To ograniczy rynek magazynów energii. Jak udowodnić zgodność EMS z unijnymi regulacjami?
Kilka unijnych dyrektyw odnośnie cyberbezpieczeństwa systemów zarządzania energią (EMS) w nowej dotacji na magazyny energii wprowadziło niemałe zamieszanie na rynku. W skrócie – istnieje obawa, że przez te zasady spora część urządzeń wypadnie z rynku. Zastanawiające jest również, jak zgodność z zasadami międzynarodowymi będzie sprawdzana. Okazuje się – mimo małej liczby konkretów ze strony NFOŚiGW – że prosta deklaracja nie wystarczy. A to powinno zainteresować i branżę, a także inwestorów.
Michał Jakubiec
- Odpowiedź jest, ale szczegółów brak. NFOŚiGW wskazuje ogólne typy dokumentów, które mogą potwierdzać zgodność z regulacjami. Nie wiadomo jednak, które z nich będą faktycznie wymagane w praktyce.
- Rynek nie wie, jak się przygotować. Różnica między prostą deklaracją producenta a pełnym audytem bezpieczeństwa jest ogromna. Bez jasnych wytycznych trudno ocenić, które urządzenia spełnią warunki programu.
- Niepewność może hamować inwestycje. Firmy i prosumenci wstrzymują decyzje, czekając na doprecyzowanie zasad. Jeśli wymagania okażą się zbyt rygorystyczne, wybór dostępnych rozwiązań może się znacząco zawęzić.
NFOŚiGW odpowiada na pytania o cyberbezpieczeństwo w programie Przydomowe Magazyny Energii. Konkretów nadal jednak brakuje
Po publikacji zasad programu Przydomowe Magazyny Energii do naszej redakcji zaczęły wracać pytania, które trudno zignorować. Dopytujecie nie tylko o sam sens wymogów dotyczących cyberbezpieczeństwa, ale przede wszystkim o to, jak mają one wyglądać w praktyce podczas naboru. Właśnie dlatego skierowaliśmy do NFOŚiGW dodatkowe pytania, prosząc o doprecyzowanie zapisów dotyczących systemów zarządzania energią (EMS) oraz dokumentów, na podstawie których beneficjenci będą musieli wykazać zgodność swoich urządzeń z unijnymi regulacjami i normami.
Nasze stanowisko w tej sprawie pozostaje jasne. Cyberbezpieczeństwo w energetyce rozproszonej jest bardzo ważne i trudno je dziś traktować jako temat poboczny, zwłaszcza gdy coraz więcej urządzeń komunikuje się z siecią i zarządza przepływami energii w domu. Jednocześnie takie wymagania trzeba wprowadzać z rozwagą, bo źle zaprojektowane mogą wywołać więcej niepewności niż realnego porządku.
Zapytaliśmy o konkrety, bo rynek nadal ich nie zna
W związku z narastającymi obawami wokół wymogów dla EMS poprosiliśmy Fundusz o odpowiedzi na pięć konkretnych pytań. Chcieliśmy ustalić, jakie środki dowodowe będą wymagane przy wykazywaniu zgodności z dyrektywą NIS2, aktem delegowanym RED DA, Cyber Resilience Act oraz normą ETSI EN 303 645. Dopytaliśmy również, czy istnieje możliwość doprecyzowania lub złagodzenia tych wymogów tak, aby były adekwatne do skali i charakteru małych instalacji.
To ważne, ponieważ mówimy o kilku różnych aktach prawnych i jednej normie, które nie funkcjonują na identycznych zasadach. Już na pierwszy rzut oka widać, że nie można wrzucić ich do jednego worka i oczekiwać, że wystarczy jeden prosty dokument, by zamknąć temat. Rynek chce wiedzieć, czego dokładnie ma się spodziewać, bo od tego zależy nie tylko przygotowanie oferty, ale też realna dostępność urządzeń dla inwestorów. My również chcieliśmy i mamy odpowiedź.
- Wcześniejszą odpowiedź NFOŚiGW opisujemy tutaj: Kontrowersje wokół EMS w nowej dotacji na magazyny energii – NFOŚiGW odpowiada na zarzuty!
Odpowiedź NFOŚiGW nie rozwiewa wątpliwości ws. EMS
W odpowiedzi przekazanej naszej redakcji NFOŚiGW zajął takie stanowisko – dość lakoniczne:
“Zakres oraz rodzaj środków dowodowych potwierdzających zgodność systemów EMS (oraz falowników) z wymogami dyrektywy NIS2, aktu delegowanego RED DA, Cyber Resilience Act oraz normy ETSI EN 303 645 będą jednoznacznie określone w dokumentacji naborowej. Co do zasady, mogą one obejmować m.in. deklaracje zgodności producenta, certyfikaty, raporty z audytów lub testów bezpieczeństwa, a także odpowiednią dokumentację techniczną – w zależności od charakteru danego aktu prawnego lub normy oraz funkcjonalności danego systemu”
Na poziomie ogólnym brzmi to uspokajająco, bo potwierdza, że katalog możliwych dokumentów ma być opisany i uporządkowany. Choć trudno sobie wyobrazić, aby było inaczej. Problem w tym, że z tej odpowiedzi nadal nie wynika, jakie dokumenty rzeczywiście będą wystarczające w konkretnych przypadkach. A to właśnie ten szczegół interesuje dziś branżę najbardziej, bo między ogólną deklaracją producenta a rozbudowanym raportem z audytu bezpieczeństwa jest bardzo duża różnica.
Deklaracja producenta EMS może nie wystarczyć
W tym miejscu pojawia się zasadnicza wątpliwość. W przypadku takich odniesień jak ETSI EN 303 645, NIS2 czy Cyber Resilience Act sama prosta deklaracja może okazać się niewystarczająca, zwłaszcza jeśli regulamin naboru będzie wymagał bardziej formalnego i szczegółowego potwierdzenia zgodności. Dziś nadal nie wiemy, czy wystarczy podstawowy komplet dokumentów od producenta, czy też potrzebne będą dowody, które spełni tylko ograniczona część rynku.
Brak precyzji sprawia, że napięcie wokół programu nie maleje. Wiele osób zgłasza nam, że nie potrafi jeszcze ocenić, czy oferowane dziś systemy będą kwalifikowały się do programu, czy raczej utkną na etapie formalnej weryfikacji. Inwestorzy, którzy dopiero planują zakup, także zostają w zawieszeniu, bo nie wiedzą, czy za kilka tygodni wybór urządzeń będzie szeroki, czy mocno ograniczony.
Pojawia się też pytanie o spójność całego podejścia
Wątpliwości nie dotyczą wyłącznie wysokości poprzeczki, ale też logiki całego modelu. Jeżeli cyberbezpieczeństwo ma być jednym z filarów programu, to naturalnie rodzi się pytanie, dlaczego dyskusja tak mocno skupia się na EMS, skoro potencjalne słabości mogą występować również w innych elementach instalacji. Trudno mówić o pełnym bezpieczeństwie cyfrowym, gdy system zarządzania energią spełni rygorystyczne warunki, a obok niego będzie pracował słabiej zabezpieczony router, falownik albo inny komponent komunikujący się z siecią.
Fundusz zapowiada doprecyzowanie wymogów
W drugiej części odpowiedzi NFOŚiGW zaznaczył, że szczegółowe podejście do wymogów w zakresie cyberbezpieczeństwa, w tym ich ewentualne doprecyzowanie lub dostosowanie do skali i charakteru instalacji, zostanie określone w regulaminie naboru. Zatem ostateczny kształt wymogów nie został jeszcze przedstawiony w pełnym zakresie.
Ta deklaracja zostawia jednak rynek w podobnym miejscu jak wcześniej. Wiemy, że doprecyzowanie ma nadejść, ale nadal nie wiemy, w którą stronę pójdzie. Czy będzie to model proporcjonalny do skali instalacji i realiów rynku, czy raczej zestaw wymagań, który okaże się trudny do spełnienia dla wielu producentów i integratorów.
Cyberbezpieczeństwo jest potrzebne, ale musi być wdrażane rozsądnie
W całej tej dyskusji łatwo zgubić rzecz najważniejszą, czyli sam cel. Nie chodzi o to, by podważać sens cyberbezpieczeństwa, bo przy rosnącej liczbie połączonych urządzeń byłoby to po prostu nierozsądne. Chodzi o to, by wymagania były czytelne, proporcjonalne i spójne, tak aby rzeczywiście zwiększały bezpieczeństwo instalacji, a nie stawały się źródłem chaosu interpretacyjnego. I nie ograniczały prosumentom wyboru urządzeń do kilku dostawców.
Skoro nie wiadomo jeszcze, jakie dokładnie dokumenty będą wymagane i jak rygorystycznie będą oceniane, trudno oczekiwać od firm oraz inwestorów pełnego spokoju. Im dłużej utrzymuje się ten stan niepewności, tym większe ryzyko, że program zamiast otwierać rynek, zacznie go chwilowo hamować.
NFOŚiGW nie wycofuje się z kursu na cyberbezpieczeństwo, ale też nie pokazał jeszcze szczegółów, które pozwoliłyby branży odetchnąć z ulgą. A ponieważ temat dotyczy inwestycji, sprzętu i odpowiedzialności po stronie beneficjentów, trudno się dziwić, że pytań wciąż przybywa.
Opracowanie własne na podstawie zasad programu Przydomowe Magazyny Energii i odpowiedz NFOŚiGW.
