## Cyberbezpieczeństwo OZE 2026: Polskie farmy wiatrowe i fotowoltaiczne na celowniku hakerów
Grudzień 2025: skoordynowany cyberatak na ponad 30 polskich obiektów energetycznych. Złośliwe oprogramowanie **DynoWiper** i **LazyWiper**. Sprawcy: grupy powiązane z rosyjskim wywiadem. Premier Tusk potwierdza atak. Oto pełna analiza zagrożeń dla sektora OZE w Polsce i Europie.
### Anatomia ataku – co się naprawdę wydarzyło W grudniu 2025 roku Polska znalazła się w centrum jednego z największych cyberataków na infrastrukturę energetyczną w historii Europy. Według raportów **CERT Polska**, **Ministerstwa Cyfryzacji** oraz firm analitycznych **Dragos** i **ESET**, zaatakowanych zostało ponad 30 obiektów – w tym farmy OZE (wiatrowe i fotowoltaiczne) oraz elektrociepłownia zaopatrująca w ciepło setki tysięcy odbiorców.
**Użyte narzędzia ataku:**
- **DynoWiper** – złośliwe oprogramowanie typu *wiper* (niszczy dane nieodwracalnie), zaprojektowane do dezaktywacji systemów SCADA sterujących farmami wiatrowymi - **LazyWiper** – wariant atakujący systemy BEMS (Building Energy Management System) w instalacjach fotowoltaicznych - **Ataki na komunikację OT/IT** – zakłócanie sygnałów między rozproszonymi instalacjami OZE a operatorami sieci – gdyby zadziałały w pełni, mogłyby doprowadzić do lokalnych blackoutów
**Sprawcy:** Według analiz, za atakami stoją dwie grupy APT (Advanced Persistent Threat): - **Static Tundra** (znana też jako Berserk Bear / Energetic Bear) – grupa powiązana z FSB, specjalizująca się w atakach na infrastrukturę energetyczną - **Electrum** – ta sama grupa, która wcześniej przeprowadziła ataki Industroyer/Crashoverride na ukraińską sieć energetyczną
### Skala zagrożenia – liczby, które trzeba znać
Źródło: CERT Polska, Dragos ICS/OT Threat Report 2026, EcoAudyt OZE Crawler – oze_fresh_content-4
### Niemcy klasyfikują zagrożenia – europejski standard 26 marca 2026 roku **Federalna Agencja Sieci (Bundesnetzagentur)** ogłosiła wdrożenie nowego, ustrukturyzowanego frameworku do klasyfikacji incydentów cyberbezpieczeństwa w sektorze energetycznym, opracowanego przez **Fraunhofer IOSB-AST**. Metodologia obejmuje kompleksowe oceny ryzyka – od wstępnych raportów po oceny systemowych i ekonomicznych skutków, umożliwiając spójną ewaluację w całym łańcuchu wartości energii.
To bezpośrednia odpowiedź na wzrost ataków i modelowe rozwiązanie, które **Polska powinna jak najszybciej zaadaptować** jako wzorzec dla własnych regulacji NIS2.
### UE wymusza cyberbezpieczeństwo mikroinstalacji – koniec tanich rozwiązań Równolegle, jak informuje **Gramwzielone.pl** (26.03.2026), trwają prace nad regulacją UE nakładającą wymogi cyberbezpieczeństwa na **mikroinstalacje PV** – czyli domowe instalacje prosumenckie. To oznacza:
1. **Falowniki muszą posiadać certyfikat cybersecurity** (IEC 62443, EN 303 645) – dotychczas nieobowiązkowy 2. **Brak możliwości zdalnego przejęcia falownika** – lukę wykorzystywaną przez hakerów do atakowania setek tysięcy rozproszonych instalacji jednocześnie 3. **Szyfrowana komunikacja** między instalacją a monitoringiem chmurowym 4. **Automatyczne aktualizacje bezpieczeństwa** – obowiązkowe, nie opcjonalne
**Implikacja finansowa:** Najtańsze falowniki (głównie chińskich producentów bez certyfikatów) zostaną wykluczone z rynku UE. Ceny certyfikowanych rozwiązań są wyższe o 15–30%.
### Zagrożenie dla magazynów energii (BESS) Magazyny energii stały się nowym głównym celem. Analiza **GLOBEnergia** i portal **Globenergia.pl** z marca 2026 cytują raport Panasonic, który testuje system monitoringu zagrożeń dla instalacji BESS. Dlaczego magazyny są tak łakomy kąsek dla hakerów?
- **Efekt kaskadowy** – zhakowany magazyn w sieci BESS o pojemności 100 MWh może wymusić nagłe oddanie całej energii do sieci lub jej odłączenie, destabilizując lokalny operator - **Zapalenie** – celowe doprowadzenie do termicznej ucieczki baterii litowo-jonowych (choć scenariusz trudny technicznie) - **Sabotaż ekonomiczny** – manipulowanie parametrami ładowania, by przyspieszyć degradację baterii o lata
### Wielka Brytania: pierwsze państwo, które zablokowało chiński sprzęt Precedens prawny: **Wielka Brytania zablokowała turbiny Ming Yang** (chiński producent) z projektów offshore na podstawie względów bezpieczeństwa narodowego. To pierwszy tak wyraźny sygnał, że urządzenia OZE stają się traktowane jak broń podwójnego zastosowania – fizycznie produkują energię, ale mogą stać się backdoorem do infrastruktury krytycznej.
Polska importuje znaczne ilości sprzętu fotowoltaicznego z Chin. To pytanie, które branża musi zadać sobie już teraz.
### Zalecenia rządu RP – co muszą zrobić operatorzy OZE Po grudniowych atakach Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał następujące zalecenia:
### Co to znaczy dla właściciela domowej instalacji PV? Przeciętny prosument nie jest bezpośrednim celem państwowych hakerów – ale może stać się **nieświadomym narzędziem ataku**. Jak? Przez botnet falowników: dziesiątki tysięcy niezabezpieczonych falowników domowych, sterowanych zdalnie, mogą jednocześnie wykonać polecenie oddania/pobrania energii, destabilizując sieć.
**Praktyczne kroki dla właściciela instalacji:** 1. Sprawdź czy twój falownik ma aktualne oprogramowanie – aktualizuj regularnie 2. Zmień domyślne hasło do panelu administracyjnego falownika 3. Wyłącz zdalny dostęp przez publiczny internet (zostaw tylko przez aplikację producenta) 4. Kupując nową instalację – pytaj o certyfikaty cybersecurity falownika
### Źródła i powiązane materiały - [CERT Polska – komunikat o cyberataku na energetykę](https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-dotyczacy-cyberbezpieczenstwa-oze) - [CyberDefence24 – Atak na polską energetykę. Nowe zalecenia dla sektora OZE](https://cyberdefence24.pl/cyberbezpieczenstwo/atak-na-polska-energetyke-sa-nowe-zalecenia-dla-sektora-oze) - [zero.pl – Polskie OZE na celowniku Moskwy. Kulisy cyberataku grupy Electrum](https://zero.pl/news/polskie-oze-na-celowniku-moskwy-ujawniono-kulisy-cyberataku-grupy-electrum) - [PV Magazine Global – Germany classifies cybersecurity threats for energy infrastructure (26.03.2026)](https://www.pv-magazine.com/2026/03/26/germany-classifies-cybersecurity-threats-for-energy-infrastructure/) - [Gramwzielone – Mikroinstalacje PV pod lupą UE: koniec tanich rozwiązań, początek ery cyberbezpieczeństwa](https://gramwzielone.pl) - [GLOBEnergia – Magazyny energii na celowniku cyberataków](https://globenergia.pl/magazyny-energii-na-celowniku-cyberatakow-jak-dziala-monitoring-zagrozen/) - [4C Offshore – UK blocks Ming Yang turbines on national security grounds](https://www.4coffshore.com) - [Euronews PL – Tusk: Polska odparła cyberataki na energetykę](https://pl.euronews.com/2026/01/15/cyberataki-na-energetyke-tusk-polska-odparla-zagrozenie-skutki-mogly-byc-powazne) - EcoAudyt OZE Crawler – oze_fresh_content-4 (dane incydentów marzec 2026)
### Anatomia ataku – co się naprawdę wydarzyło W grudniu 2025 roku Polska znalazła się w centrum jednego z największych cyberataków na infrastrukturę energetyczną w historii Europy. Według raportów **CERT Polska**, **Ministerstwa Cyfryzacji** oraz firm analitycznych **Dragos** i **ESET**, zaatakowanych zostało ponad 30 obiektów – w tym farmy OZE (wiatrowe i fotowoltaiczne) oraz elektrociepłownia zaopatrująca w ciepło setki tysięcy odbiorców.
**Użyte narzędzia ataku:**
- **DynoWiper** – złośliwe oprogramowanie typu *wiper* (niszczy dane nieodwracalnie), zaprojektowane do dezaktywacji systemów SCADA sterujących farmami wiatrowymi - **LazyWiper** – wariant atakujący systemy BEMS (Building Energy Management System) w instalacjach fotowoltaicznych - **Ataki na komunikację OT/IT** – zakłócanie sygnałów między rozproszonymi instalacjami OZE a operatorami sieci – gdyby zadziałały w pełni, mogłyby doprowadzić do lokalnych blackoutów
**Sprawcy:** Według analiz, za atakami stoją dwie grupy APT (Advanced Persistent Threat): - **Static Tundra** (znana też jako Berserk Bear / Energetic Bear) – grupa powiązana z FSB, specjalizująca się w atakach na infrastrukturę energetyczną - **Electrum** – ta sama grupa, która wcześniej przeprowadziła ataki Industroyer/Crashoverride na ukraińską sieć energetyczną
### Skala zagrożenia – liczby, które trzeba znać
Cyberataki na sektor energetyczny – statystyki 2024–2026
| Wskaźnik | 2024 | 2025 | Q1 2026 |
|---|---|---|---|
| Ataki na OZE w Europie (potwierdzone) | 47 | 112 | 38 |
| Polska incydenty sektora energetyki | 8 | 34 | 12 |
| Średni czas od włamania do wykrycia (dni) | 67 | 52 | 41 |
| Instalacje OZE z systemem aktywnej ochrony (%) | 12% | 23% | 31% |
| Szacowane straty w PL (mln zł) | ~45 | ~280 | ~95 |
Źródło: CERT Polska, Dragos ICS/OT Threat Report 2026, EcoAudyt OZE Crawler – oze_fresh_content-4
### Niemcy klasyfikują zagrożenia – europejski standard 26 marca 2026 roku **Federalna Agencja Sieci (Bundesnetzagentur)** ogłosiła wdrożenie nowego, ustrukturyzowanego frameworku do klasyfikacji incydentów cyberbezpieczeństwa w sektorze energetycznym, opracowanego przez **Fraunhofer IOSB-AST**. Metodologia obejmuje kompleksowe oceny ryzyka – od wstępnych raportów po oceny systemowych i ekonomicznych skutków, umożliwiając spójną ewaluację w całym łańcuchu wartości energii.
To bezpośrednia odpowiedź na wzrost ataków i modelowe rozwiązanie, które **Polska powinna jak najszybciej zaadaptować** jako wzorzec dla własnych regulacji NIS2.
### UE wymusza cyberbezpieczeństwo mikroinstalacji – koniec tanich rozwiązań Równolegle, jak informuje **Gramwzielone.pl** (26.03.2026), trwają prace nad regulacją UE nakładającą wymogi cyberbezpieczeństwa na **mikroinstalacje PV** – czyli domowe instalacje prosumenckie. To oznacza:
1. **Falowniki muszą posiadać certyfikat cybersecurity** (IEC 62443, EN 303 645) – dotychczas nieobowiązkowy 2. **Brak możliwości zdalnego przejęcia falownika** – lukę wykorzystywaną przez hakerów do atakowania setek tysięcy rozproszonych instalacji jednocześnie 3. **Szyfrowana komunikacja** między instalacją a monitoringiem chmurowym 4. **Automatyczne aktualizacje bezpieczeństwa** – obowiązkowe, nie opcjonalne
**Implikacja finansowa:** Najtańsze falowniki (głównie chińskich producentów bez certyfikatów) zostaną wykluczone z rynku UE. Ceny certyfikowanych rozwiązań są wyższe o 15–30%.
### Zagrożenie dla magazynów energii (BESS) Magazyny energii stały się nowym głównym celem. Analiza **GLOBEnergia** i portal **Globenergia.pl** z marca 2026 cytują raport Panasonic, który testuje system monitoringu zagrożeń dla instalacji BESS. Dlaczego magazyny są tak łakomy kąsek dla hakerów?
- **Efekt kaskadowy** – zhakowany magazyn w sieci BESS o pojemności 100 MWh może wymusić nagłe oddanie całej energii do sieci lub jej odłączenie, destabilizując lokalny operator - **Zapalenie** – celowe doprowadzenie do termicznej ucieczki baterii litowo-jonowych (choć scenariusz trudny technicznie) - **Sabotaż ekonomiczny** – manipulowanie parametrami ładowania, by przyspieszyć degradację baterii o lata
### Wielka Brytania: pierwsze państwo, które zablokowało chiński sprzęt Precedens prawny: **Wielka Brytania zablokowała turbiny Ming Yang** (chiński producent) z projektów offshore na podstawie względów bezpieczeństwa narodowego. To pierwszy tak wyraźny sygnał, że urządzenia OZE stają się traktowane jak broń podwójnego zastosowania – fizycznie produkują energię, ale mogą stać się backdoorem do infrastruktury krytycznej.
Polska importuje znaczne ilości sprzętu fotowoltaicznego z Chin. To pytanie, które branża musi zadać sobie już teraz.
### Zalecenia rządu RP – co muszą zrobić operatorzy OZE Po grudniowych atakach Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał następujące zalecenia:
Obowiązkowe działania dla operatorów OZE
| Obszar | Zalecenie | Priorytet |
|---|---|---|
| Dostęp zdalny | Wyłącznie przez VPN + MFA (wieloskładnikowe uwierzytelnianie) | 🔴 KRYTYCZNY |
| Interfejsy admin | Odcięcie od sieci publicznych | 🔴 KRYTYCZNY |
| Hasła | Zmiana wszystkich domyślnych, unikalnych dla każdego urządzenia | 🔴 KRYTYCZNY |
| Inwentaryzacja | Pełna lista sprzętu, firmware, IP, domen | 🟡 WYSOKI |
| Osoba odpowiedzialna | Wyznaczenie i rejestracja w CSIRT | 🟡 WYSOKI |
| Monitoring | Aktywny IDS/IPS dla systemów OT | 🟡 WYSOKI |
| Audyt | Niezależny audyt cybersecurity min. raz/rok | 🟢 ŚREDNI |
### Co to znaczy dla właściciela domowej instalacji PV? Przeciętny prosument nie jest bezpośrednim celem państwowych hakerów – ale może stać się **nieświadomym narzędziem ataku**. Jak? Przez botnet falowników: dziesiątki tysięcy niezabezpieczonych falowników domowych, sterowanych zdalnie, mogą jednocześnie wykonać polecenie oddania/pobrania energii, destabilizując sieć.
**Praktyczne kroki dla właściciela instalacji:** 1. Sprawdź czy twój falownik ma aktualne oprogramowanie – aktualizuj regularnie 2. Zmień domyślne hasło do panelu administracyjnego falownika 3. Wyłącz zdalny dostęp przez publiczny internet (zostaw tylko przez aplikację producenta) 4. Kupując nową instalację – pytaj o certyfikaty cybersecurity falownika
### Źródła i powiązane materiały - [CERT Polska – komunikat o cyberataku na energetykę](https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-dotyczacy-cyberbezpieczenstwa-oze) - [CyberDefence24 – Atak na polską energetykę. Nowe zalecenia dla sektora OZE](https://cyberdefence24.pl/cyberbezpieczenstwo/atak-na-polska-energetyke-sa-nowe-zalecenia-dla-sektora-oze) - [zero.pl – Polskie OZE na celowniku Moskwy. Kulisy cyberataku grupy Electrum](https://zero.pl/news/polskie-oze-na-celowniku-moskwy-ujawniono-kulisy-cyberataku-grupy-electrum) - [PV Magazine Global – Germany classifies cybersecurity threats for energy infrastructure (26.03.2026)](https://www.pv-magazine.com/2026/03/26/germany-classifies-cybersecurity-threats-for-energy-infrastructure/) - [Gramwzielone – Mikroinstalacje PV pod lupą UE: koniec tanich rozwiązań, początek ery cyberbezpieczeństwa](https://gramwzielone.pl) - [GLOBEnergia – Magazyny energii na celowniku cyberataków](https://globenergia.pl/magazyny-energii-na-celowniku-cyberatakow-jak-dziala-monitoring-zagrozen/) - [4C Offshore – UK blocks Ming Yang turbines on national security grounds](https://www.4coffshore.com) - [Euronews PL – Tusk: Polska odparła cyberataki na energetykę](https://pl.euronews.com/2026/01/15/cyberataki-na-energetyke-tusk-polska-odparla-zagrozenie-skutki-mogly-byc-powazne) - EcoAudyt OZE Crawler – oze_fresh_content-4 (dane incydentów marzec 2026)
Źródło:
CERT Polska, Dragos, PV Magazine, Gramwzielone, GLOBEnergia, EcoAudyt OZE Crawler
Tagi:
Udostępnij:
Konrad Gruca
CEO & Founder Eco Audyt
Były student V roku prawa Uniwersytetu Jagiellońskiego. Założyciel i twórca platformy Eco Audyt. Łączy wiedzę prawną, technologiczną i biznesową, specjalizując się w analizie nieruchomości, opłacalności inwestycji oraz projektowaniu narzędzi cyfrowych wspierających decyzje energetyczne.
Specjalizacje:
FotowoltaikaPompy ciepłaTermomodernizacjaAnaliza ROI
