Wpływ dyrektywy NIS2 na sektor energetyczny: obowiązki operatorów i ryzyka dla infrastruktury krytycznej.
2025-06-23 10:32:51Zagrożenia cybernetyczne w Polsce przybierają na sile. Sektor energetyczny obejmujący tradycyjne elektrownie, sieci przesyłowe oraz stale rozwijające się odnawialne źródła energii (OZE) znajdował się wielokrotnie na celowniku zaawansowanych ataków. W odpowiedzi na problem powstała nowa ustawa regulująca sektor energetyczny - NIS2. Jakie działania należy podjąć, aby uchronić się przed cyberzagrożeniami zgodnie z rozporządzeniem?
Kto podlega dyrektywie NIS2?
Sektor energetyczny w kontekście dyrektywy NIS2 został znacząco rozszerzony i precyzyjnie zdefiniowany w polskim prawie. Pomimo tego, że tak wiele firm potwierdza swoje przygotowanie przed atakami cybernetycznymi, ich liczba w Polsce w 2024 roku wyniosła aż 110 tysięcy. Ta rekordowa liczba jeszcze bardziej pokazuje z jaką skalą mamy do czynienia.
Do grupy objętej regulacjami należą m.in. przedsiębiorstwa z branż takich jak: energetyka, transport, zdrowie, gospodarka wodna, infrastruktura cyfrowa, administracja publiczna, bankowość oraz produkcja wybranych wyrobów – w tym urządzeń medycznych i komponentów elektronicznych. Podmioty te muszą spełniać określone kryteria, m.in. dotyczące liczby pracowników lub rocznego obrotu. Oznacza to, że obowiązki wynikające z NIS2 będą dotyczyć zarówno operatorów kluczowej infrastruktury, jak i wielu prywatnych firm, które do tej pory nie podlegały takim regulacjom.
W przypadku energii elektrycznej regulacje obejmują m.in.:
– przedsiębiorstwa zajmujące się wytwarzaniem, przesyłem, dystrybucją, magazynowaniem i sprzedażą energii,
– operatorów systemów przesyłowych i dystrybucyjnych,
– wytwórców energii oraz wyznaczonych operatorów rynku,
– firmy świadczące usługi agregacji, odpowiedzi odbioru, zarządzania punktami ładowania czy mobilności energetycznej.
Podmioty te muszą spełniać wymogi w zakresie cyberbezpieczeństwa, niezależnie od tego, czy działają jako operatorzy systemów, dostawcy usług czy uczestnicy rynku energetycznego.
NIS 2 – Obowiązek zgłaszania podmiotów do weryfikacji
Jedną z najważniejszych zmian wprowadzonych przez dyrektywę NIS2 jest rozszerzony zakres podmiotowy. W przeciwieństwie do poprzedniego modelu, gdzie organy państwowe wyznaczały operatorów usług kluczowych, nowy system opiera się na samoidentyfikacji i samodzielnym zgłaszaniu przez przedsiębiorstwa.
Przedsiębiorstwa działające w sektorze energetycznym mają obowiązek samodzielnego przeprowadzenia oceny swojej działalności pod kątem kryteriów określonych w dyrektywie NIS2.
Nowe przepisy nakładają również obowiązek raportowania rzeczywistych incydentów, ale także potencjalnych zagrożeń, co wymaga wdrożenia zaawansowanych mechanizmów monitorowania, analizy i reakcji na incydenty. Szereg nowych zasad wymaga od firm m.in.:
Potrzeby wdrożenia zaawansowanych systemów SIEM/SOC
Integracji monitoringu środowisk IT, OT i IoT
Automatyzacji procesów wykrywania i raportowania incydentów
Regularne przeprowadzanie analiz ryzyka cybernetycznego
To duże wyzwanie w sytuacji, w które firma musi nieprzerwanie pracować, a wymaga generalnych zmian. Dlatego liczba przedsiębiorstw, które powierzyły bezpieczeństwo cyfrowe zewnętrznym dostawcą wyniosło w 2024 roku aż 84%.
Główne zagrożenia cybernetyczne w sektorze energetycznym i OZE
Ataki cybernetyczne występują i o tym można się przekonać na każdym kroku, ale przed jakimi zagrożeniami realnie stoi sektor energetyczny i OZE? Z uwagi na kluczowe znaczenie dla bezpieczeństwa państwa, infrastruktura energetyczna staje się celem coraz bardziej wyrafinowanych ataków.
Ransomware i ataki DDoS – rosnące zagrożenie dla ciągłości dostaw
Cyberprzestępcy wykorzystują złożoność współczesnych systemów energetycznych, atakując jednocześnie systemy IT odpowiedzialne za zarządzanie oraz systemy OT kontrolujące infrastrukturę fizyczną. DDos, czyli Distributed Denial of Device. To sposób ataku, do którego dochodzi z wielu miejsc jednocześnie w tym samym momencie. Jego celem są systemy komputerowe lub usługi sieciowe. Właściciele urządzeń mogą być całkowicie nieświadomi tego, że ich urządzenia podłączone do sieci mogą być wykorzystywane w ten sposób przez oszustów. Ataki ransomware i DDoS są obecnie jednymi z najczęstszych form zagrożeń. Skutkują one blokadą systemów sterowania, utratą danych lub nawet wstrzymaniem dostaw energii. Coraz częściej dochodzi również do ataków na łańcuch dostaw, które pozwalają na przejęcie kontroli nad infrastrukturą przez luki w systemach partnerów i dostawców.
Charakterystyka ataków ransomware w energetyce:
Podwójne wymuszenie – szyfrowanie danych połączone z groźbą ich publikacji
Targeted attacks – precyzyjnie zaplanowane ataki na konkretne organizacje
Supply chain compromise – infiltracja przez dostawców oprogramowania lub usług
Living off the land – wykorzystanie legalnych narzędzi systemowych do maskowania działań
Zagrożenia specyficzne dla sektora OZE
W Polsce w II połowie 2024 roku odnotowano aż 37% wzrost zagrożeń typu ransomware w porównaniu do pierwszego półrocza. Zdalna kontrola falowników fotowoltaicznych stanowi jedno z najpoważniejszych nowych cyberzagrożeń dla stabilności systemu energetycznego. Wysokie ryzyko związane z możliwością zdalnego wyłączania falowników fotowoltaicznych przez podmioty spoza UE może prowadzić do:
Nagłych strat mocy w systemie – jednoczesne wyłączenie tysięcy instalacji PV
Destabilizacji sieci przesyłowej – trudności w utrzymaniu równowagi systemowej
Efektu domina – kaskadowych awarii w całym systemie energetycznym
Ataków koordynowanych – wykorzystania podatności podczas szczytowego zapotrzebowania
Przykłady ataków cybernetycznych
W dniu rosyjskiej inwazji na Ukrainę, 24 lutego 2022 roku, doszło do zmasowanego cyberataku na satelitarną sieć komunikacyjną KA-SAT, zarządzaną przez firmę Viasat Inc. Hakerzy wykorzystali lukę wynikającą z błędnej konfiguracji wirtualnej sieci prywatnej (VPN), co umożliwiło im dostęp do zaufanego segmentu infrastruktury zarządzania siecią.
Atakujący przejęli kontrolę nad tysiącami modemów satelitarnych, które zapewniały łączność internetową, między innymi dla instalacji infrastruktury krytycznej. Wykorzystując metodę typu DoS (Denial of Service), częściowo przeflashowali oprogramowanie układowe urządzeń, czyniąc je niezdolnymi do działania.
Chociaż głównym celem ataku była Ukraina, skutki dotknęły również sąsiednie kraje, w tym Polskę. Jednym z najbardziej odczuwalnych efektów była awaria około 5800 turbin wiatrowych należących do firmy Enercon w Niemczech. Turbiny te, choć nadal produkowały energię, utraciły zdalny dostęp niezbędny do ich monitorowania, konserwacji i aktualizacji oprogramowania.
W 2022 roku Przedsiębiorstwo Energetyki Cieplnej w Elblągu padło ofiarą cyberataku, w wyniku którego złośliwe oprogramowanie przeniknęło do firmowej sieci informatycznej. Choć incydent nie zakłócił bezpośrednio dostaw ciepła, celem atakujących było przejęcie danych niektórych klientów PEC. Atak ten wpisuje się w rosnący trend wymierzony w lokalne jednostki infrastruktury krytycznej, które często dysponują ograniczonymi zasobami w zakresie cyberbezpieczeństwa.
Podobnych działań na ogromną skalę jest coraz więcej, a to jak ważna jest stabilność systemów podkreśliły wydarzenia z kwietnia tego roku. Mieliśmy wtedy do czynienia z całkowitym blackoutem w Hiszpanii i Portugalii – nie działały windy, sygnalizacja świetlna, a nawet komunikacja miejska. Takie incydenty pokazują, że stabilność systemów energetycznych wymaga nie tylko zaawansowanych technologii, ale także odpowiednich procedur zarządzania ryzykiem i reagowania na problemy.
Dla Polski, która dynamicznie rozwija sektor OZE, blackout na Półwyspie Iberyjskim stanowi istotne ostrzeżenie. Wzrost liczby instalacji fotowoltaicznych i innych źródeł odnawialnych wymaga równoczesnego inwestowania w infrastrukturę sieciową oraz systemy zapewniające stabilność i bezpieczeństwo energetyczne.
Masz pytania? Skontaktuj się z nami
Rekomendacje dla sektora energetycznego i OZE
Efektywna ochrona infrastruktury energetycznej przed cyberzagrożeniami wymaga kompleksowego podejścia łączącego zaawansowane rozwiązania technologiczne z odpowiednimi procesami organizacyjnymi. Poniższe rekomendacje zostały opracowane w oparciu o najlepsze praktyki branżowe oraz specyfikę wymogów dyrektywy NIS2. Oto kluczowe rekomendacje dla firm z branży:
Restrykcje dotyczące zdalnego dostępu do falowników i innych urządzeń krytycznych stanowią pierwszą linię obrony przed zagrożeniami pochodzącymi spoza UE. Zaleca się wdrożenie restrykcji dotyczących zdalnego dostępu do urządzeń krytycznych, w szczególności falowników PV i komponentów pochodzących spoza UE. Ograniczenie nieautoryzowanej kontroli znacząco zmniejsza ryzyko sabotażu lub zakłóceń w systemie energetycznym.
Wzmocnienie struktur SOC – Centra operacji bezpieczeństwa (SOC) powinny objąć monitoringiem nie tylko środowisko IT, ale również systemy OT (Operational Technology) i urządzenia IoT. Zintegrowane podejście umożliwia szybsze wykrywanie i reakcję na incydenty.
Regularne audyty i testy bezpieczeństwa
– Systematyczna ocena ryzyka, testy penetracyjne oraz audyty bezpieczeństwa pozwalają na bieżąco identyfikować luki w zabezpieczeniach i minimalizować potencjalne skutki ataków.
Edukacja i budowanie świadomości
Cyberbezpieczeństwo zaczyna się od ludzi. Szkolenia dla pracowników i kadry zarządzającej zwiększają odporność organizacji na phishing, błędy ludzkie i manipulacje socjotechniczne. Warto włączyć w ten proces również partnerów i dostawców.
Naruszenie przepisów dyrektywy NIS2 może skutkować dotkliwymi karami finansowymi, które mają mobilizować przedsiębiorstwa do priorytetowego traktowania kwestii cyberbezpieczeństwa.
Cyberbezpieczeństwo w energetyce i odnawialnych źródłach energii jest teraz ważniejsze niż kiedykolwiek. Zbliżająca się dyrektywa NIS2 wprowadza nowe standardy ochrony, co jest sygnałem dla całej branży, by zweryfikować i wzmocnić swoje zabezpieczenia.
Jeśli szukasz wsparcia w dostosowaniu swojej organizacji do wymogów NIS2, sprawdź ofertę Tenesys.