Los operadores de red en Lituania ahora pueden desconectar la energía solar de más de 100 kilovatios que carecen de las medidas de ciberseguridad necesarias. 2. Una instalación solar en Lituania. Las nuevas reglas examinan si Europa puede imponer límites de seguridad a los activos renovables distribuidos después de que estén instalados y conectados de forma remota. (Foto de Christopher Furlong/Getty Images)
Imágenes falsas
El operador de la red lituano ahora puede desconectar la energía solar de más de 100 kilovatios que incumple las nuevas normas de ciberseguridad. Es como regulaciones locales estrechas. No lo es. Ésta es una de las señales más claras de que el desarrollo de las energías renovables en Europa se ha convertido en una cuestión tan crítica: la infraestructura como el clima.
Para las empresas de servicios públicos, los desarrolladores de almacenamiento, los inversores en infraestructura y los reguladores, la cuestión ya no es qué tan rápido agregar energía solar y baterías. Todavía tienen acceso remoto cuando los activos se ponen en servicio, qué ruta de software llega al inversor y qué sucede cuando la flota construida para generación de bajo costo resulta ser manejable desde otro lugar.
Ahora hay tres riesgos dentro de la misma caja: concentración de la cadena de suministro, acceso remoto operativo y retrasos en la modernización regulatoria. Lituania es pequeña, pero el marco es lo suficientemente grande como para generar problemas. Pasó de advertir sobre el riesgo a otorgar a los operadores de la red un poder inequívoco: cumplir o desconectar.
Reglas de los dientes físicos y cibernéticos
El dominio lituano se produjo de forma gradual. Las nuevas instalaciones renovables de más de 100 kilovatios deben cumplir los requisitos desde el 1 de mayo de 2025. Las plantas existentes cruzaron la línea el 1 de junio de 2026. A principios de este mes, revista pv informó que los operadores de red ahora pueden desconectar los activos solares que no cumplan con las normas. El operador de la red tiene autoridad formal, aunque la orientación no oficial después de discusiones con el Consejo Nacional Regulador de Energía muestra flexibilidad para las plantas que han comenzado la implementación y han firmado contratos. Las colas para implementadores especializados duran ya meses. Es la combinación de poder de aplicación y fricción práctica lo que lo diferencia de otros documentos de política o listas de verificación de otros proveedores.
La lógica comercial es tan importante como la legal. El cumplimiento de las normas para las nuevas plantas no es, en sí mismo, destructivo. Stanaitis me dijo que las medidas de ciberseguridad adicionales para los nuevos activos renovables conectados a la red pueden llegar a ser inferiores a 2.000 euros, un error de redondeo en una instalación de varios megavatios. El problema viene en otra parte: modernizaciones, colas para implementadores poco comunes y propietarios más pequeños que construyen fábricas antes que nadie, tratan a los inversores como activos geopolíticos.
Esto es importante porque Lituania no se ocupa de casos extremos. Su capacidad de energía solar alcanzará más de 3 gigavatios a finales de 2025, tras añadir unos 600 megavatios ese año, según datos de la AIE-PVPS informados por revista pv. La historia europea en general es más amplia: flotas distribuidas, activos conectados a la nube agregados bajo un conjunto de supuestos y luego reevaluados bajo otro.
Parte actual del argumento del inversor
El punto central de Stanaitis no es que el diésel sea excepcionalmente inseguro. Se trata de que Europa trate al inversor como un componente técnico cuando se trata de un punto de control. En su explicación, el riesgo real comienza con el acceso de los proveedores. Alrededor del 80 por ciento de las plantas que ve todavía tienen acceso remoto, dijo, y la pregunta más profunda es quién mantiene la confianza después de la instalación: el propietario de la planta, el instalador, la plataforma de monitoreo o el fabricante.
Su afirmación más fuerte es también una que debe manejarse con cuidado. Stanaitis señaló que los inversores fabricados en China dominan la energía solar lituana y aún constituyen un riesgo operativo. Esas estimaciones están en gran medida en línea con la dirección del debate europeo más amplio, aunque la proporción exacta aún necesita una confirmación independiente planta por planta. Un caso de 2024 en Estados Unidos ilustra este punto: Deye, un fabricante chino, de un inversor fue desactivado de forma remota en medio de una disputa comercial sobre los derechos de distribución. El episodio muestra cómo un control remoto de fabricante puede sobrevivir a la instalación. SolarPower Europe se opone para una base de referencia armonizada de ciberseguridad para la energía solar y advirtió contra el tratamiento de la ciberseguridad como una ocurrencia opcional de último momento en el diseño de proyectos.
El argumento más fuerte es operativo, no teatral. Una gran flota de activos remotos crea más de una ruta de falla: coerción limitante, configuraciones rotas, manipulación de monitoreo, dependencias de firmware y, en el caso del almacenamiento de baterías, interacciones más importantes con la red. La opinión de Stanaitis es que las baterías aumentan las apuestas porque pueden inyectar y reducir energía. No es un titular sobre espionaje. Es una cuestión de comportamiento del sistema.
Europa todavía está en modo de modernización
La parte más difícil en el caso de Lituania es lo que viene después del título. Bloquear el acceso remoto no es una cosa segura. Reemplace el monitoreo y el flujo de trabajo creado a su alrededor por otro.
Stanaitis describe un problema práctico que resultará familiar en toda Europa. Los operadores solían iniciar sesión en el portal en la nube del fabricante y verlo todo. Una vez que se bloquea ese camino, otros aún necesitan una capa de monitoreo segura, una arquitectura de control local y una forma de actualizar la configuración sin reabrir la misma vulnerabilidad. La energía solar a menudo puede absorber ese cambio. El almacenamiento de la batería es más difícil, porque algunas configuraciones siguen relacionadas con la plataforma del proveedor y porque las baterías pueden impulsar la energía en ambas direcciones.
Aquí es donde aparece la pregunta del tablero. Si Europa continúa comprando el hardware más barato y una gobernanza de capas adicional más adelante, la ciberseguridad se convierte en un costo de modernización. Si se incorpora una frontera cibernética a los requisitos de adquisición, monitoreo y conexión a la red desde el principio, se convierte en una condición de diseño. Ese es un caso diferente de inversión.
Lituania intentó imponer esa condición una vez que la construcción ya había comenzado. Los países más grandes tendrán versiones más difíciles de la misma tarea. La flota residencial es un punto ciego aún mayor. Stanaitis estima que Lituania ya cuenta con alrededor de 170.000 instalaciones de pequeña escala, la mayoría de las cuales están mucho más allá del alcance de una auditoría cibernética seria sitio por sitio. Ahí es donde el desafío político pasa de la gobernanza de los servicios públicos a la infraestructura de consumo masivo.
Las preguntas en lituano se hacen primero
Lituania puede ser temprana, imperfecta y algo improvisada. Pero plantea la pregunta correcta ante la mayor parte de Europa: ¿quién gestiona los activos que conectan la transición energética cuando se liberan a escala?
Ya no es un debate técnico de nicho. Los desarrolladores influyentes eligen los equipos, los inversores respaldan el almacenamiento, los operadores de redes piensan en la resiliencia y los formuladores de políticas deciden que la seguridad energética aún puede separarse del control digital. La transición verde no consiste sólo en añadir generación limpia. También agrega una superficie de ataque distribuida.
Los países que avancen primero formarán el siguiente reglamento. Otros pueden encontrarse haciendo lo que Lituania está haciendo ahora: intentar trazar un perímetro de seguridad alrededor de la infraestructura que han construido.