgo de que la red sufra un impacto sigue siendo limitado, y hasta el momento no se conocen incidentes. Muchas empresas ya toman medidas de seguridad integrales que garantizan la resiliencia frente a los ciberataques. La UE ha adoptado políticas de ciberseguridad y protección de datos líderes en el mundo. Sin embargo, como sector con visión de futuro (que va camino de alcanzar una participación mayoritaria en la combinación energética), la industria solar pide a los reguladores y a los responsables políticos que el enfoque de la UE se traduzca en una base de preparación cibernética armonizada y específica para el sector.

El documento de posición elaborado por SolarPowerEurope presenta cuatro recomendaciones para esas medidas de seguridad para todo el sector. Así, en primer lugar, se cita mejorar los requisitos de gobernanza en la implementación de la Directiva de Seguridad de la Información y las Redes (NIS2) y aumentar la visibilidad de los riesgos en las redes de baja tensión en los marcos nacionales y de la UE.

La segunda recomendación, consiste en reforzar la ciberseguridad a nivel de producto, a través de los requisitos de cumplimiento de la Ley de Resiliencia Cibernética (CRA) y un estándar dedicado para los recursos energéticos distribuidos.

En tercer lugar, el documento señala que los datos operativos de las plantas de energía fotovoltaica deben permanecer en la UE o en jurisdicciones que puedan garantizar niveles de seguridad similares. Debería ser obligatoria una lista de mejores prácticas de operación segura para grandes centrales eléctricas y los organismos de normalización deberían implementar una línea base de ciberseguridad para la operación de pequeños recursos energéticos distribuidos, controlados a distancia y conectados mediante TI. La UE o los gobiernos nacionales deberían introducir una capa de seguridad que supervise los comandos relevantes cuando los agregadores y fabricantes coordinan de forma centralizada los dispositivos de recursos energéticos distribuidos, como los inversores.

Por último, los usuarios e instaladores de plantas fotovoltaicas a pequeña escala deben gestionar la ciberseguridad de sus dispositivos estableciendo contraseñas seguras e instalando actualizaciones de seguridad.