Stránky o kybernetické bezpečnosti

BESS - co je nutno si ohlídat?

Při realizaci projektu a následném provozu je nutno ohlídat zejména tyto klíčové oblasti:

Přehled je připraven pro předpoklad, se že je provozovatel BESS v režimu vyšších povinností

BESScosiohlidat

1. Řízení dodavatele a smluvní ujednání

Je nutno:

  • Identifikovat významné dodavatele: Dodavatel celého systému BESS (Battery Energy Storage System) bude pravděpodobně významným dodavatelem.
  • Smluvní doložky: Smlouva musí obsahovat ustanovení o kybernetické bezpečnosti, včetně práva provádět u dodavatele audity, povinnosti hlásit incidenty a specifikace exit strategie (jak převezmeme správu dat a systémů při ukončení spolupráce).
  • Výběr dodavatele: Musíme doložit, že jsme dodavatele vybrali v souladu s požadavky na kybernetickou bezpečnost. Výrobce klíčových komponent (střídače, řídicí systémy) nesmí být na „blacklistu“ NÚKIB nebo nepředstavoval geopolitické riziko.

2. Bezpečnost produktů (Akt o kybernetické odolnosti – CRA)

  • Veškerý software (BMS, EMS) a hardware s digitálními prvky musí splňovat požadavky na kybernetickou odolnost. Dodavatel musí doložit SBOM (seznamu všech softwarových komponent). Je nutno zajistit:
  • Označení CE: Prověřte, zda digitální prvky splňují požadavky nařízení CRA a jsou opatřeny označením CE vyjadřujícím shodu s kybernetickými standardy.
  • Softwarový kusovník (SBOM): Vyžadujte od dodavatele SBOM, tedy seznam všech softwarových komponent, což vám umožní v budoucnu identifikovat zranitelnosti v systému.
  • Doba podpory: Ohlídejte si, aby výrobce garantoval dodávky bezpečnostních aktualizací po celou očekávanou dobu životnosti úložiště (minimálně však 5 let, ale lepší by bylo 10-15 let).

3. Technické nastavení systému (OT bezpečnost)

Bateriové úložiště spadá pod průmyslová a řídicí aktiva (OT), která vyžadují specifický přístup:

  • Segmentace sítě: Musíte zajistit přísné oddělení provozního prostředí (úložiště) od administrativního prostředí firmy.
  • Zabezpečení specifických aktiv: Legislativa vyžaduje omezit fyzický i vzdálený přístup k řídicím prvkům a zajistit jejich ochranu před známými hrozbami. Jakýkoliv servisní přístup dodavatele musí být pod naší kontrolou (vícefaktorové ověření, logování, časové omezení).
  • Standardně bezpečná konfigurace: Systém musí být dodán v bezpečné konfiguraci (vypnuté nepotřebné služby, změněná výchozí hesla).

4. Organizační povinnosti a role

Jako provozovatel musíme mít ustanoveny vnitřní struktury:

  • Bezpečnostní role: Statutární orgán musí prokazatelně jmenovat Manažera KB, Architekta KB (může být externí) a Auditora KB. Musíte také určit garanty jednotlivých aktiv.
  • Výbor pro řízení KB: Musí zřídit tento výbor pro koordinaci kybernetické bezpečnosti, jehož členem musí být minimálně manažer KB a člen vrcholného vedení.
  • Školení vedení: Statutární orgány musí absolvovat povinné školení v rozsahu potřebném pro výkon jejich řídicí funkce.

5. Registrace a hlášení

  • Samoidentifikace a registrace: Jakmile začneme službu poskytovat (povolení ERU vstopív účinnost), musíme se do 60 dnů zaregistrovat přes Portál NÚKIB.
  • Hlášení incidentů: Po spuštění provozu je povinnost hlásit závažné incidenty (prvotní hlášení do 24 hodin).

6. Smluvní zajištění (SLA a Záruky)

U dodávky na klíč je smlouva jedinou zbraní. Musí proto pokrýt:

  • Dostupnost. Garance provozuschopnosti systému (např. 99 %).
  • Kyber-aktualizace: Povinnost dodavatele dodávat bezpečnostní patche po dobu min. 10 let (dle CRA).
  • Data Ownership: Explicitní potvrzení, že veškerá provozní a telemetrická data patří vám.
  • Degradace: Jasná křivka poklesu kapacity baterií (např. min. 80 % po 15 letech).
  • Penalizace: Sankce za nedodržení parametrů nezbytných pro regulované služby.

Na co se dodavatele zeptat jako první?

  • “Dodáte mi k systému Software Bill of Materials (SBOM) v souladu s CRA?”
  • “Jak je technicky vyřešeno oddělení řídicí sítě od internetu?”
  • “Garantujete v rámci ceny na klíč i úspěšné certifikační měření pro poskytování PpS?”

bess_prehled

Poznámky:

Vzhledem k režimu vyšších povinností by měl být do celého procesu dodávky zapojen vlastní nebo externí konzultant v roli manažera/architekta kybernetické bezpečnosti, který dohlédne na to, aby dodavatel „na klíč“ skutečně splnil všechny technické parametry vyžadované vyhláškou č. 409/2025 Sb…

Tento přehled je vypracován pro firmu, která spadá do režimu vyšších pocinnosti. Dle aktuálních znalostí tomu tak zřejmě bude. Nicméně je zde ještě ustanovení § 7 odst. c) Zákona 264/2025 o kybernetické bezpečnosti:

Za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv, která používá posuzovaná osoba při poskytování regulované služby,

Pokud by bylo možné zajistit naplnění tohoto ustanovení, tak by zřejmě poskytovatel byl v režimu nižžších povinností. Tyto povinnosti jsou dány vyhláškou 410/2025, Sb. V tomto režimu by administrativa a rozsah opatření byly méně náročné, ale základní principy a odpovědnost statutárního orgánu zůstávají zachovány.

Back to Top