NIS2 i cyberbezpieczeństwo w projektach BESS: Nowe obowiązki dla inwestorów

Wprowadzenie

19 lutego 2026 roku Prezydent RP podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), implementującą do polskiego prawa dyrektywę NIS2 (https://www.pwc.pl/pl/artykuly/ustawa-wdrazajaca-nis2-w-Polsce-zostala-podpisana-przez-prezydenta.html). Dla inwestorów w magazyny energii elektrycznej (BESS) oznacza to fundamentalną zmianę – cyberbezpieczeństwo przestaje być opcjonalnym dodatkiem, a staje się obowiązkowym elementem każdej inwestycji.

Co istotne, nawet jeśli Twój magazyn energii nie spełnia bezpośrednio kryteriów „podmiotu kluczowego” lub „ważnego”, wymagania NIS2 i tak Cię dotkną. Dlaczego? Bo Twoi odbiorcy energii – agregatorzy, duże firmy energetyczne, operatorzy sieci – są podmiotami NIS2 i będą wymagać od swoich dostawców (w tym od operatorów BESS) spełnienia standardów bezpieczeństwa łańcucha dostaw.

W tym artykule przedstawiamy praktyczny przewodnik: co konkretnie należy zrobić, od kogo wymagać certyfikatów i polityk bezpieczeństwa, jakie testy przeprowadzić przed odbiorem instalacji, oraz jak zweryfikować zgodność z wymaganiami.

Dlaczego NIS2 dotyczy każdego magazynu energii podłączonego do sieci?

Bezpośrednie objęcie regulacją

Sektor energetyczny został wprost wymieniony w Załączniku I do dyrektywy NIS2 (https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022L2555) jako sektor o wysokim stopniu krytyczności. Punkt 1 tego załącznika obejmuje przedsiębiorstwa zajmujące się wytwarzaniem, przesyłem, dystrybucją, magazynowaniem i sprzedażą energii. Operatorzy magazynów energii wpisują się w tę definicję bezpośrednio.

Jeśli Twoja firma spełnia kryteria średniego przedsiębiorstwa (powyżej 50 pracowników lub ponad 10 mln EUR obrotu), jesteś podmiotem NIS2.

Pośrednie objęcie przez łańcuch dostaw – kluczowy mechanizm

Nawet jeśli Twój magazyn energii jest mały i nie spełniasz kryteriów bezpośredniego objęcia, wymagania NIS2 i tak Cię dotkną. Artykuł 21 ust. 2 lit. d) dyrektywy NIS2 explicite wymaga od podmiotów kluczowych i ważnych zarządzania „bezpieczeństwem łańcucha dostaw, w tym aspektami związanymi z bezpieczeństwem dotyczącymi stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami”.

Jak wyjaśnia kancelaria DLA Piper w analizie wymagań łańcucha dostaw NIS2 (https://www.dlapiper.com/en-us/insights/publications/2025/12/nis2-directive-explained-part-3-supply-chain-security), podmioty objęte dyrektywą mają obowiązek zarządzania ryzykiem cyberbezpieczeństwa w całym łańcuchu dostaw, włącznie z podwykonawcami. Rozporządzenie wykonawcze do NIS2 wskazuje, że klauzule umowne powinny obejmować wymagania cyberbezpieczeństwa także dla podwykonawców bezpośrednich dostawców.

W praktyce oznacza to, że:

Agregator, który odbiera energię z Twojego magazynu, jest podmiotem NIS2
Operator sieci dystrybucyjnej (OSD), do którego jesteś przyłączony, jest podmiotem NIS2
Duży odbiorca korporacyjny, z którym masz PPA, może być podmiotem NIS2

Każdy z tych podmiotów będzie kontraktowo wymagał od Ciebie spełnienia standardów bezpieczeństwa. Nawet jeśli Twoja firma nie jest bezpośrednio regulowana, regulowani klienci będą „przepływać” wymagania NIS2 na swoich dostawców kontraktowo – to mechanizm tzw. „flow-down clauses”.

Wniosek praktyczny: Każdy magazyn energii podłączony do sieci prędzej czy później spotka się z wymaganiami NIS2 – albo jako podmiot bezpośrednio regulowany, albo jako element łańcucha dostaw podmiotu regulowanego.

Architektura BESS z perspektywy cyberbezpieczeństwa

Magazyn energii BESS to nie tylko kontenery z bateriami – to złożony system informatyczny z wieloma punktami potencjalnego ataku. Zrozumienie architektury jest kluczowe dla właściwej oceny ryzyka.

Warstwy systemu BESS:

Warstwa 1: Systemy sterowania (OT)

Na najniższym poziomie znajdują się systemy bezpośrednio sterujące pracą magazynu: Battery Management System (BMS) monitorujący stan ogniw, temperatury i napięcia, oraz Power Conversion System (PCS) odpowiedzialny za konwersję energii między DC a AC. Te komponenty komunikują się protokołami przemysłowymi takimi jak Modbus, CAN bus czy IEC 61850. Kompromitacja tej warstwy może prowadzić do fizycznego uszkodzenia baterii lub niestabilności sieci.

Warstwa 2: Nadzór i zarządzanie

Powyżej znajduje się warstwa SCADA/EMS (Energy Management System) – „mózg” instalacji. System ten zbiera dane z BMS i PCS, realizuje strategie optymalizacji, komunikuje się z operatorem sieci i agregatorami. SCADA/EMS to typowo serwer przemysłowy z interfejsem webowym, często dostępny zdalnie. To najczęstszy cel ataków – przejęcie kontroli nad EMS daje atakującemu pełną władzę nad magazynem.

Warstwa 3: Łączność zewnętrzna

Magazyn energii nie działa w izolacji. Komunikuje się z wieloma zewnętrznymi systemami: platformą chmurową producenta BESS (monitoring, diagnostyka, aktualizacje), systemem optymalizatora/agregatora (sygnały sterujące, ceny rynkowe), operatorem sieci dystrybucyjnej (polecenia ograniczenia mocy, sygnały FCR), oraz zdalnym dostępem serwisowym dla O&M. Każde z tych połączeń to potencjalny wektor ataku.

Typowe wektory ataku na BESS:

Remote Access Exploits – ataki przez zdalny dostęp. Większość systemów BESS ma funkcję zdalnej diagnostyki i sterowania. Słabe hasła, niezabezpieczone porty, brak wieloskładnikowego uwierzytelniania – to wszystko otwiera drzwi dla atakujących. To najprostszy i najczęściej wykorzystywany wektor.

Man-in-the-Middle – ataki polegające na przechwyceniu komunikacji. Jeśli komunikacja między EMS a BMS nie jest szyfrowana (a protokoły przemysłowe jak Modbus domyślnie nie oferują szyfrowania), atakujący może przechwycić dane i wstrzyknąć własne komendy.

False Data Injection – wstrzykiwanie fałszywych danych. Atakujący podmienia odczyty z czujników BMS – na przykład dane o temperaturze. System „myśli”, że baterie są zimne, więc pozwala na agresywne ładowanie. W rzeczywistości baterie się przegrzewają, co może prowadzić do thermal runaway – niekontrolowanego wzrostu temperatury i pożaru.

Denial of Service (DoS) – ataki blokujące działanie systemu. Przeciążenie sieci komunikacyjnej uniemożliwia EMS-owi sterowanie instalacją. W krytycznym momencie magazyn nie reaguje na polecenia operatora sieci – co może skutkować karami za niedotrzymanie kontraktu na Rynku Mocy.

Firmware Manipulation – manipulacja oprogramowaniem. Jeśli aktualizacje firmware’u nie są podpisane cyfrowo i weryfikowane, atakujący może podmienić oprogramowanie na złośliwe. Co istotne – nie musi się to wydarzyć przez sieć. Wystarczy fizyczny dostęp do portu serwisowego podczas instalacji lub przeglądu technicznego. Dlatego weryfikacja łańcucha dostaw i procedur serwisowych jest równie ważna jak zabezpieczenia sieciowe.

Scenariusz ataku i jego konsekwencje

Żeby zrozumieć, dlaczego cyberbezpieczeństwo BESS to nie teoria, ale realne ryzyko biznesowe, rozważmy konkretny scenariusz ataku:

Faza 1: Rozpoznanie i infiltracja

Atakujący identyfikuje magazyn energii przez publicznie dostępne informacje – rejestr URE, ogłoszenia o przyłączeniu, LinkedIn pracowników. Skanuje zakresy IP operatora w poszukiwaniu otwartych portów. Znajduje interfejs webowy SCADA z domyślnym hasłem producenta lub wykorzystuje podatność w nieaktualizowanym oprogramowaniu (Remote Access Exploit). Alternatywnie, wysyła phishing do pracownika operatora O&M i uzyskuje dane dostępowe VPN – brak wieloskładnikowego uwierzytelniania oznacza, że samo hasło wystarczy do przejęcia kontroli.

Faza 2: Przejęcie kontroli

Po uzyskaniu dostępu do sieci OT, atakujący mapuje architekturę systemu. Wykorzystuje nieszyfrowaną komunikację Modbus (Man-in-the-Middle) do identyfikacji BMS, PCS i EMS. Instaluje backdoor zapewniający trwały dostęp – może to być zmodyfikowany firmware w jednym z kontrolerów (Firmware Manipulation), który przetrwa nawet restart systemu. Przez tygodnie obserwuje normalne działanie systemu, ucząc się wzorców pracy i czekając na odpowiedni moment.

Faza 3: Atak właściwy

W zależności od motywacji atakującego, scenariusze mogą być różne:

Scenariusz sabotażowy (False Data Injection): Atakujący manipuluje odczytami temperatury z czujników BMS – system otrzymuje fałszywe dane wskazujące niską temperaturę ogniw. BMS pozwala na agresywne ładowanie z wysokim C-rate. W rzeczywistości baterie się przegrzewają. Przekroczenie krytycznej temperatury prowadzi do thermal runaway – pożaru baterii litowo-jonowych, który jest ekstremalnie trudny do ugaszenia i może rozprzestrzenić się na sąsiednie kontenery.

Scenariusz destabilizacji sieci (Denial of Service): W momencie krytycznego zapotrzebowania na energię (szczyt zimowy, upał), atakujący przeciąża sieć komunikacyjną dziesiątek magazynów energii w regionie. Systemy EMS nie mogą komunikować się z BMS i PCS – magazyny „zamierają”. Nagły brak mocy bilansującej w systemie prowadzi do kaskadowych wyłączeń i blackoutu regionalnego.

Scenariusz ransomware: Atakujący szyfruje systemy sterowania i żąda okupu. Magazyn stoi, nie generuje przychodów, a każdy dzień przestoju to straty finansowe i kary umowne za niedostarczenie zakontraktowanej energii. Nawet po zapłaceniu okupu (czego eksperci nie zalecają) nie ma gwarancji odzyskania kontroli.

Scenariusz manipulacji rynkowej: Atakujący modyfikuje algorytmy optymalizacji w EMS – magazyn kupuje energię drogo i sprzedaje tanio, odwrotnie niż powinien. Straty finansowe kumulują się przez tygodnie, zanim ktokolwiek zauważy anomalię w raportach. Do tego czasu atakujący może zarabiać na przeciwstawnych pozycjach na rynku energii.

Konsekwencje dla inwestora:

Skutki udanego ataku wykraczają daleko poza bezpośrednie straty:

Finansowe: Utrata przychodów podczas przestoju, kary umowne za niewykonanie kontraktów (PPA, Rynek Mocy), koszty naprawy i odbudowy systemów, wzrost składek ubezpieczeniowych, a w przypadku pożaru – potencjalnie całkowita utrata aktywów.

Prawne: Odpowiedzialność za szkody w sieci elektroenergetycznej, kary administracyjne z ustawy KSC (do 10 mln EUR lub 2% obrotu), osobista odpowiedzialność zarządu (do 300% wynagrodzenia), potencjalne roszczenia cywilne od poszkodowanych odbiorców energii.

Reputacyjne: Utrata zaufania inwestorów i instytucji finansujących, trudności w pozyskaniu finansowania dla kolejnych projektów, negatywny PR w branży, która dopiero buduje wiarygodność.

To nie science fiction:

Ataki na infrastrukturę energetyczną to rzeczywistość. W 2015 roku atak na ukraińską sieć elektroenergetyczną (BlackEnergy) spowodował blackout dla 230 000 odbiorców. W 2021 roku atak ransomware na Colonial Pipeline wstrzymał dostawy paliw na wschodnim wybrzeżu USA na kilka dni. W 2022 roku wykryto malware Industroyer2 celujący w ukraińskie podstacje elektryczne.

Magazyny energii, jako nowa i szybko rosnąca kategoria infrastruktury krytycznej, są naturalnym celem – często wdrażane szybko, z naciskiem na minimalizację kosztów, bez dojrzałych procedur bezpieczeństwa. Wiele instalacji korzysta z komponentów od różnych producentów, co komplikuje zarządzanie aktualizacjami i zwiększa powierzchnię ataku.

Kluczowe wymagania i terminy

Ustawa o KSC wchodzi w życie miesiąc od ogłoszenia w Dzienniku Ustaw. Kluczowe terminy dla podmiotów objętych regulacją:

Termin	Obowiązek
6 miesięcy	Samoidentyfikacja i zgłoszenie do wykazu podmiotów
12 miesięcy	Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i środków zarządzania ryzykiem
24 miesiące	Koniec okresu przejściowego – możliwość nakładania kar

Podmioty kluczowe: do 10 mln EUR lub 2% globalnego obrotu (w zależności która kwota jest wyższa)
Podmioty ważne: do 7 mln EUR lub 1,4% globalnego obrotu
Polska ustawa KSC przewiduje dodatkowo osobistą odpowiedzialność kierownictwa: do 300% wynagrodzenia

Praktyczny przewodnik: Od kogo wymagać i co weryfikować

Jako inwestor w BESS, musisz wymagać polityk i certyfikatów bezpieczeństwa od wszystkich stron zaangażowanych w Twój projekt. Poniżej przedstawiamy kompletną listę podmiotów i wymagań.

Dostawca systemu BESS (BMS, PCS, kontenery bateryjne)

Co wymagać:

Certyfikat IEC 62443-4-1 (bezpieczny proces rozwoju produktu) – podstawowy standard dla producentów komponentów automatyki przemysłowej
Certyfikat IEC 62443-4-2 (wymagania funkcjonalne dla komponentów)
SBOM (Software Bill of Materials) – wykaz wszystkich komponentów oprogramowania
Dokumentacja architektury bezpieczeństwa systemu
Polityka zarządzania podatnościami i harmonogram aktualizacji
Deklaracja o lokalizacji serwerów (czy dane opuszczają UE?)

Czerwone flagi:

Domyślne hasła niemożliwe do zmiany
Brak wsparcia dla szyfrowania TLS 1.2+
Platforma chmurowa poza UE bez jasnych zasad transferu danych
Brak możliwości dostarczenia SBOM

Integrator systemów / Dostawca SCADA i EMS

To kluczowi dostawcy z perspektywy cyberbezpieczeństwa – SCADA i EMS to „mózg” instalacji i główny cel ataków.

Co wymagać:

Certyfikat IEC 62443-3-3 (wymagania dla systemów) – potwierdza, że integrator wdraża systemy zgodnie ze standardami bezpieczeństwa
Certyfikat ISO 27001 dla organizacji integratora lub równoważna polityka bezpieczeństwa
Udokumentowane procedury bezpiecznej konfiguracji i wdrożenia
Raport z testów cyberbezpieczeństwa po uruchomieniu – to kluczowy dokument!

Raport z testów cyberbezpieczeństwa powinien zawierać:

Według standardu IEC 62443-4-1 (sekcja 9 / SVV), raport powinien obejmować:

Testy wymagań bezpieczeństwa (SVV-1) – weryfikacja funkcji bezpieczeństwa (uwierzytelnianie, kontrola dostępu, szyfrowanie)
Testy podatności (SVV-3) – skan znanych podatności w komponentach systemu
Testy penetracyjne (SVV-4) – symulowane ataki na system w celu identyfikacji słabości
Test segmentacji sieci – weryfikacja izolacji między strefami (OT/IT)
Audyt konfiguracji – przegląd ustawień bezpieczeństwa wszystkich komponentów

Ważne: Według IEC 62443-4-1, testy powinny być wykonywane przez niezależny podmiot – nie przez tego samego integratora, który wdrażał system. Norma definiuje trzy poziomy niezależności: niezależna osoba, niezależny dział, niezależna organizacja. Dla systemów krytycznych (jak BESS) rekomendowany jest najwyższy poziom – niezależna organizacja zewnętrzna.

Wykonawca EPC

Co wymagać:

Polityka bezpieczeństwa informacji obowiązująca w organizacji
Procedury bezpiecznego przekazywania dokumentacji projektowej
Kontrola dostępu do placu budowy i systemów w trakcie realizacji
Procedury weryfikacji podwykonawców pod kątem bezpieczeństwa
Zobowiązanie do przekazania pełnej dokumentacji bezpieczeństwa przy odbiorze (hasła, certyfikaty, konfiguracje)

Operator O&M

Co wymagać:

Polityka bezpieczeństwa informacji w organizacji, ISO 27001 lub równoważny dokument
Polityka zarządzania dostępem zdalnym do systemów
Procedury instalacji aktualizacji bezpieczeństwa
SLA na reakcję w przypadku incydentu bezpieczeństwa
Procedury raportowania incydentów (zgodne z wymogami 24h/72h NIS2)
Szkolenia personelu z cyberbezpieczeństwa

Asset Manager

Asset Manager ma dostęp do danych operacyjnych i finansowych projektu – to wrażliwe informacje.

Co wymagać:

Polityka bezpieczeństwa informacji w organizacji
Procedury bezpiecznego przechowywania i przekazywania danych
Kontrola dostępu do systemów raportowania
Procedury weryfikacji tożsamości przy komunikacji (szczególnie przy instrukcjach finansowych)
Klauzule poufności i bezpieczeństwa w umowie

Optymalizator / Agregator

Optymalizator ma bezpośredni dostęp do sterowania magazynem – to krytyczny wektor ataku.

Co wymagać:

Certyfikat ISO 27001 lub równoważny
Certyfikat SOC 2 Type II (jeśli korzysta z platformy chmurowej)
Dokumentacja architektury bezpieczeństwa platformy
Szyfrowanie komunikacji API (TLS 1.2+)
Procedury uwierzytelniania (wymagaj MFA)
Polityka zarządzania incydentami
Deklaracja lokalizacji serwerów i przetwarzania danych

Testy cyberbezpieczeństwa przy odbiorze instalacji

Przed odbiorem końcowym instalacji BESS rekomendujemy przeprowadzenie kompleksowych testów cyberbezpieczeństwa. Nie ma jednego obowiązkowego standardu, ale każdy z poniższych testów znacząco zmniejsza ryzyko.

Rekomendowane testy:

Testy penetracyjne (Penetration Testing)

Symulowany atak na system w celu identyfikacji podatności możliwych do wykorzystania przez atakującego. Testy powinny obejmować:

Próby uzyskania nieautoryzowanego dostępu
Testy protokołów przemysłowych (Modbus, IEC 61850)
Próby eskalacji uprawnień
Testy interfejsów zdalnego dostępu

Skan podatności (Vulnerability Assessment)

Automatyczne skanowanie systemów w poszukiwaniu znanych podatności (CVE). Identyfikuje nieaktualne oprogramowanie, brakujące łatki, słabe konfiguracje.

Audyt konfiguracji

Przegląd ustawień bezpieczeństwa wszystkich komponentów:

Czy zmieniono domyślne hasła?
Czy włączono szyfrowanie komunikacji?
Czy skonfigurowano prawidłowo firewall?
Czy logi są włączone i przechowywane?

Test segmentacji sieci

Weryfikacja, czy sieci OT (sterowanie) są prawidłowo odizolowane od sieci IT i internetu. Sprawdzenie, czy kompromitacja jednego segmentu nie pozwala na przejście do innych.

Test procedur reagowania na incydenty

Symulacja incydentu bezpieczeństwa w celu weryfikacji:

Czy system wykrywa anomalie?
Czy alerty docierają do właściwych osób?
Czy procedury reagowania są jasne i działają?

Kto powinien wykonać testy?

Testy powinny być wykonane przez niezależną firmę audytową specjalizującą się w bezpieczeństwie systemów przemysłowych (OT/ICS). Firmy takie posiadają doświadczenie w testowaniu systemów SCADA bez powodowania zakłóceń w działaniu, co jest kluczowe dla infrastruktury energetycznej.

Szukaj firm z:

Doświadczeniem w sektorze energetycznym
Znajomością standardów IEC 62443 i NIST SP 800-82
Certyfikatami typu CREST, OSCP, GICSP (Global Industrial Cyber Security Professional)
Referencjami z podobnych projektów

Deliverable: Po zakończeniu testów powinieneś otrzymać szczegółowy raport zawierający: wykryte podatności z oceną krytyczności, dowody (screenshots, logi), rekomendacje naprawcze z priorytetyzacją, oraz potwierdzenie przeprowadzenia testów (attestation) do celów compliance.

Klauzule umowne – co uwzględnić w kontraktach

Wymagania NIS2 powinny być odzwierciedlone w umowach ze wszystkimi dostawcami. Kluczowe klauzule to:

Wymagania bezpieczeństwa produktu/usługi:

Minimalny poziom bezpieczeństwa według IEC 62443 (Security Level)
Obowiązek szyfrowania komunikacji (TLS 1.2+)
Wymóg uwierzytelniania wieloskładnikowego (MFA)
Zakaz domyślnych/współdzielonych haseł

Zarządzanie podatnościami:

Obowiązek informowania o wykrytych podatnościach (w ciągu 24-48h)
SLA na dostarczenie łatek bezpieczeństwa (krytyczne: 48h, wysokie: 7 dni)
Minimalny okres wsparcia produktu (10+ lat dla BESS)
Procedura aktualizacji bez utraty gwarancji

Reagowanie na incydenty:

Obowiązek natychmiastowego powiadomienia o naruszeniu bezpieczeństwa
Współpraca przy obsłudze incydentów
Zachowanie dowodów (logów) przez określony czas

Audyt i weryfikacja:

Prawo do przeprowadzenia audytu bezpieczeństwa u dostawcy
Obowiązek okresowych testów penetracyjnych
Raportowanie zgodności na żądanie

Klauzule flow-down:

Obowiązek przepływania wymagań bezpieczeństwa na podwykonawców
Prawo do weryfikacji podwykonawców

Praktyczna checklista dla inwestora

Przed podpisaniem umów (faza development):

Uwzględnij wymagania cyberbezpieczeństwa w specyfikacji RfP
Wymagaj certyfikatów IEC 62443, ISO 27001 lub równoważnych jako kryterium kwalifikacji
Zdefiniuj wymagane klauzule umowne (flow-down, audyt, incydenty)
Zaplanuj budżet na niezależny audyt bezpieczeństwa przy odbiorze

Przed odbiorem (faza konstrukcji):

Zweryfikuj dokumentację bezpieczeństwa od integratora SCADA/EMS
Odbierz raport z testów cyberbezpieczeństwa od integratora
Zleć niezależny audyt/testy penetracyjne zewnętrznej firmie
Zweryfikuj, że wszystkie domyślne hasła zostały zmienione
Upewnij się, że dokumentacja bezpieczeństwa jest kompletna

Po uruchomieniu (faza operacyjna):

Wdróż procedury zarządzania aktualizacjami
Ustanów monitoring bezpieczeństwa i procedury reagowania na incydenty
Przeprowadzaj okresowe przeglądy bezpieczeństwa (minimum raz w roku)
Szkol personel z zasad cyberbezpieczeństwa
Utrzymuj rejestr dostawców z oceną ryzyka (wymaganie NIS2)

Jak GreenEdge Solutions może pomóc?

Jako firma specjalizująca się w doradztwie technicznym dla projektów BESS, rozumiemy specyfikę magazynów energii i wymagania regulacyjne polskiego rynku. W zakresie cyberbezpieczeństwa oferujemy:

🔍 Przygotowanie wymagań bezpieczeństwa dla RfP

Opracowanie specyfikacji technicznych uwzględniających NIS2 i IEC 62443
Definicja kryteriów kwalifikacji dostawców
Przygotowanie wzorów klauzul umownych

📊 Weryfikacja dokumentacji dostawców

Ocena certyfikatów i polityk bezpieczeństwa oferentów
Analiza architektury bezpieczeństwa proponowanych rozwiązań
Identyfikacja czerwonych flag i rekomendacje

📋 Koordynacja audytów zewnętrznych

Pomoc w wyborze niezależnej firmy audytowej
Definiowanie zakresu testów
Weryfikacja raportów i rekomendacji naprawczych

Skontaktuj się z nami – pomożemy zabezpieczyć Twój projekt BESS przed ryzykami cyberbezpieczeństwa i zapewnić zgodność z NIS2.

Podsumowanie

Dyrektywa NIS2 zmienia zasady gry dla wszystkich uczestników rynku energetycznego. Kluczowe wnioski dla inwestorów BESS:

Każdy magazyn energii podłączony do sieci spotka się z wymaganiami NIS2 – bezpośrednio jako podmiot regulowany lub pośrednio przez wymagania łańcucha dostaw
Wymagaj certyfikatów i polityk bezpieczeństwa od wszystkich stron – dostawcy BESS, integratora SCADA/EMS, wykonawcy EPC, operatora O&M, Asset Managera i Optymalizatora
Integrator SCADA/EMS to kluczowy dostawca – wymagaj certyfikacji IEC 62443 i raportu z testów cyberbezpieczeństwa po uruchomieniu
Zlecaj niezależne testy – zewnętrzna firma audytowa zapewnia obiektywną ocenę i spełnia wymagania NIS2 dotyczące weryfikacji dostawców
Uwzględnij wymagania w umowach – klauzule flow-down, prawo do audytu, procedury incydentów
Czas działa na Twoją niekorzyść – 12 miesięcy na wdrożenie środków to mniej niż myślisz, szczególnie dla nowych projektów

Źródła