Nowa unijna dyrektywa NIS2 oraz znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa nakładają na firmy energetyczne szereg rygorystycznych obowiązków. Eksperci Baker McKenzie, Polskiego Stowarzyszenia Energetyki Słonecznej, IGEOS ostrzegają, że brak świadomości przepisów i opóźnienia we wdrożeniu procedur grożą nie tylko wysokimi karami finansowymi, ale i wykluczeniem z łańcucha dostaw.
Czym jest dyrektywa NIS2
Celem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie, wdrożenie zarządzania cyberbezpieczeństwem, zgłaszanie incydentów w ciągu 24 godzin od ich wykrycia oraz zakaz współpracy z podmiotami, które trafią na listę dostawców wysokiego ryzyka.
Zdaniem ekspertów prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.
Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa. W energetyce ogniskują się wchodzące obecnie w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS – mówi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie.
Branża energetyczna szczególnie eksponowana na zmiany zachodzące w prawie
Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za kluczowe lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.
Pierwszym krokiem, który powinny wykonać firmy to analiza, czy nowe obowiązki mają do nich zastosowanie, a zatem czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. Jeśli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, że na wdrożenie go będzie miał zaledwie rok.
Dla sektora OZE i BESS kluczowa jest lista dostawców wysokiego ryzyka
Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. Jeśli okaże się, że dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Natomiast przedsiębiorstwa posiadające już produkty od dostawcy, który trafił na listę, zostaną zobowiązane do wygaszenia tej współpracy, a także zmiany stosowanych rozwiązań.
Surowość kar przewidzianych w nowych regulacjach
Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego.
W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln złotych lub 2 proc. rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300 proc. ich rocznego wynagrodzenia.
Komentarze ekspertów branży energetycznej
Zdaniem przedstawicieli branży incydent, który w ubiegłym roku dotknął sektor OZE w Polsce, oraz wprowadzenie nowych przepisów powinno działać mobilizująco na przedsiębiorców sektora energetycznego.
Polskie Stowarzyszenie Energetyki Słonecznej
Wykryty w grudniu incydent bezpieczeństwa z pewnością zwiększył świadomość tego rodzaju zagrożeń – mówi Paweł Konieczny, wiceprezes zarządu Polskiego Stowarzyszenia Energetyki Słonecznej. Wdrożenie przepisów NIS2 z pewnością będzie wyzwaniem dla wielu przedsiębiorców choćby ze względu na wzrost kosztów operacyjnych, jednak specyfika branży i jej strategiczny charakter wymagają poważnego potraktowania zagrożeń cyberbezpieczeństwa. Bez wątpienia z takimi wyzwaniami lepiej poradzą sobie duże podmioty, działające profesjonalnie, które już teraz przygotowują się do wdrożenia NIS2.
Polskie Stowarzyszenie Magazynowania Energii
Magazyn energii to cyfrowo sterowany zasób systemowy, w którym warstwa informatyczna decyduje równocześnie o trzech rzeczach: o przychodach z rynku, o bezpieczeństwie fizycznym samych baterii i o zgodności z obowiązkami regulacyjnymi – wszystkie trzy w skali sekund – mówi Tomasz Adamski, Starszy Dyrektor ds. Badań i Analiz Polskiego Stowarzyszenia Magazynowania Energii. Branża rozumie wagę cyberbezpieczeństwa z prostego powodu – stało się ono rdzeniem jej modelu biznesowego. Realnym wyzwaniem jest dziś operacyjne dostosowanie do rosnącej liczby wymogów regulacyjnych, które nakładają się na siebie.
Izba Gospodarcza Energetyki i Ochrony Środowiska
Sektor energetyki jądrowej jest bardzo wysoko regulowany, jeśli chodzi o wszelkie formy bezpieczeństwa i jest to bezwzględny priorytet już na etapie projektowania a dalej budowy elektrowni jądrowej – mówi Monika Silva, zastępca dyrektora generalnego Izby Gospodarczej Energetyki i Ochrony Środowiska. Łańcuchy dostaw są ściśle sprawdzane na etapie zamówień a zmiany w prawie stanowią podmiot ciągłego monitoringu. „Safety and security” to są dwa kluczowe słowa dla tej branży.
Przed największym wyzwaniem stoją mniejsze firmy, w tym z sektora OZE, które mogą nie mieć świadomości zmian, a jednocześnie bardzo liczą się z kosztami – mówi Ewa Kwapis, wiceprezes zarządu Transition Technologies-Systems, firmy członkowskiej IGEOS. Z punktu widzenia cyberbezpieczeństwa zadbanie o wysoki standard zabezpieczeń w branży ma sens. Jednak konieczność poniesienia kosztów dostosowania do nowego prawa lub wręcz wymiany technologii, jeśli dostawca trafi na listę wysokiego ryzyka, będzie dla mniejszych podmiotów dużo trudniejszy do udźwignięcia.





