La asociación SolarPower Europe ha publicado el informe ‘Soluciones para los riesgos cibernéticos de la energía fotovoltaica que afectan a la estabilidad de la red eléctrica’. Los sistemas solares fotovoltaicos están digitalizados y cada vez más conectados a Internet mediante inversores. Este nuevo informe, elaborado por DNV y encargado por SolarPower Europe, realiza una evaluación exhaustiva de riesgos para el sector y ofrece soluciones.
A través de este informe, el sector solar propone soluciones para mitigar riesgos críticos de ciberseguridad, como desarrollar y exigir controles de ciberseguridad específicos de la industria, por ejemplo a través de una norma, para proteger la infraestructura solar fotovoltaica controlada a distancia; y limitar el acceso remoto y el control de los sistemas solares fotovoltaicos de la UE desde fuera de la UE a través del inversor.
El documento señala que la transición de Europa hacia un sistema energético descentralizado ofrece claros beneficios para la seguridad energética. Para maximizar este beneficio, SolarPower Europe destaca que es necesario actualizar la legislación sobre ciberseguridad, centrada en la infraestructura energética centralizada heredada.
Evaluación de riesgos para el sector solar
Al analizar el riesgo, el informe destaca los riesgos derivados de los controles directos sobre los inversores, por ejemplo, los destinados a la prestación de servicios de red, y las actualizaciones, como las destinadas a actualizaciones de seguridad.
Por un lado, el documento concluye que las instalaciones a gran escala son más seguras. Suelen estar gestionadas por empresas de servicios públicos con experiencia y amparadas por la Directiva NIS2 de la UE. Por otro lado, los sistemas solares a pequeña escala, que suelen ser instalaciones en tejados, carecen de normativas cibernéticas estrictas, y están conectados a las nubes de fabricantes, instaladores o proveedores de servicios.
El informe señala que una vulneración selectiva de 3 GW de capacidad de generación puede tener implicaciones significativas para la red eléctrica europea. El análisis revela que más de una docena de fabricantes, tanto occidentales como no occidentales, controlan considerablemente más de 3 GW de capacidad instalada en la actualidad. En consecuencia, de las 14 áreas de riesgo evaluadas en el informe, 5 se clasifican como de riesgo medio, 6 como de riesgo alto y 3 como de riesgo crítico. La medición del riesgo combina la gravedad del impacto y la probabilidad.
Hoja de ruta para alcanzar la categoría de riesgo bajo
En el informe, SolarPower Europe describe una ruta clara para alcanzar la categoría de riesgo bajo en las 14 áreas de riesgo.
En concreto, para volver a una categoría de riesgo bajo en materia de ciberseguridad, el informe recomienda dos soluciones generales. La primera garantizaría que la legislación vigente en materia de ciberseguridad se ajuste a las necesidades del sector solar, mientras que la segunda introduciría nuevas normas que mantengan el control de los sistemas solares pertinentes mediante inversores dentro de la UE o en jurisdicciones que puedan ofrecer un nivel de seguridad equivalente.
En cuanto a la segunda solución, el informe recomienda seguir un enfoque similar al del Reglamento General de Protección de Datos (RGPD), según el cual el control de dispositivos distribuidos agregados, como los sistemas solares de pequeña escala en tejados, solo debería realizarse en regiones con una seguridad equivalente a la de la UE. Esto debería implementarse a través del Sistema Nacional de Control de la Seguridad de la Información (NCCS) de la UE u otro nuevo procedimiento acelerado.