W miarę jak morska energetyka wiatrowa stała się filarem europejskiej niezależności energetycznej, stała się również głównym celem zagrożeń fizycznych, cybernetycznych i hybrydowych.

W odpowiedzi na to UE wprowadziła zaostrzone wymogi dotyczące odporności i gotowości, które kształtują nowy system przepisów sektorowych w Danii, mających wpływ na sektor energetyczny, w tym na morską energetykę wiatrową.

W 2022 r., na krótko przed inwazją Rosji na Ukrainę, 5800 turbin wiatrowych w całej Europie padło ofiarą cyberataku na dużą skalę.

Jednocześnie incydenty przypominające sabotaż, wymierzone w kable podmorskie na Morzu Bałtyckim, uwypukliły wrażliwość krytycznej infrastruktury energetycznej na morzu.

W raporcie duńskiej Służby Wywiadu Obronnego z grudnia 2025 r. stwierdzono, że „w szczególności Rosja, ale także inne państwa zagraniczne, stanowią poważne zagrożenie dla infrastruktury krytycznej na Zachodzie”.

Oprócz konkretnych incydentów morskie instalacje wiatrowe borykają się z powtarzającymi się wyzwaniami w zakresie bezpieczeństwa, w tym z lukami w starszych systemach sterowania, sieciach komunikacyjnych i fizycznych środkach bezpieczeństwa.

Te zmiany wymagają od organizacji zajmujących się morską energią wiatrową włączenia bezpieczeństwa i odporności do zarządzania oraz planowania operacyjnego.

Skala, złożoność i integracja morskiej energetyki wiatrowej sprawiają, że stanowi ona fundament europejskiego systemu energetycznego, w którym zakłócenia – fizyczne lub cybernetyczne – mogą mieć poważne konsekwencje.

Ryzyka te skłoniły UE do wprowadzenia bardziej rygorystycznych regulacji dotyczących odporności i gotowości.

Przepisy sektorowe w duńskim sektorze energetycznym

W Danii sektorowa ustawa o wzmocnionej gotowości w sektorze energetycznym wdraża wymogi unijnych dyrektyw NIS2i CER poprzez przepisy dotyczące gotowości organizacyjnej, ochrony fizycznej i cyberbezpieczeństwa. Ustawa stanowi, że – między innymi – przedsiębiorstwa energetyczne i producenci energii elektrycznej wchodzą w zakres jej stosowania.

Ustawę uzupełnia rozporządzenie wykonawcze w sprawie odporności i gotowości w sektorze energetycznym, określające, w jaki sposób wymogi te mają zastosowanie do podmiotów objętych ustawą i ich obiektów produkcyjnych, w tym morskich instalacji wiatrowych.

Rozporządzenie wykonawcze klasyfikuje podmioty i obiekty według poziomów i klas od 1 do 5, głównie na podstawie zdolności produkcyjnej, gdzie 5 oznacza najwyższy poziom. Wyższe poziomy i klasy odpowiadają bardziej rygorystycznym wymogom w zakresie gotowości.

Bezpieczeństwo łańcucha dostaw w sektorze morskiej energetyki wiatrowej

Rozporządzenie dotyczy nie tylko wewnętrznych środków bezpieczeństwa, ale także zagrożeń dla bezpieczeństwa w całym łańcuchu dostaw.

Zgodnie z rozporządzeniem wykonawczym podmioty objęte przepisami muszą identyfikować, oceniać i zarządzać ryzykiem specyficznym dla każdego bezpośredniego dostawcy i usługodawcy.

W tym zakresie rozporządzenie wykonawcze stanowi, że wymogi dotyczące gotowości organizacyjnej, ochrony fizycznej i cyberbezpieczeństwa muszą znaleźć odzwierciedlenie w umowach z dostawcami. Dostawcy muszą zatem być w stanie spełnić takie wymogi umowne.

Na poziomie UE trwają również prace nad dalszym wyjaśnieniem wymogów dotyczących łańcucha dostaw. Celem jest zapewnienie pewności prawnej i zapobieganie nakładaniu nieproporcjonalnych obowiązków na podmioty, które same nie wchodzą w zakres tych przepisów.

Praktyczne wyzwania dla podmiotów objętych rozporządzeniem

Podmioty objęte rozporządzeniem stoją przed kilkoma praktycznymi wyzwaniami przy wdrażaniu nowych wymogów dotyczących gotowości.

Po pierwsze, sam zakres i złożoność ram regulacyjnych – integracja NIS2 i CER w systemie sektorowym – oznacza, że wiele organizacji musi stworzyć nowe zdolności w zakresie zarządzania, dokumentacji i raportowania.

Po drugie, wielu operatorów energetycznych musi znaleźć równowagę między starymi i nowymi środowiskami technologicznymi. Systemy OT, takie jak SCADA i infrastruktura sterowania turbinami, były często projektowane bez uwzględnienia nowoczesnych zabezpieczeń cyberbezpieczeństwa.

Wreszcie, złożoność łańcucha dostaw stwarza wyzwania w zakresie zarządzania ryzykiem. Przy dużej liczbie zewnętrznych dostawców sprzętu, oprogramowania i usług zapewnienie spójnych standardów bezpieczeństwa w całej sieci dostawców jest pracochłonne i wymaga ciągłego nadzoru.

Odpowiedzialność kierownictwa

W ramach nowego systemu regulacyjnego bezpieczeństwo nie jest jedynie kwestią techniczną lub operacyjną – jest to odpowiedzialność najwyższego kierownictwa.

Organ zarządzający jest odpowiedzialny za zatwierdzanie i nadzorowanie zarządzania ryzykiem oraz gotowości podmiotów.

Nie jest to działanie jednorazowe, lecz ciągły proces, który wymaga od organu zarządzającego zatwierdzania środków bezpieczeństwa przyjętych przez podmiot oraz nadzorowania ich bieżącego wdrażania.

W związku z tym odpowiedzialność spoczywa na najwyższym szczeblu organizacji, a niepowodzenia mogą pociągać za sobą konsekwencje regulacyjne, reputacyjne i umowne.

Wdrażanie proporcjonalne i oparte na ryzyku

Wdrożenie środków wymaga podejścia opartego na ryzyku.

Dla wielu operatorów morskich farm wiatrowych uznane normy mogą służyć jako praktyczne narzędzia wdrożeniowe. Jako wytyczne można wykorzystać ramy takie jak ISO 27001 i IEC 62443, które są zarówno istotne, jak i oparte na ryzyku. Jednak przestrzeganie takich norm nie oznacza automatycznie zgodności z wymogami regulacyjnymi, którym należy poświęcić szczególną uwagę, np. poprzez analizę luk oraz analizę i dokumentację zgodności prawnej.

Poruszanie się po złożonych ramach

Duński system traktuje bezpieczeństwo jako wymóg strukturalny, zmuszając organizacje do poruszania się po złożonych ramach obejmujących ocenę ryzyka, zarządzanie, bezpieczeństwo łańcucha dostaw oraz bieżącą zgodność.

Jednak w środowisku, w którym kontrola regulacyjna i poziom zagrożeń stale rosną, bezpieczeństwo w sektorze morskiej energetyki wiatrowej jest nie tylko obowiązkiem prawnym, ale także strategiczną zaletą.

AUTORZY:

Pełną wersję artykułu można przeczytać tutaj.