INTERVIU Proiectul de lege care a înfuriat prosumatorii: „Există riscul ca echipamentele să fie scoase din funcțiune direct din China, fără ca cineva să poată interveni”

Un proiect de lege semnat de 25 de parlamentari PNL și PSD propune introducerea unor reguli de securitate cibernetică pentru accesul la rețea al producătorilor de energie regenerabilă. Inițiativa a stârnit proteste din partea prosumatorilor, care acuză statul că încearcă să le controleze echipamentele. Într-un interviu pentru HotNews, inițiatorul proiectului, deputatul PSD Mădălin Borș, a explicat că măsura vizează de fapt protecția prosumatorilor în fața pericolului ca, în orice moment, companiile din China, de unde provin echipamentele, să oprească toată producția lor, fără ca nimeni să poată interveni.

În luna octombrie, HotNews a scris că un proiect de lege semnat de 25 de senatori și deputați PNL și PSD vrea să modifice legea-cadru a energiei electrice și a gazelor naturale (Legea 123/2012), astfel încât producătorii de energie din surse regenerabile să respecte anumite norme de securitate cibernetică, norme care astăzi lipsesc.

Proiectul de lege trasează „reguli de securitate cibernetică pentru accesul la reţea pentru energia electrică produsă din surse regenerabile şi în cogenerare de înaltă eficienţă”:

„Directoratul Naţional de Securitate Cibernetică (…) stabileşte reguli tehnice de securitate cibernetică prin ordin al directorului Directoratului Naţional de Securitate Cibernetică pentru accesul garantat la reţelele electrice şi dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie şi în cogenerare de înaltă eficienţă (…) în centrale cu puteri instalate mai mici sau egale cu 1 MW, în măsura în care nu este afectat nivelul de siguranţă a SEN (sistemul energetic național)”, este articolul care ar urma să modifice Legea energiei.

Asociația Prosumatorilor și Comunităților de Energie din România susține că această propunere înseamnă de fapt încercarea statului de a prelua controlul echipamentelor instalate de micii producători persoane fizice și i-a îndemnat pe aceștia să trimită petiții către legislativ prin care să ceară dezbaterea legii și nu adoptarea tacită. 

„Practic, (prevederile din proiect – n.r.) ar permite statului si distribuitorilor de energie oprirea sau reducerea de la distanță a sistemelor fotovoltaice ale cetățenilor”, precizează un comunicat al asociației.

Într-un interviu pentru HotNews, inițiatorul proiectului de lege, deputatul PSD Mădălin Borș, spune că de fapt legea îi ajută pe prosumatori, întrucât, în acest moment, există riscul unui atac cibernetic care le va afecta producția fără ca ei să poată inverveni. 

Asta deoarece echipamentele cumpărate de ei sunt aduse aproape în totalitate din China și nu au fost verificate din punct de vedere cibernetic.

Echipamentele instalate până acum de prosumatori nu vor fi verificate

Borș susține că echipamentele instalate până acum de cei peste 260.000 de prosumatori nu mai pot fi verificate, întrucât nicio lege nu se aplică retroactiv. Inițiativa legislativă vizează producătorii și furnizorii de echipamente care vor trebui să obțină avizul DNSC înainte de a vinde aceste produse pe piața din România, începând cu momentul adoptării legii.

Echipamentele pentru producătorii de energie de peste 1 MW sunt deja auditate prin lege, însă, pentru cei sub acest prag, există un vid legislativ, explică deputatul. 

În condițiile în care au fost instalate până acum 400.000 de astfel de echipamente în sectorul energetic și numărul este în creștere, aceasta poate deveni o problemă nu doar pentru prosumatori, ci pentru securitatea întregului sistem energetic național. 

„Europa este tot mai îngrijorată că Huawei ar putea stinge lumina”

În cel mai pesimist scenariu, există riscul ca, într-un anumit moment, toate aceste echipamente să fie scoase din funcțiune de la distanță, de către companiile chinezești, fără ca nimeni să poată interveni, a subliniat Borș.

Discuția nu se poartă doar în România. „Europa este tot mai îngrijorată că Huawei ar putea stinge lumina”, scrie publicația europeană Politico. 

Gigantul tehnologic chinez se află în centrul unei furtuni în formare legate de securitatea rețelelor energetice ale Europei. Parlamentarii îi scriu Comisiei Europene pentru a o îndemna să „restricționeze furnizorii cu risc ridicat” din sectorul energiei solare.

În Statele Unite, experții în securitate cibernetică avertizează că există dispozitive fabricate în China și instalate la panourile fotovoltaice care sunt vulnerabile în fața atacurilor hackerilor, care pot declanșa întreruperi în serie în alimentarea cu energie electrică, potrivit unui articol din Washington Post, preluat de Digi24. 

Peste 90% din panourile fotovoltaice instalate în întreaga lume provin din China, iar Agenția Internațională pentru Energie a avertizat că dependența de un singur furnizor de echipamente poate ridica riscuri de securitate.

Borș: „Această inițiativă vine, din păcate, cu o întârziere de trei ani”

HotNews: Domnule deputat, care este scopul acestei inițiative? De ce este nevoie de auditarea echipamentelor folosite de prosumatori?

Mădălin Borș: Această inițiativă legislativă vine, din păcate, cu o întârziere de cel puțin trei ani. 

DNSC, instituția responsabilă la nivel național de securitatea cibernetică, ar fi trebuit să aibă în vigoare standarde și mecanisme de control încă din anul 2021, de la momentul înființării sale. 

Evoluția accelerată a tehnologiilor, creșterea numărului de prosumatori și integrarea masivă în rețeaua națională de energie fac necesară introducerea unor reguli clare privind securitatea dispozitivelor conectate.

Pentru a răspunde însă foarte direct și fără nicio ambiguitate la întrebare: nu este vorba despre auditarea echipamentelor folosite de prosumatori. Repet acest lucru pentru a fi pe deplin clar și înțeles de toată lumea: nu există și nici nu se are în vedere nicio formă de audit, nici direct, nici indirect, asupra echipamentelor instalate în gospodăriile prosumatorilor.

Confuzia care a circulat în spațiul public pleacă de la interpretarea greșită și chiar tendențioasă, promovată de o anumită asociație, care a indus faptul că statul ar intenționa să inspecteze panourile sau invertoarele instalate de oameni. Nimic mai fals.

Obiectivul actului normativ este stabilirea unui cadru coerent de securitate cibernetică pentru prosumatori și nu numai pentru aceștia, astfel încât infrastructura națională să fie protejată de atacuri care ar putea compromite funcționarea rețelei electrice. 

Nu vorbim despre controale în proprietatea privată și nici despre impunerea unor obligații suplimentare pentru cetățeni. Măsurile propuse au un scop strict tehnic și preventiv: să se asigure că echipamentele și sistemele cu rol critic nu devin vulnerabilități exploatabile de actori rău intenționați. Cerințele vizează operatorii de rețea și furnizorii de echipamente, nu utilizatorii casnici și cu atât mai puțin prosumatorii.

Prin urmare, prosumatorii pot sta liniștiți: nimeni nu le va verifica panourile, invertorul sau alte echipamente personale.

Nu vor fi verificate echipamentele deja instalate de prosumatori

– Deci care sunt echipamentele care vor fi verificate?

– Nu discutăm despre auditarea echipamentelor pe care le-au instalat prosumatorii. În cazul acestora, nu există nicio obligație care să prevadă astfel de verificări. Ceea ce se urmărește prin această inițiativă legislativă este certificarea echipamentelor utilizate în instalațiile de producere a energiei cu o capacitate sub 1 MW. 

Concret, este un proces de conformare tehnică și de securitate pentru echipamente, nu despre auditarea prosumatorilor sau a instalațiilor aflate în proprietatea lor. Va fi în sarcina producătorilor chinezi de echipamente să obțină avizul de la DNSC.

În ceea ce privește producătorii de energie cu o capacitate mai mare de 1 MW, reglementările sunt deja în vigoare. Odată cu obținerea licenței de producător, aceștia intră sub incidența cerințelor europene privind securitatea cibernetică, respectiv directiva NIS 2, care impun standarde stricte, inclusiv audituri periodice a echipamentelor din perspectiva securității cibernetice.

Prin urmare, pentru a elimina orice confuzie, subliniez că auditarea periodică este obligatorie deja pentru producătorii de energie, dar nu și pentru prosumatori. 

„Se depășește deja un prag critic din perspectiva securității cibernetice”

– Ce riscuri concrete au fost identificate în legătură cu echipamentele importate din China? Există studii, rapoarte tehnice sau evaluări de risc care au stat la baza inițiativei legislative?

– Această inițiativă legislativă este necesară pentru că, în prezent, în România sunt instalate peste 400.000 de echipamente de producere a energiei. Se depășește deja un prag critic din perspectiva securității cibernetice. 

Pentru o parte semnificativă dintre aceste echipamente nu există suficiente informații privind nivelul lor real de protecție împotriva unor eventuale atacuri cibernetice.

Ceea ce putem afirma cu certitudine este că, analizând platformele informatice prin care sunt gestionate aceste echipamente, se observă numeroase situații în care nu sunt respectate cerințele minime de securitate cibernetică stabilite la nivelul Uniunii Europene.

Un exemplu foarte concret îl reprezintă mecanismele de autentificare. Standardele europene prevăd utilizarea MFA, adică „multi factor authentification” (autentificarea în mai mulți pași – n.r.), care obligă utilizatorul să confirme accesul printr-un cod transmis pe un canal separat, precum SMS sau e-mail. În acest fel, utilizatorul este automat avertizat atunci când se încearcă accesarea echipamentului. Din păcate, numeroase platforme asociate unor echipamente importate nu includ această cerință de bază. 

Mai există un alt element care trebuie menționat și care a ridicat nivelul de îngrijorare la nivel european și internațional. La sfârșitul lunii iulie 2025, guvernul chinez a introdus o obligație „voluntară”, între ghilimele, pentru producătorii locali de echipamente: aceea de a comunica către autoritățile de securitate internă vulnerabilitățile identificate în produsele lor.

Această prevedere reprezintă un semnal de alarmă întrucât creează premisele ca anumite vulnerabilități să devină accesibile unor entități din afara spațiului european înainte de a fi remediate. Din acest motiv, numeroase state membre UE au început evaluări suplimentare privind securitatea echipamentelor importate.

În concluzie, inițiativa legislativă are la bază o serie de constatări tehnice, evaluări de risc și evoluții internaționale care ne obligă să consolidăm protecția infrastructurii energetice. Scopul nu este acela de a restricționa piața, ci de a ne asigura că toate echipamentele conectate la rețeaua națională îndeplinesc standardele europene de securitate cibernetică, indiferent de originea lor. 

– Au existat incidente raportate în România care să justifice această măsură? Sau în alte țări?

– În securitatea cibernetică, prevenția este esențială. Faptul că nu vedem un incident major în România nu înseamnă că riscul nu există. Sunt însă situații tehnice identificate în care parametrii energetici ai unor echipamente pot fi modificați, deși acest lucru nu ar trebui să fie posibil. 

La nivel internațional, numeroase state s-au confruntat deja cu incidente și au întărit regulile de securitate. Prin urmare, măsura nu vine ca o reacție la un incident grav, ci ca o acțiune de prevenție necesară pentru protejarea infrastructurii energetice înainte ca problemele să devină critice.

„Gândiți-vă că există posibilitatea ca toate aceste echipamente să fie scoase din funcțiune, fără ca prosumatorii să poată interveni”

– Care este cel mai pesimist scenariu care se poate întâmpla dacă aceste echipamente sunt atacate? Atât macro, la nivelul întregului sistem energetic național, dar și micro, la nivelul unui prosumator?

–  În prezent, nu există nicio garanție că toate echipamentele respectă standardele europene de securitate cibernetică. 

În cel mai pesimist scenariu, companiile care dețin platformele de comandă ale echipamentelor le dezactivează simultan. Gândiți-vă că există posibilitatea ca, într-un anumit moment, toate aceste echipamente să fie scoase din funcțiune, fără ca prosumatorii să poată interveni sau să le poată repune în funcțiune.

La nivelul sistemului energetic național, o astfel de deconectare masivă ar putea destabiliza rețeaua, mai ales pe măsură ce capacitatea prosumatorilor depășește pragul critic. În aceste condiții, menținerea funcționării sistemului energetic național ar necesita eforturi semnificative.

– Care instituții se vor ocupa de auditarea echipamentelor energetice?

– Singura instituție publică abilitată să realizeze astfel de verificări de securitate este Directoratul Național de Securitate Cibernetică (DNSC). Orice afirmație contrară, care sugerează că alte organizații sau asociații ar efectua asemenea verificări asupra echipamentelor prosumatorilor, este nefondată și poate genera neîncredere în instituțiile statului. Este important ca informațiile să fie corecte, pentru a nu induce populația în eroare și pentru a menține încrederea în autorități. 

– Care sunt costurile estimate și cine va suporta costul verificării? Există riscul să se scumpească echipamentele, după introducerea acestei măsuri?

– În România sunt aproximativ 70 de producători de echipamente aprobați din punct de vedere tehnic, care au câteva zeci de modele, dar, din punct de vedere cibernetic, nu vorbim de sute sau mii de programe de control ale echipamentelor. 

Din punct de vedere cibernetic, DNSC va verifica firmware-ul acestor echipamente, ceea ce înseamnă în jur de 100 de programe de control. Costurile acestor verificări vor fi suportate de producători sau de reprezentanții lor, nu de prosumatori. Distribuite pe întreaga gamă de echipamente, aceste costuri sunt nesemnificative la nivel individual și nu vor afecta utilizatorii casnici.

– Ce se va întâmpla cu echipamentele deja instalate?

– Absolut nimic. Reglementarea nu are efect retroactiv și nu presupune nici taxe suplimentare, nici verificări pentru prosumatori. Inițiativa vizează doar colaborarea dintre producătorii de echipamente și DNSC, pentru certificarea securității cibernetice a echipamentelor noi. Echipamentele deja instalate în gospodării nu vor fi afectate și nu vor fi supuse niciunei verificări suplimentare.

Aici trebuie să combat isteria creată de această asociație. Au afirmat, fals, faptul că „prosumatorii vor fi puși să plătească…”, „prosumatorilor li se introduce o nouă taxă…”, „prosumatorii vor fi verificați”… Nimic mai fals. Repet, după cum bine știți, o lege nu poate activa retroactiv. 

În al doilea rând, nu acesta este sensul inițiativei. Reglementarea pune la masă producătorii de echipamente cu DNSC. Acest lucru s-a întâmplat și în trecut, în momentul în care echipamentele au fost verificate tehnic din punctul de vedere al parametrilor energetici, în vederea acceptării în rețelele electrice.

– Există în rândul prosumatorilor îngrijorarea că această măsură va duce la posibilitatea deconectării de la rețea. Prosumatorii vor fi preluați cu prioritate în continuare, ca și până acum?

– Din nou, această teză a fost interpretată total eronat și răuvoitor de către asociația cu pricina. Dati-mi voie să vă prezint textul al legii:

Art. 70 – Autoritatea competentă stabilește prin reguli tehnice și comerciale:

a) accesul garantat la rețelele electrice și dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie și în cogenerare de înaltă eficiență;

b) accesul prioritar la rețelele electrice și dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie și în cogenerare de înaltă eficiență în centrale cu puteri instalate mai mici sau egale cu 1 MW, în măsura în care nu este afectat nivelul de siguranță a SEN.

Deci prevederea de care se face vorbire este în vigoare încă din anul 2014, atunci când a fost adoptată. Inițiativa legislativă pe care o propun nu face altceva decât să nominalizeze DNSC ca autoritate competentă în domeniul securității cibernetice. În niciun fel, această autoritate nu va restricționa sau elimina drepturile prosumatorilor stabilite prin lege.

– Care sunt punctele de vedere al celorlalte instituții implicate: DNSC, ANRE, Ministerul Energiei?

– Absolut toate instituțiile pe care le-ați nominalizat susțin și doresc introducerea acestei reglementări. Vulnerabilitățile există, riscurile sunt semnificative, iar statul nu poate asista pasiv sau, mai rău, să acționeze post-factum și să repare răul produs. Securitatea energetică națională nu este negociabilă, iar cei care duc această campanie toxică de dezinformare ar trebui să conștientizeze acest lucru.

– Ați discutat cu producătorii chinezi de echipamente despre intenția de a introduce prin lege obligația de auditare a acestor echipamente? 

– Nu, nu am avut contact cu aceștia și nici nu am în vedere stabilirea unor astfel de întâlniri. Nu pe producătorii chinezi de echipamente îi reprezint în Parlamentul României. Nu interesele acestora trebuie să le protejez. Eu sunt trimis în Parlament să apăr și să protejez interesele cetățenilor și ale statului român. Acesta este jurământul pe care l-am depus la preluarea mandatului.

Vă adresez o întrebare, nu retorică: Cine are acest interes și mai ales de ce? Permiteți-mi să vă dau răspunsul meu: exact producătorii de echipamente au interes ca această reglementare să nu apară. 

– Care este calendarul estimat pentru implementare?

– Va depinde foarte mult de momentul în care inițiativa va fi adoptată de Parlamentul României. Din punct de vedere tehnic, DNSC-ului îi vor fi necesare câteva luni pentru a operaționaliza această activitate. Nu pot da un termen exact, deoarece există mai mulți factori care influențează această decizie.

Este însă important de subliniat că această inițiativă legislativă este necesară pentru protejarea securității energetice naționale și pentru prevenirea riscurilor cibernetice care ar putea afecta atât rețeaua națională, cât și prosumatorii. Orice dezinformare care răspândește neîncredere este periculoasă și iresponsabilă, punând în pericol infrastructura critică și siguranța cetățenilor.

Eu, ca parlamentar, am datoria să acționez responsabil, nu pot rămâne pasiv în fața dezinformării, care subminează încrederea în instituții și pune în pericol infrastructura critică și siguranța cetățenilor.