Stránky o kybernetické bezpečnosti

BESS - IEC 62443

V roce 2026 už není IEC 62443 jen „dobrovolným doporučením“, ale v podstatě technickým prováděcím předpisem pro evropské nařízení CRA a český Zákon o kybernetické bezpečnosti.

Zatímco ISO 27001 řeší, jak firma spravuje papíry a procesy, IEC 62443 řeší, jak konkrétně je v drátech a kódu zabezpečená vaše baterie.

Norma je rozdělena do 4 logických skupin (celkem má cca 13 částí). Pro BESS jsou klíčové tyto oblasti:

1. Architektura normy (4 pilíře)

Skupina 1: Obecné (General)

Definuje slovník a metriky. Nejdůležitější je zde koncept Security Levels (SL) a Foundational Requirements (FR).

Skupina 2: Politiky a postupy (Policies & Procedures)

Řeší „lidský faktor“ a údržba:

  • IEC 62443-2-1: Jak provozovatel, má mít nastavenou bezpečnostní politiku pro BESS.
  • IEC 62443-2-3: Patch Management. Naprosto klíčové. Jak musí dodavatel testovat a distribuovat aktualizace softwaru, aby při opravě chyby „neshodil“ řízení baterie.
  • IEC 62443-2-4: Požadavky na integrátora. Tedy na firmu, která komponenty nakoupí a složí z nich funkční kontejner.

Skupina 3: Systém (System)

Tady se norma dívá na BESS jako na celek.

  • IEC 62443-3-2: Zóny a kanály (Zones and Conduits). Systém se musí rozdělit na zóny (např. BMS zóna, EMS zóna, Komunikační zóna). Pokud je jedna zóna napadena, útočník se nesmí snadno dostat do druhé.
  • IEC 62443-3-3: Definuje technické požadavky na celý systém (např. jak má vypadat šifrování nebo logování).

Skupina 4: Komponenty (Component)

Nejpřísnější část pro výrobce (např. výrobce střídačů).

  • IEC 62443-4-1: Secure Development Lifecycle. Výrobce musí prokázat, že software nepsal „na koleni“, ale že každá řádka kódu prošla testy na zranitelnosti.
  • IEC 62443-4-2: Technické požadavky na komponentu. Konkrétní seznam funkcí, které musí mít např. Master BMS (např. HW ochrana klíčů, Secure Boot).

2. Úrovně zabezpečení (Security Levels - SL)

  • SL 1: Ochrana proti náhodnému zneužití (např. zaměstnanec omylem něco přenastaví).
  • SL 2: Ochrana proti cílenému útoku s jednoduchými prostředky (např. skript-kiddies, běžný ransomware).
  • SL 3: Ochrana proti cílenému útoku zkušeného útočníka s profi nástroji. (Toto je doporučený standard pro kritickou infrastrukturu a BESS).
  • SL 4: Ochrana proti útoku se zdroji na úrovni státu (pokročilé APT skupiny).

3. Sedm základních pilířů (Foundational Requirements)

Každá komponenta (střídač, BMS) musí v rámci certifikace splnit těchto 7 bodů:

  • Identifikace a autentizace (IAC): Systém musí vědět, kdo se hlásí (osoba i stroj) a ověřit to (např. certifikáty, MFA).
  • Řízení užití (UC): Kontrola, co ten člověk může dělat (např. technik může číst logy, ale nesmí měnit limitní napětí článků).
  • Integrita systému (SI): Ochrana před neoprávněnou změnou dat v klidu i za běhu (např. kontrolní součty firmwaru).
  • Důvěrnost dat (DC): Šifrování citlivých dat, aby je nikdo neodposlechl na komunikační sběrnici.
  • Omezení toku dat (RDF): Segmentace sítě. Logické a fyzické oddělení řízení baterie od internetu.
  • Včasná reakce (TRE): Systém musí okamžitě nahlásit, že se někdo pokouší o neautorizovaný přístup.
  • Dostupnost zdrojů (RA): Odolnost proti útoku na odmítnutí služby (DoS). Útočník nesmí zahltit systém tak, aby baterie přestala regulovat teplotu.

4. Implementace v praxi (Zones and Conduits)

Jedním z nejdůležitějších konceptů IEC 62443 je segmentace. BESS by neměl být jedna velká síť.

  • Zóna 1 (Site): Místní ovládání, HMI panel.
  • Zóna 2 (Control): EMS a střídače.
  • Zóna 3 (Safety): BMS a systémy hašení (nejvyšší úroveň ochrany).
  • Kanály (Conduits): Přísně hlídané cesty mezi těmito zónami, kde firewall kontroluje každý paket.

5. Shrnutí: Proč to chtít v roce 2026?

Pokud dodavatel splňuje IEC 62443-4-1 (proces) a IEC 62443-4-2 (produkt), pak:

  • Má vyřešený vztah k CRA (CRA v podstatě přebírá požadavky této normy).
  • Splňuje Zákon o kybernetické bezpečnosti (ten vyžaduje "technická opatření", což jsou přesně FR 1-7 z této normy).
  • Systém je udržitelný. Norma vyžaduje, aby výrobce garantoval podporu a opravy chyb po celou dobu životnosti.

Poznámka:

Při jednání s dodavatelem se neptejte obecně "Splňujete 62443?". Ptejte se konkrétně: "Můžete mi doložit certifikát IEC 62443-4-2 pro váš BMS a EMS, a to konkrétně pro Security Level 2?" Tato otázka okamžitě oddělí "garážové" prodejce od profesionálních dodavatelů pro energetiku.

Back to Top