Jak v kontextu NIS2 předcházet kybernetickým hrozbám v oblasti obnovitelných zdrojů energie?
V listopadu začal v České republice platit nový zákon o kybernetické bezpečnosti, který zásadně rozšiřuje okruh regulovaných subjektů. Na základě evropské směrnice NIS2 se povinnosti dotknou celé řady samospráv. Pro ty ostatní vzniká prostor, jak lépe chránit svou infrastrukturu před hackerskými hrozbami.
Krátce po varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) před používáním veškeré čínské techniky, která může odesílat data do Číny nebo která může být na dálku ovládána čínskými správci, se tématu kybernetické bezpečnosti věnovali také účastníci podzimního setkání platformy Chytré město a investor.
Diskutovali o možných rizicích a jejich minimalizaci již ve fázi zadávání veřejných zakázek na obnovitelné zdroje energie. Se změnou zákona o kybernetické bezpečnosti čekají nové povinnosti v této oblasti například i obce s rozšířenou působností.
Rizikové čínské součástky jsou běžnou součástí fotovoltaických elektráren. Kybernetické útoky na fotovoltaiky i další obnovitelné zdroje tak mohou v kontextu současné energetické transformace způsobit masivní škody.
Jednorázové vypnutí pouhých 10 GW výkonu fotovoltaických elektráren by podle zjištění expertů asociace Solar Power Europe stačilo k destabilizaci celoevropské energetické sítě s následným kaskádovým blackoutem. Přitom jen v roce 2024 bylo v Evropě instalováno 337 GW nových fotovoltaik.
To, že se obnovitelné zdroje energie se rychle stávají atraktivním cílem kybernetických útoků po celém světě potvrdila bezpečnostní výzkumnice ČVUT Erika Langerová vedoucí týmu Kyberbezpečnost pro energetiku v Univerzitním centru energeticky efektivních budov. Podle analýz společnosti Mandiant jsou obnovitelné zdroje pátým nejnapadanějším sektorem v energetice, přičemž hlavními agresory jsou státní aktéři z Ruska a Číny.
Čína se snaží o dlouhodobý přístup do kritických systémů
Zatímco ruské útoky mají podle expertky ČVUT typicky destruktivní charakter, čínské útoky jsou zaměřené především na špionáž a budování dlouhodobého přístupu do kritických systémů. Problematická je zejména situace kolem levných čínských střídačů. “Reálně teď v evropské síti běží zhruba asi 80 gigawatt instalovaného výkonu na kompletně nezabezpečených cloudech, protože výrobce není ochotný zranitelnost ve svém systému opravit,” varovala Erika Langerová, vedoucí týmu Kyberbezpečnost pro energetiku, Univerzitní centrum energeticky efektivních budov, ČVUT.
Přidala i konkrétní příklady útoků na systémy spojené s obnovitelnými zdroji. Na Ukrajině dochází k denním pokusům o útoky na solární elektrárny, přičemž několik útoků bylo i úspěšných – v jednom případě útok způsobil odstavení komerční solární elektrárny na minimálně čtyři dny. Podobně v Litvě došlo k úspěšnému útoku na systémy dodavatele technologií pro solární elektrárny a hackeři následně prodali přihlašovací údaje provozovatelů elektráren na dark webu. Pro majitele OZE je klíčové pečlivě vybírat výrobce a zavádět odpovídající bezpečnostní opatření.
Kybernetické hrozby popsala Erika Langerová během setkání platformy Chytré město a investor pořádané Frank Bold také pro vysílání České televize. Rozhovor začíná v čase 10:46 min od začátku pořadu.
Kybernetická bezpečnost fotovoltaických systémů se stává kritickou prioritou pro obce i průmyslové podniky. Jak upozornil Jindřich Stuchlý manažer společnosti SolarEdge, problém má několik dimenzí – od úniku dat až po možnost vzdáleného ovládání systémů. Reálné dopady dokládají případy z praxe, kdy ransomware ochromil firmy na týdny.
Mezi zásadními problémy zmínil Stuchlý takzvané tiché ovládnutí jako možnost koordinovaných útoků na energetickou síť. Princip je jednoduchý. Stačí například, aby útočníci pozměnili nastavení měničů tak, aby fotovoltaika mohla začít znovu vyrábět okamžitě po výpadku_. „A co se stane, když tohle uděláte několikrát za sebou? Rozvodna a ochrany vysokého napětí na to jednoduše nejsou stavěné. Zareagují špatně nebo zareagují několikrát za sebou, takže se v podstatě dostanou do blackoutu,”_ popsal Jindřich Stuchlý mechanismus, který může vést k blackoutu celé oblasti.
Co by měly dělat obce a další provozovatelé FVE
Pro obce a provozovatele fotovoltaických systémů existují konkrétní možnosti zabezpečení OZE založené na víceúrovňovém přístupu.
Klíčové jsou čtyři vrstvy ochrany
- zabezpečení jednotlivých zařízení: unikátní hesla, bezpečné aktualizace softwaru
- síťové zabezpečení: omezený přístup k lokální síti, ochrana před skenováním Wi-Fi
- datové zabezpečení: šifrování, GDPR compliance
- úroveň viditelnosti s možností kontroly datových toků v reálném čase
Zásadním krokem je už samotný výběr dodavatele technologií. Vývoj české legislativy směrem k přísnějším standardům přiblížil analytik Národního úřadu pro kybernetickou a informační bezpečnost.
Významnou změnu představuje nová legislativa transponující evropskou směrnici NIS2. „1. listopadu 2025 vstupuje v účinnost nový zákon o kyberbezpečnosti, který rozšíří počet regulovaných subjektů v Česku ze 400 na přibližně 6000. Mezi nimi budou i obce s rozšířenou působností, které budou mít v souvislosti s výkonem veřejné správy či dalších regulovaných činností povinnost zavádět bezpečnostní opatření,“ vysvětlil Ondřej Polák, analytik Národního úřadu pro kybernetickou a informační bezpečnost.
Obce jako zadavatelé veřejných zakázek mají možnost požadavky kybernetickou bezpečnost obnovitelných zdrojů energie zahrnout již do zadávacích podmínek. Experti Frank Bold ve spolupráci se SolaEdge připravili praktického průvodce Kyberbezpečnost OZE a veřejné zakázky. Ten je zdarma ke stažení na webu Frank Bold.
Klíčové je vhodně nastavit podmínky veřejných zakázek
V případě solárních elektráren a dalších obnovitelných zdrojů energie je zásadní vhodné nastavení podmínek veřejných zakázek: „Každý zadavatel by měl provést důkladnou analýzu rizik a na jejím základě může v odůvodněných případech vyloučit rizikové dodavatele. To ve svém rozhodnutí ze začátku roku 2024 potvrdil i antimonopolní úřad,” doplnil Polák.
Vedoucí advokátka Frank Bold Advokáti Anna Francová popsala konkrétní nástroje pro zajištění kyberbezpečnosti už ve fázi zadávání. Klíčové je využít možnosti, které poskytuje zákon o zadávání veřejných zakázek při nastavení požadavků v rámci zadávacích podmínek – konkrétně požadavky na splnění minimální technické úrovně a smluvní podmínky.
Postavení dodavatelů ze třetích zemí vyjasnilo také nedávné rozhodnutí Soudního dvora EU. “Dodavatelé ze zemí mimo EU, které nemají uzavřenou mezinárodní dohodu s EU, nemohou požadovat rovné zacházení podle Směrnice,” upozornila vedoucí advokátka Frank Bold Advokáti Anna Francová.
Z praktických zkušeností vyplývá, že zadavatelé by měli co nejpřesněji specifikovat podmínky budovy a své minimální požadavky na technologii. Důležitým pozorováním je, že “FVE systémy jsou řiditelné, pokud dílčí části technologie (panely, střídač, optimizéry, akumulace) pochází od bezpečného výrobce,” doplnila Francová. Technické řešení pak zůstává v odpovědnosti dodavatele.
Pro úspěšné zadání zakázky s ohledem na kyberbezpečnost doporučuje předběžné tržní konzultace a využití Portálu o veřejných zakázkách Ministerstva pro místní rozvoj. Zadavatelé by měli při výběru dodavatele soustředit pozornost na kvalitu a zajistit si hladký průběh administrace zakázky od začátku do konce, včetně případného zastoupení ve sporech před soudy či ÚOHS.
Praktické řešení z Jablonce
Úspěšně již podmínky kybernetické bezpečnosti OZE ve zakomponovali do výběrového v Jablonci na Nisou. Jak popsal manažer energetických projektů Jablonecké energetické Jaroslav Šída do podmínek zahrnuli konkrétní technické požadavky a detailní specifikace zabezpečení komunikace, řízení přístupu i monitorování systému.
Klíčové je podle Šídy definovat specifické parametry pro jednotlivá zařízení, zejména měniče a optimizéry. „Každý jednotlivý měnič musí z výroby disponovat svým unikátním a jedinečným heslem a my musíme mít možnost samozřejmě s tím heslem nějakým způsobem pracovat, mít možnost ho měnit,” uvedl Jaroslav Šída. Mezi další důležité požadavky podle něj patří ukládání dat na evropských serverech, certifikace podle evropské legislativy a možnost odpojení od internetu v případě potřeby vlastního monitoringu.
Potvrdil také, že správně nastavené požadavky neodradí seriózní dodavatele: „Žádná z firem, která nám prošla výběrovým, neměla našimi bezpečnostními požadavky sebemenší problém.” Doplnil, že ideální je všechny požadavky zakomponovat jako nepřekročitelnou podmínku, nikoli jako bodovací kritérium. Tím si zadavatel zajistí minimální bezpečnostní standard u všech účastníků výběrového řízení.
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
