Praha 23. ledna 2026 (PROTEXT) - Fotovoltaiky na školách či obecních úřadech posílají a přijímají data ze zahraničních serverů. Denně jde o tisíce provozních údajů, která mohou ovlivnit provoz celé budovy i okolní sítě. Nový kybernetický zákon požaduje po obcích dohled, ty však často netuší, jak jej zajistit.

Fotovoltaika jako vstupní brána pro hackery

Fotovoltaické elektrárny na obecních budovách jsou plnohodnotnou digitální technologií, která nepřetržitě komunikuje se svým okolím. Každý den střídač odesílá a přijímá tisíce provozních údajů a řídících instrukcí. Většina střídačů používaných v Evropě přitom pochází od mimoevropských výrobců a je napojena na zahraniční servery. Obce tak mají jen minimální přehled, kdo má možnost do provozu jejich technologií zasahovat. „Osobně mě velmi překvapilo množství dat, která odcházejí do cloudu výrobce. Vnímám negativně, kolik dat odevzdáváme bez možnosti souhlasu nebo konfigurace,“ popisuje svou zkušenost Svetozár Nosko, člen vývojového týmu kybernetické ochrany fotovoltaik Guardexy.

25 000 datových paketů denně. Jen zlomek je pro chod elektrárny nezbytný

Konkrétní představu o rozsahu komunikace nabízí jihomoravská obec Němčičky. Ta provozuje fotovoltaické elektrárny na obecním úřadě, kulturním domě, čistírně odpadních vod a smuteční síni. Další instalace se plánují na základní škole. Po zavedení chytrého řízení a kybernetické ochrany obec zjistila, že do jejích fotovoltaik míří zhruba 25 000 digitálních paketů denně. Jen zlomek z nich je přitom nezbytný pro správný provoz elektrárny. „Díky monitoringu vidíme, jaká data odcházejí ven a kolik paketů se snaží přijít zpět. Neznámá komunikace se automaticky blokuje. Máme jistotu, že technologie, které provozujeme, máme skutečně pod kontrolou,“ říká starosta obce Zbyněk Slezák. Ten jako jeden z prvních zvolil pro obecní fotovoltaické instalace kybernetickou ochranu české výroby Guardexy s tím, že je pro něj zásadní, aby všechna shromažďovaná data zůstávala na evropských serverech, případně byla k dispozici auditní stopa komunikace.

Nová legislativa přenáší odpovědnost na obecní úřady

S nabytím účinnosti nového zákona o kybernetické bezpečnosti se zásadně mění odpovědnost obcí za provoz digitálních technologií, včetně energetiky. Zákon požaduje, aby organizace prokazatelně řídily kybernetická rizika a měly přehled o tom, co se v jejich systémech děje. To se netýká jen úředních počítačů a e-mailů. Legislativa výslovně rozšiřuje pohled i na tzv. provozní technologie (OT) - tedy například fotovoltaické elektrárny, systémy jejich vzdáleného řízení nebo energetický management budov. Pro obce to znamená odpovědnost za data, vzdálené přístupy dodavatelů i schopnost doložit, že mají technologie pod kontrolou.

Limitem se ukazuje nedostatek informací. Zástupci obcí a krajských úřadů nyní zásobují stovkami dotazů Národní úřad pro kybernetickou bezpečnost, který již avizoval, že pro individuální poradenství nemá dostatečné kapacity. Mezi municipalitami panuje nejistota, co je povinnost, co doporučení a jaká opatření dávají smysl v praxi. „Zákon o kybernetické bezpečnosti obcím nepředepisuje konkrétní řešení. Požaduje ale přehled, kontrolu a odpovědnost. U fotovoltaických elektráren to znamená jediné: vědět, jaké povely do systému přicházejí, odkud pocházejí a které z nich mají na provoz skutečný vliv,“ říká Martin Novák, vedoucí vývojového týmu Guardexy a technický ředitel SOLSOL.

Jak se nový kybernetický zákon týká obcí?

Nový zákon o kybernetické bezpečnosti vyžaduje, aby obce dokázaly:

• mít přehled o tom, jaká data jejich systémy odesílají a kam,

• kontrolovat vzdálené přístupy dodavatelů,

• včas odhalit nestandardní chování technologií,

• doložit, že rizika aktivně řídí.

To se přitom netýká jen počítačových sítí nebo e-mailů (IT), ale i tzv. provozních technologií (OT), tedy například fotovoltaických elektráren.

Energetika jako kritická infrastruktura

Jisté je, že obecní fotovoltaika se stala součástí kritické infrastruktury, podobně jako vodovod, veřejné osvětlení nebo IT systémy úřadu. A stejně jako u nich dnes platí, že bezpečnost není nadstandard, ale základní předpoklad stabilního provozu. Zkušenost jihomoravských Němčiček ukazuje, že prevence nemusí znamenat složité zásahy do provozu ani budování nákladných bezpečnostních center. Ochrana může fungovat jako samostatná bezpečnostní vrstva mezi fotovoltaickým střídačem a sítí – monitoruje komunikaci, filtruje nestandardní povely a vytváří auditní stopu pro případ kontroly. Právě přiměřenost opatření je klíčovým principem nového zákona. Obce mají hledat řešení odpovídající jejich velikosti, rizikům a provozované infrastruktuře.

Zdroj: Kaleidoo PR