Skip to Content

Cyberbezpieczeństwo instalacji energetycznych dla firm — przewodnik 2026

Falowniki, magazyny i EMS to dziś komputery w Twojej sieci. Przewodnik po ryzyku i obowiązkach na 2026.
June 29, 2026 by
Daniel Kowalczyk
| No comments yet

Instalacja PV, magazyn energii i system EMS to dziś komputery podłączone do internetu — i tak trzeba je traktować. Falownik raportuje do chmury producenta, magazyn aktualizuje firmware zdalnie, a EMS steruje przepływem energii w całym zakładzie. Wygoda jest realna. Ryzyko też: kto przejmie te urządzenia, ten steruje Twoją energetyką.

Dlaczego energetyka firmowa stała się celem

Systemy OT (operational technology) w energetyce mają dwie cechy, które przyciągają atakujących: długi cykl życia (falownik pracuje 15+ lat, często na starym firmware) i bezpośredni wpływ na procesy fizyczne. Badania z ostatnich lat — w tym analizy Forescout dotyczące falowników PV — pokazują, że podatności w urządzeniach energetycznych to nie teoria, tylko regularnie publikowane CVE. Osobny wpis poświęciliśmy 46 podatnościom znalezionym w falownikach Sungrow, Growatt i SMA.

Typowe wektory ataku na instalację firmową

  • Konto w chmurze producenta — przejęcie konta serwisowego daje zdalną kontrolę nad falownikiem lub magazynem.
  • Stary firmware — znane podatności bez łatek to najczęstsza droga wejścia.
  • Płaska sieć lokalna — falownik w tej samej sieci co komputery biurowe oznacza, że infekcja laptopa sięga instalacji.
  • Zdalny dostęp serwisowy — niekontrolowane tunele instalatorów, często z domyślnymi hasłami.
  • Domyślne hasła — wciąż spotykane w rejestratorach, licznikach i bramkach komunikacyjnych.

Co na to prawo: NIS2 i CRA

Dla części firm cyberbezpieczeństwo instalacji przestaje być dobrą praktyką, a staje się obowiązkiem. Dyrektywa NIS2 obejmuje sektor energii i podmioty ważne dla łańcucha dostaw, a CRA (Cyber Resilience Act) nakłada wymogi na producentów urządzeń — co zmienia też pytania, które warto zadawać przy zakupie magazynu czy falownika. Szczegóły dla magazynów energii — wraz z wymogami programów dofinansowań — opisujemy w osobnym wpisie o NIS2 i CRA.

Checklista minimum na 2026

  • Zinwentaryzuj urządzenia: producent, model, wersja firmware, sposób komunikacji z chmurą.
  • Oddziel sieć OT od biurowej (VLAN, firewall) — falownik nie musi widzieć księgowości.
  • Zmień wszystkie domyślne hasła i włącz 2FA na kontach w chmurze producenta.
  • Ustal politykę aktualizacji firmware — kto, kiedy i po jakiej weryfikacji.
  • Ogranicz i loguj zdalny dostęp serwisowy; wyłącz tunele, których nikt nie używa.
  • Przeglądaj logi pod kątem nietypowej aktywności (logowania z zagranicy, nocne komendy sterujące).

Nie zgaduj — zmierz

Jak w każdym obszarze, w którym pracujemy: najpierw pomiar, potem decyzja. Audyt cyberbezpieczeństwa OT pokazuje, które z powyższych punktów są u Ciebie realnym ryzykiem, a które są już domknięte.

Zgłoszenie: powergo.pl/formularz/audyt. Telefon: kliknij przycisk wyświetlania — IVR skieruje Cię do specjalisty audytu (opcja 7). W ciągu 24h otrzymasz wstępną ocenę ryzyka cyber Twojej instalacji oraz rekomendację, co dalej. Audyt cybersec OT trwa typowo 1-2 dni w terenie plus 3-5 dni raportowania. Cena 5-15 tys. zł, zależnie od skali instalacji.

PowerGo — Energia w ruchu.


Zobacz też

Cyberbezpieczeństwo i magazyny energii

Audyt bezpieczeństwa instalacji lub dobór magazynu energii — skontaktuj się z PowerGo.

Daniel Kowalczyk June 29, 2026
Share this post
Archive
Sign in to leave a comment