光伏网络风险对电网稳定性的解决方案

solarpowereurope.org 针对光伏网络风险的解决方案以保障电网稳定性 知识合作伙伴： 1 插电式太阳能光伏 成为SolarPowerEurope的会员 SolarPowerEurope是欧洲领先的太阳能协会。今天加入我们的太阳能社区，为您的组织解锁一个充满闪耀好处的新世界。 行业影响力 与我们携手，与行业领导者合作，共同塑造欧洲的太阳能政策框架。 网络交流机会 与整个太阳能价值链的300多位成员建立联系。在我们的活动上加入独家社交机会。 专家知识 ：获取最新太阳能最佳实践、全面的市场情报、每周政策更新、每季度市场更新网络研讨会以及在我们工作流中的知识交流。 可见性和推广 在我们的网站上，向34K+月度独立访客的积极太阳能受众展示您的形象，在社交媒体上有95K+关注者，28,5K+通讯订阅者，以及更多。 惊人的折扣 获取SolarPowerEurope及合作伙伴活动的独家会员折扣、在合作伙伴媒体渠道进行广告投放、赞助机会等更多优惠。 加入SolarPowerEurope今天 www.solarpowereurope.org/membership 内容 内容3 执行摘要5 1.引言和问题陈述8 1.1引言1.2情况19 .3需求1.4方法论9 1.5范围11 11 12 2.太阳能电站设计与远程访问能力14 2.1太阳能电站分类15 2.2远程连接2.3太阳能逆变19 器的栅极轮廓22 3.太阳能行业网络安全风险评估23 3.1太阳能行业网络安全概述3.2重大基础设施相关24 网络攻击3.3太阳能行业风险评估25 27 4.太阳能行业市场分析35 4.1太阳能市场参与者4.2太阳36 能光伏系统37 5.电网影响分析42 5.1电力系统影响分析介绍43 5.2电源系统影响分析的情景和模型基础43 5.3电网模拟结果高层摘要44 6.现有欧盟网络安全法规及其他地区相关政策的总结45 6.1现有欧盟监管概述46 6.2现有监管控制下的残余风险概况48 6.3其他地区或行业的相关政策51 7.确保整个太阳能行业网络安全基线的建议54 7.1安全太阳能基线最低要求55通过欧盟的政策框架执行要求62 7.3针对现有安装的建议65 7.4风险摘要：已实施增加的缓解措施66 AdditionalTopicsforInvestigation69 参考文献70 附录A：风险矩阵72 3针对光伏网络风险的解决方案以保障电网稳定性 SolarPowerEuropeReport 由...开发： RyanDavidson,MatthiasMüller-Mienack,KaiKamphöfener,KlausKursawe,Al-KarimGovindji,PaulRaats,LauriSalonen,DNV 由SolarPowerEurope委托： 项目经理：JanOsenberg，SolarPowerEurope 由WalburgaHemetsberger和DriesAcke监督，SolarPowerEur请o引pe用为： SolarPowerEurope(202针5):对光伏网络风险的解决方案以保障电网稳定性 发布日期：2025年4月 联系方式i：nfo@solarpowereurope.org. 用于媒体用途和查询：BethanyMeban,SolarPowerEurope,b.meban@solarpoweurope.org.设计：OnehemisphereAB,Sweden.contact@onehemisphere.se 封面图片：©Shutterstock 免责声明：本报告由SolarPowerEurope编制。仅供收件人一般信息参考。本报告中任何内容均不构成对任何产品、服务或金融产品的要约或建议。本报告不构成技术、投资、法律、税务或其他任何形式的建议。收件人应根据需要咨询其技术、财务、法律、税务或其他顾问 。本报告基于据信准确的信息来源。然而，SolarPowerEurope不对本报告中包含的任何信息的准确性或完整性作出保证。SolarPowerEurope没有义务更新本报告中包含的任何信息。SolarPowerEurope对因使用所提供信息而造成的任何直接或间接损害不承担责任，亦不提供任何赔偿。除非另有说明，提供的市场情报数据和资源的版权及其他知识产权归SolarPowerEurope所有。 4 执行摘要 ©Karelnoppe/Shutterstock.com 执行摘要 来自犯罪分子和国家攻击者对电网基础设施的网络攻击正在增加。这要求能源基础设施加强安全性和韧性。通过拥抱分布式发电，特别是来自太阳能等可再生能源，欧洲显著降低了对单一、高影响目标的依赖，并增强了电网的韧性。这种转向更加多元化和韧性的能源基础设施，在欧盟能源安全战略以及更近期的RePowerEU计划中得到了呼应，该计划恰当地描述了可再生能源在提供更多欧洲能源独立和减少对外部能源依赖方面发挥着关键作用。1 为应对此情况，能源领域的网络安全格局正在经历重大变革，这得益于近期监管框架的扩展 ，如网络与信息安全指令（NIS2）、网络安全规则（NCCS）及其他相关法规的推行。然而 ，这些举措主要集中于传统能源基础设施，如大型集中式发电厂，因此未能充分满足分布式能源资源（如相对较小的屋顶太阳能设施）的具体安全需求。网络韧性法案（CRA）将适用于太阳能设备，因为它涵盖了在欧洲销售的所有数字设备。然而，即便是CRA在应对完整端到端基础设施方面也存在局限性。 执行摘要 这些与电网相关的设备，如屋顶太阳能和其他分布式能源（DER）的独特方面，并未得到现有法规的充分解决。 •现行法规将安全责任归于运营商，要求其对服务和组件供应商的供应链安全进行监管。然而，许多光伏系统规模过小，无法被归类为关键基础设施，且不由类似公用事业的专业运营商管理。 •这类屋顶光伏系统和其他分布式能源系统通常由业主或小企业“运营”。例如，安装商 、聚合商和制造商越来越多地拥有远程访问权限，以提供灵活性服务，但目前它们并不受关键基础设施运营商的典型要求约束。 •从通信和网络安全的角度来看，大多数屋顶太阳能系统更像是物联网（IoT）设备，而不是集中式能源基础设施。因此，许多传统的工业安全控制和网络架构并不适用。欧盟需要量身定制的解决方案。 尽管太阳能行业遭受了多次攻击，但这些攻击与其他能源领域部分（如针对公用事业或电网运营商的攻击）相比并不算严重。在那些地方，工业间谍活动、勒索软件以及导致公共电网停电的攻击在过去十年中发生的频率越来越高。然而，太阳能在欧洲发电组合中的作用正在迅速增加。可以预见的是，网络攻击也将随之增加。行业内许多利益相关者认识到其对公共基础设施的影响，并将网络安全视为优先事项。制造商、服务提供商等在提高其已安装光伏基础设施的安全性的同时，也加强了自身的IT系统，并推广了健康的网络文化。然而，如果没有适当的监管，该行业的网络成熟度将保持异质性。因此，网络安全基线至关重要，以确保识别并充分解决此基础设施安全方面的漏洞。 作为识别该行业这些威胁的第一步，本报告进行了行业网络风险评估。风险类型分为三大类 ：（i）设备级安全；（ii）行业利益相关者被攻破所引发的风险；（iii）以及受国家行为体威胁者与供应商合作有意滥用已安装容量的风险。这些威胁随后通过市场和电网分析进行了量化。在考虑现有法规下的未来安全控制措施后，所有向电网输送电力的光伏电站的风险均超过可接受阈值。电力系统模拟表明，针对3吉瓦的定向攻破可能对欧洲电网产生重大影响。超过十家西方和非西方制造商控制着远超3吉瓦的逆变器安装容量。其他关键参与者包括大型光伏资产运营商、安装商和选定第三方服务提供商。 为应对这些风险并为整个行业提供更同质的网络安全成熟度基准，报告第八部分提出了一套框架。该框架遵循普遍接受的网络安全实践。这些实践包括防范网络攻击、早期检测、应对攻击以及从攻击中恢复的方法。防范措施涵盖确保和保护已安装的基础设施，以及提升管理和远程访问该基础设施的组织的安全措施。关于监控和恢复的建议措施包括可在支持未来监控和恢复工作的基础设施中实施的方法。恢复措施既包括促进光伏系统自身恢复的措施，也包括从黑启动场景中恢复电网的措施。 执行摘要 政策制定者应采取行动解决与电网相关设备中的网络安全漏洞。这包括例如，分布式能源资源的聚合、逆变器制造商的远程访问能力以及其他相关服务提供商。解决方案在其他行业存在且已被使用。共同合作，它们可以显著降低与太阳能相关的网络安全风险对电网稳定性的影响。主要的缓解措施有两种： •制定针对特定行业的指南，以保障光伏基础设施安全。尽管目前存在许多针对网络安全的标准，例如ISO27001或IEC62443，但这些标准并非行业特定。某些努力，如IEEE1547.3 ，包含了行业特定的指导。然而，仍需更多工作以提供有关端到端安全光伏基础设施实施的 额外细节。这应基于相关的欧洲认证流程。这不仅仅包括逆变器，还包括用于监控和管理的云和通信基础设施。详细信息在第7.2.1章中提供。 •限制来自欧盟以外的远程访问和数据存储，效仿其他国家的做法。欧盟应阻止非欧盟司法管辖范围内的利益相关方在基于其他执法严格的安全司法管辖区的条件下，对超过临界阈值的聚合能源设备进行远程控制。a这些限制应涵盖直接控制以及通过固件和软件更新实现的延迟控制。委员会应通过网络安全网络规则（NCCS），如下文详述，或制定快速通道程序来实施此措施。高风险实体随后可以开发解决方案，但需经主管当局批准，以充分管理网络风险。立陶宛采取了类似方法，要求高风险实体依赖第三方提供远程维护和更新。详细信息见第7.2.1和7.1.1章节。 欧盟委员会应通过国家气候战略实施计划（NCCS）强制执行这些光伏基础设施安全要求，以加速实施。所有具备远程控制能力并超过临界阈值的行为者都必须采取适当的安全措施。委员会应召集利益相关者以制定明确实施路径。一种方法可以是建立电网接入的产品白名单， 并配备相应的认证流程。政策制定者可通过国家监管机构(NCCS)的供应链控制来强制执行针对电网出口设备的规定。另一个选项是将安全要求与向电网输送电力的设备的国家要求相结合。详细信息请参见第7.2.2章。 ©Shutterstock.com a在2016/679号法规（GDPR）的背景下，欧洲委员会已经列出了EEA以外的第三国（欧盟、挪威、列支敦士登和 ：冰岛)可以提供适当安全水平的司法管辖区，因此应被视为安全司法管辖区。这些国家包括安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、美国和乌拉圭。 01 ©Shutterstock.com 引言与问题陈述 8 1.1简介 本报告旨在制定技术和非技术建议，以降低逆变器中残余的网络与能源安全风险。太阳能行业中的网络风险及其相关缓解措施与传统能源基础设施中的差异很大。从网络安全角度来看 ，逆变器通常更类似于物联网设备，而非传统发电厂。它们通过云系统被多家参与者（包括 原始设备制造商、安装商和需求响应提供商）访问和控制，使其面临现有监管框架下难以有效缓解的脆弱性。本报告列举这些行业特定风险，确定现有和正在制定监管措施应用后的残余风险，并最终提出建议以应对剩余的未缓解风险。 1.2情况 欧洲电网正在经历一场由可再生能源（尤其是太阳能和风能）采纳所驱动的深刻转型。发电结构正在从以集中式化石燃料发电厂为主转向以分布式能源资源（DERs）为特征的分布式模式，如图1所示。截至2024年，可再生能源占欧洲电力生成总量的47%，其中太阳能占能源总量的11%。2太阳能在这套能源组合中扮演着关键角色。这一转型与欧洲在《欧洲绿色协议》和《欧洲能源安全战略》中承诺在2050年实现碳中和的目标相一致。 图1 从集中式电网转向分布式电网 来源：DNV 能源基础设施近年来遭受网络攻击和物理破坏事件频发。主要部件极易成为干扰目标，2013年发生的典型