A recente decisão da Comissão Europeia de restringir o financiamento da UE para projetos que utilizam inversores e outras tecnologias energéticas de fornecedores de “alto risco” marca um momento significativo para a indústria solar.
Poucos no setor esperavam que Bruxelas agisse com tanta rapidez. Estima-se que as restrições de financiamento afetem entre 10% e 20% do financiamento destinado ao mercado solar europeu e já foram sinalizadas como uma diretriz política que se expandirá para sistemas de energia eólica e de armazenamento de energia em baterias (BESS).
A Comissão Europeia está apenas começando
Por mais drástica que seja a restrição de financiamento, a verdadeira história ainda está por vir. No início deste ano, a Comissão Europeia publicou a minuta da Lei de Segurança Cibernética 2 (CSA 2), que identificou explicitamente a energia solar como um setor em análise. A minuta observou que a energia solar continua sendo uma área prioritária para avaliação adicional e recomendou a eliminação obrigatória de fornecedores de alto risco na infraestrutura 5G, outra área que tem sido alvo de controvérsias em matéria de segurança cibernética. Discussões estão ocorrendo ativamente em Bruxelas entre legisladores, associações do setor, fabricantes, investidores e proprietários de ativos.
Se essas medidas avançarem, terão um impacto significativo no setor solar. Restrições a fornecedores estrangeiros podem beneficiar fabricantes ocidentais e apoiar os objetivos estratégicos de independência energética da Europa, mas também criarão desafios para investidores, produtores independentes de energia (PIEs) e desenvolvedores de projetos. A questão não é se tais políticas irão remodelar o setor, mas sim se elas abordarão o problema de segurança cibernética que pretendem resolver.
Por que uma proibição não funciona
A rápida integração de sistemas de energia eólica, solar e de armazenamento em baterias transformou a rede elétrica europeia. Esses ativos são frequentemente operados remotamente e, em muitos casos, ficam fora do escopo das regulamentações tradicionais de segurança cibernética, deixando infraestruturas críticas expostas a interferências digitais remotas. À medida que a base instalada de tecnologias de energia renovável fabricadas na China ultrapassou os limites críticos, as restrições aos inversores chineses surgiram como uma das principais respostas políticas.
A proibição de inversores chineses certamente promoveria uma maior diversificação da cadeia de suprimentos no setor elétrico. É fácil perceber por que a dependência a longo prazo de um único país para tecnologias energéticas críticas pode representar um risco estratégico. Além disso, a imposição de restrições às importações estrangeiras também estaria alinhada com os objetivos mais amplos da política industrial europeia.
No entanto, como medida de cibersegurança, uma proibição será muito menos eficaz do que muitos supõem. Pense da seguinte forma: mesmo que uma proibição imediata de importação fosse introduzida amanhã, a rede elétrica europeia continuaria tão vulnerável quanto antes. Mais de 300 GW de capacidade de inversores fabricados na China já estão instalados e continuariam operando em todo o continente por muitos anos.
Ao mesmo tempo, a proposta ignora uma realidade mais profunda da cadeia de suprimentos: mesmo muitos inversores fabricados no Ocidente historicamente dependeram fortemente de subcomponentes fabricados na China, incluindo modems e CPUs que podem servir como vetores de ataque.
Além do fornecimento de componentes, alguns fabricantes ocidentais também mantêm instalações, parcerias ou relações na cadeia de suprimentos na China. Isso torna ainda mais tênue a distinção entre tecnologias “chinesas” e “não chinesas”, tornando a questão significativamente mais complexa do que simplesmente substituir um fornecedor de inversores por outro.
O custo financeiro da substituição de toda a base de inversores instalada na Europa seria enorme. E mesmo que tal programa de substituição fosse viável, pouco faria para eliminar o risco de cibersegurança. Os inversores não são os únicos equipamentos em uma usina solar.
Os ativos de energia renovável dependem de um vasto ecossistema de tecnologias conectadas que vão muito além do próprio inversor. Registradores de dados, gateways de rede, sistemas de CFTV, sensores de irradiação, sensores de sujidade e outros dispositivos de comunicação são todos pontos de entrada potenciais em redes operacionais.
Embora os inversores sejam frequentemente descritos como o “cérebro” de uma usina solar, os invasores não precisam necessariamente comprometer o cérebro para comprometer todo o sistema. Qualquer dispositivo conectado pode potencialmente fornecer uma porta de entrada para infraestruturas críticas se não estiver devidamente protegido.
Lições de ataques no mundo real
Para complicar ainda mais as coisas, a manipulação da cadeia de suprimentos é apenas uma das formas de ataque cibernético. Ao focarmos excessivamente na origem do hardware, corremos o risco de ignorar o verdadeiro cenário de ameaças dos últimos anos.
O debate predominante frequentemente destaca o risco hipotético de interrupções patrocinadas pelo Estado por meio de inversores fabricados na China. Embora a probabilidade de tal evento permaneça um tema de intenso debate, incidentes reais documentados demonstram que os adversários não precisam recorrer a inversores para lançar um ataque. Em vez disso, exploram vulnerabilidades humanas, credenciais roubadas, conexões VPN e vulnerabilidades de dia zero em equipamentos de rede.
A invasão de 30 usinas solares na Polônia em dezembro de 2025 explorou vulnerabilidades em VPNs. Uma interrupção ocorrida na Dinamarca em 2023 dependeu da invasão de gateways da Zyxel. Em ambos os casos, os adversários utilizaram com sucesso plataformas de rede e segurança padrão de fornecedores estabelecidos e alinhados ao Ocidente. Esses incidentes demonstram uma realidade importante: os atacantes visam o caminho mais frágil disponível. Uma vez que um adversário obtém acesso a uma usina solar, instalação de baterias ou ambiente de controle de subestação, o país de origem do inversor ou do registrador de dados torna-se funcionalmente irrelevante.
Grupos patrocinados por Estados, incluindo atores afiliados à China, como o Volt Typhoon, ou à Rússia, têm demonstrado repetidamente a capacidade de comprometer redes, cadeias de suprimentos e plataformas de acesso remoto, independentemente da origem do hardware. Portanto, a prioridade deve ser impedir a escalada dessas violações por meio da implementação de sistemas robustos de detecção de intrusões, da manutenção de registros forenses e do fomento do compartilhamento de informações entre os setores.
A proibição de inversores oferece benefícios limitados em termos de segurança cibernética, ao mesmo tempo que desvia a atenção de problemas sistêmicos mais urgentes que podem ser de fato resolvidos.
Aplicando a cibersegurança à realidade operacional
O risco cibernético para uma usina elétrica não se limita aos seus inversores. Pelo contrário, decorre de uma ampla gama de vetores potenciais. Lidar com esses riscos exige padrões técnicos, visibilidade operacional e requisitos de segurança aplicáveis.
A boa notícia é que a Europa já possui grande parte da estrutura legal necessária por meio da Lei de Resiliência Cibernética, da NIS2 e do Código de Rede sobre Segurança Cibernética. O desafio não é a falta de legislação, mas sim a aplicação dessas estruturas às realidades operacionais da infraestrutura moderna de energias renováveis.
O que a indústria deve fazer a seguir
Se o objetivo da Europa é melhorar a cibersegurança em todos os ativos de geração conectados à rede pública, o foco deve estar em normas técnicas claras, baseadas nos princípios de confiança zero e aplicadas de forma consistente em todo o setor.
Os proprietários de ativos precisam de visibilidade sobre o que existe em seus portfólios, quem tem acesso a esses ativos e como a atividade é monitorada. Os operadores precisam de recursos mais robustos de detecção de intrusões, melhor registro de logs, inventários de ativos aprimorados e maior controle sobre os caminhos de acesso remoto. Estratégias comprovadas de prevenção, detecção e recuperação já existem e foram implementadas com sucesso em setores como TIC, saúde e transporte, portanto, é possível aproveitar o conhecimento adquirido em outros setores.
Em vez de esperar que os reguladores definam esses requisitos isoladamente, a indústria solar tem a oportunidade de assumir a liderança. Um próximo passo prático seria a formação de uma força-tarefa liderada pela indústria, reunindo proprietários de ativos, operadores, fabricantes e especialistas em cibersegurança para desenvolver uma diretriz técnica de implementação da NIS2 específica para o setor solar. Tal estrutura poderia fornecer aos formuladores de políticas uma base prática, ao mesmo tempo que ajudaria a indústria a estabelecer expectativas consistentes de cibersegurança antes que a regulamentação se torne mais prescritiva.
As restrições de financiamento da Comissão demonstraram que Bruxelas está falando sério. O debate em torno do CSA 2 sugere que novas intervenções são prováveis. Mas, se o objetivo da Europa é realmente garantir a segurança de sua infraestrutura energética, a discussão precisa ir além da localização dos equipamentos e se concentrar em como a infraestrutura crítica é efetivamente protegida. É aí que reside o verdadeiro desafio da cibersegurança, e é para aí que a atenção do setor deve se voltar agora.
As opiniões e pontos de vista expressos neste artigo são de responsabilidade do autor e não refletem necessariamente os da pv magazine.
Este conteúdo está protegido por direitos autorais e não pode ser reutilizado. Se você deseja colaborar conosco e reutilizar parte do nosso conteúdo, entre em contato com: editors@pv-magazine.com .
