SolarPower Europe ha rilasciato un position paper sulla cybersecurity per il comparto del fotovoltaico. Rinsaldare la sicurezza cibernetica a livello di prodotto e incrementare la visibilità del rischio sulle reti a bassa tensione sono due tra i suggerimenti riportati.
LEGGI IL RAPPORTO DI SOLAR POWER EUROPE 2024
Cybersicurezza degli impianti fotovoltaici
La cybersecurity rappresenta una delle sfide più urgenti nell’ambito di un sistema energetico sempre più digitale, interconnesso e flessibile, nel quale è indispensabile gestire una mole rilevante – e crescente – di impianti ad energia rinnovabile, sistemi di accumulo, contatori intelligenti e altri dispositivi come le colonnine di ricarica elettrica (che in Italia, con il totale dei punti di ricarica installati sul territorio, alla fine del primo trimestre 2024 hanno registrato un progresso del 31,5% rispetto al 2023. Monitoraggio a cura di Motus-E).
Da qui l’importanza, in materia di fotovoltaico e cybersecurity, di migliorare le valutazioni del cyber risk, tratteggiare un nuovo standard comunitario per la sicurezza prodotto volto alle risorse energetiche distribuite, approntare un livello di monitoraggio autorizzato a livello di Unione europea oppure Paese. Sono alcuni dei punti salienti del position paper di SolarPower Europe “A harmonised cybersecurity baseline for solar PV”, che restituisce una serie di policy per alzare il livello di attenzione sul rischio informatico degli impianti fotovoltaici.
Sicurezza informatica aziendale e NIS 2
Come migliorare il rapporto tra fotovoltaico e cybersecurity? L’associazione europea del solare circoscrive alcuni suggerimenti prendendo il là dal miglioramento di governance attraverso l’implementazione della Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), pubblicata in Gazzetta Ufficiale dell’Unione europea il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – e dall’applicazione al fotovoltaico. Incrementando in parallelo la visibilità del rischio sulle reti a bassa tensione all’interno del quadro nazionale e dell’Ue.
In particolare, SolarPower Europe ritiene che “gli audit previsti dalla normativa NIS 2 dovrebbero essere basati sul rischio, seguendo gli standard ISO 27001 – lo standard internazionale che descrive le best practice per un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS) – piuttosto che essere condotti per tutte le operazioni, come richiesto dal testo attuale”.
L’associazione consiglia poi di rinsaldare la cybersecurity a livello di prodotto, attraverso requisiti di conformità al Cyber Resilience Act (CRA) – il testo normativo che stabilisce direttive chiave per i produttori di prodotti digitali, ora obbligati a perseguire una strategia di Security by Design – nonché uno standard dedicato per le risorse energetiche distribuite. E ancora, SolarPower Europe ritiene imprescindibile incrementare la sicurezza informatica nell’ottica del funzionamento delle centrali elettriche e rendere obbligatoria una lista di best practice di funzionamento sicuro per le grandi centrali.
Malware e cyber incidenti sempre più frequenti
“La digitalizzazione del settore energetico è una scelta scontata”, evidenzia Dries Acke, Vice CEO di SolarPower Europe. Impossibile non essere d’accordo, ma l’evoluzione del settore viaggia, di pari passo, con la delicata questione fotovoltaico e cybersecurity. È innegabile, infatti, che nel corso degli ultimi anni gli attacchi informatici abbiano registrato un incremento nel settore energetico. Un report dell’Agenzia internazionale dell’Energia ha dimostrato che i cyberattacchi alla rete elettrica globale sono passati da 504 a 1.101 a settimana.
Anche per Leonhard Birnbaum, amministratore delegato di E.ON, tra le più grandi utility europee, la situazione è grave e gli attacchi si moltiplicano. Proprio perché, ammette, “le reti energetiche europee sono sempre più digitalizzate, creando maggiori potenziali rischi di attacco, con possibili danni fisici e soprattutto economici alle infrastrutture nazionali”. Tornando alla strettissima attualità, i dati sulla cybersicurezza del settore energetico evidenziati nel Rapporto Clusit 2024 dimostrano che è imprescindibile tutelare le infrastrutture strategiche da possibili rischi di manipolazione. Malware e incidenti cyber sempre più frequenti, dunque. Un dato su tutti: nel primo trimestre 2024 gli attacchi cyber mirati a colpire il comparto energetico sono raddoppiati rispetto al 2023.
