Blog

La normativa tecnica richiede un prodotto certificato dal punto di vista della cybersecurity e non solo. Il percorso di certificazione è complesso e dura molti mesi, infatti, molti costruttori di CCI che sono sul mercato non hanno ancora completato le varie prove necessarie per essere conformi alla norma. Le certificazioni del CCI vengono verificate sia dal tecnico abilitato, che timbra e firma l’autodichiarazione di conformità dell’impianto ai requisiti della CEI 0-16 in materia di osservabilità e del Codice di Rete, sia dal DSO, che verifica i documenti  in fase di richiesta del Bonus, per gli impianti vecchi e, in fase di allaccio, per gli impianti nuovi. 

Il mercato del CCI mostra “numeri” preoccupanti: i fornitori che hanno completato il percorso certificativo sono pochi e gli impianti da adeguare sono molti. Higeco More è tra le prime aziende ad aver acquisito le varie certificazioni e ha deciso di raccoglierle tutte in una tabella riassuntiva in modo da aiutare tutti quei clienti che, vista la complessità della normativa in esame, pur convinti di aver scelto bene, acquisteranno un CCI non idoneo.

La lista sottostante contiene tutti i documenti con i rispettivi riferimenti alla norma e, dove necessario, fornisce dei link esterni per la verifica dei certificati. Gli allegati di riferimento normativo per il CCI sono l’allegato O e il T all’interno della più corposa CEI 0-16.

Una RTU (Remote Terminal Unit) raccoglie ed espone i dati di monitoraggio ed implementa le funzioni di controllo. Agisce come interfaccia tra l’impianto ed il DSO (Distributor System Operators), comunicando in IEC61850 con TLS.

Insieme alla RTU,  è uno dei dispositivi cuore del sistema, deve essere certificato secondo lo standard IEC 61557-2 e serve per acquisire le misure elettriche al punto di connessione con la rete. Può essere integrato nella RTU o separato.

Per garantire il funzionamento del CCI anche in caso di perdita di alimentazione principale è necessario prevedere un sistema di backup realizzato da apposito UPS o da batteria tampone per un tempo di almeno 1 ora. Il CCI di Higeco More è dotato di batteria tampone.

Ogni CCI deve disporre di almeno tre interfacce distinte, di cui una dedicata al DSO, una alla comunicazione verso l’impianto ed una per soggetti terzi abilitati alla connessione remota. L’interfaccia dedicata al DSO deve essere di tipo Ethernet 100Base-FX, su fibra multimodale a 1310 nm con connettore doppio LC.

Componente necessario per la sincronizzazione dell’orologio tramite segnale da satellite.

Dal punto di vista software del Controllore Centrale di Impianto è importante verificare che il prodotto sia dotato di tutte le funzionalità richieste dalla norma.

La norma CEI 0-16, infatti, prevede tre gruppi di prestazioni funzionali:

Il DSO potrà richiedere in qualunque momento (anche dopo l’installazione del tuo CCI) le funzioni di regolazione (PF2), mentre, come Produttore, potrai indicare se vuoi attivare le funzioni facoltative PF3 per poter partecipare al mercato di dispacciamento. 

Al momento le PF2 e le PF3 non sono obbligatorie, ma la norma CEI 0-16 in O.1 indica che “le tempistiche secondo cui anche le funzioni attualmente opzionali e facoltative diventeranno obbligatorie saranno stabilite successivamente da Arera con appropriate Delibere”. Inoltre la crescente diffusione della generazione distribuita, soprattutto da fonte rinnovabile, rende imprescindibile che questi impianti siano regolabili e controllabili da remoto, per il bilanciamento di rete: non è questione di “se”, ma solo di “quando”. La strada è chiaramente tracciata.

Sul mercato sono presenti molti dispositivi dotati solo delle funzioni PF1, e sebbene il prezzo di questi CCI possa sembrare accattivante, non risultano completi. Nel momento in cui il DSO richiedesse di attivare le PF2, o Arera ne deliberasse l’obbligatorietà, o partecipare ai mercati di flessibilità con le PF3 diventasse redditizio, sarebbe necessario acquistare un nuovo CCI o le funzionalità mancanti nel vecchio, e ripetere la messa in servizio e le prove in campo. È una scelta lungimirante?

Risulta quindi evidente che un CCI è veramente completo solo quando implementa tutte le prestazioni funzionali previste dalla CEI 0-16, ossia: obbligatorie (PF1), opzionali (PF2) e  facoltative (PF3).

Il CCI agisce da interfaccia, per monitoraggio e controllo, tra l’impianto ed il mondo esterno: il DSO, il produttore, l’aggregatore ed eventuali altri attori autorizzati. È evidente come la sicurezza informatica di questa interfaccia sia di importanza strategica, non solo per il proprietario dell’impianto, ma per la sicurezza della stessa rete elettrica nazionale e quindi dell’intero Paese.

Per questo motivo la norma dedica l’intero Allegato T a descrivere in dettaglio come proteggere la comunicazione in IEC 61850 tra il CCI ed il mondo esterno. Per quanto sia un allegato complicato da leggere, è necessario prendere seriamente ogni singolo requisito e non sottovalutarne o minimizzarne l’importanza.

Le certificazioni IEC 62443-4-1 e -4-1 garantiscono, con un approccio olistico, che il CCI sia stato sviluppato considerando la sicurezza il requisito principale e che sia dotato delle migliori tecnologie possibili per garantire la Confidenzialità e l’Integrità dei dati, assicurandone la massima Disponibilità.

L’utilizzo di un profilo di trasporto sicuro (TLS), come richiesto dalla IEC 62351-3, è necessario per proteggere le comunicazioni IEC 61850: come tutti i protocolli di comunicazioni non è stato progettato per essere sicuro e l’utilizzo di TLS è quindi imprescindibile per proteggerlo.

La gestione dei ruoli (RBAC) permette di definire diverse autorizzazioni per i diversi attori remoti che interagiscono con il CCI. Non averla significherebbe dare gli stessi permessi a tutti gli attori, per esempio permettere ad un Produttore di limitare inavvertitamente la potenza attiva dell’impianto, o di spegnerlo. Oppure permettere all’aggregatore di usare le funzioni di controllo destinate, invece  al DSO. 

Il Secure Boot è una tecnologia che impedisce che un dispositivo, come il CCI, esegua all’avvio software non attendibile, in particolare non approvato dal costruttore.

Le chiavi crittografiche ed i certificati, fondamentali per le funzioni di sicurezza descritte in precedenza, devono essere gestiti in modo sicuro, altrimenti renderebbero inutili le altre misure di protezione. La norma richiede l’utilizzo di una PKI – Public Key Infrastructure – cioè un sistema di regole, hardware e software, pensato per gestire certificati e chiavi. Il suo utilizzo aumenta significativamente la sicurezza di una rete e fornisce le fondamenta per rendere sicuri gli scambi informatici di dati.

Connettere il CCI a internet non è richiesto dalla norma, ma secondo noi è di gran lunga la scelta migliore.

La natura del CCI è agire da interfaccia tra l’impianto e gli attori remoti, senza la connessione sarebbe limitato ad offrire le sue funzioni solo al DSO.

Senza connettività remota, la PKI per la gestione dei certificati e delle chiavi dovrebbe essere presente in impianto. Senza considerare gli elevati costi di installazione e manutenzione, perderebbe molta della sua utilità, essendo molto difficile gestirla in modo adeguatamente sicuro se installata in una cabina secondaria o di scambio all’interno di un impianto. Peggio ancora, la gestione dei certificati dovrebbe essere completamente manuale andando ad aggravare su tempi e costi di gestione (senza contare le implicazioni legate alla sicurezza demandata all’operatore umano).

Il CCI evolverà nel tempo, il comitato CEI lo ha già ribadito in più di un’occasione e sarà quindi necessario aggiornarlo più volte nei prossimi anni. Inoltre, ci saranno sicuramente aggiornamenti e patch di cyber-security che la certificazione IEC 62443-4-1 rende “de facto” obbligatori. Un CCI connesso a internet, o comunque raggiungibile da remoto, è molto più semplice e veloce da aggiornare.