A medida que la industria del almacenamiento de energía evoluciona, contar con salvaguardias sólidas de ciberseguridad es más crucial que nunca para fortalecer la resiliencia de la infraestructura de red.
La creciente digitalización de las operaciones de red ha ampliado la superficie de ataque cibernético, creando nuevas vulnerabilidades que deben abordarse mediante medidas de ciberseguridad. Como ejemplo de este riesgo creciente, la North American Electric Reliability Corporation señaló en 2024 que, para las redes eléctricas de EE. UU., “el número de puntos susceptibles en las redes eléctricas [está aumentando] en aproximadamente 60 por día”.
A medida que los inversionistas en almacenamiento de energía navegan por las complejidades de un panorama de riesgos y regulaciones de ciberseguridad en rápida evolución, Fluence ve la ciberseguridad como una oportunidad para generar valor al cliente ayudando a reducir el riesgo de los proyectos frente a pérdidas de ingresos y falta de disponibilidad debido a incumplimiento o incidentes cibernéticos.
Según un informe de Trustwave SpiderLabs de 2025, el costo promedio de una brecha de datos en el sector energético es de 5,29 millones de dólares, con consecuencias potenciales que van mucho más allá de las pérdidas financieras, incluyendo la interrupción operativa, daños físicos y perjuicio reputacional. Con un aumento del 146% en 2025 de sitios de tecnología operativa que sufrieron afectación física de operaciones debido a ciberataques, no sorprende que un informe publicado por DNV a principios de 2025 encontrara que dos de cada tres profesionales del sector energético (65%) reportaron que sus directivos consideraban el riesgo cibernético como la mayor amenaza que enfrentaban.
Como resultado de amenazas cibernéticas cada vez mayores, los gobiernos de todo el mundo ven cada vez más la regulación como una herramienta importante para mejorar la ciberseguridad básica en todas las industrias. Europa, por ejemplo, está experimentando cambios radicales. Estos cambios incluyen:
-
Requisito para que los estados miembros transpongan la directiva NIS 2 de seguridad de redes y sistemas de información a la legislación nacional;
-
La Ley de Resiliencia en Ciberseguridad, que exige requisitos de desarrollo seguro para fabricantes de productos con componentes digitales;
-
La Directiva de Equipos de Radio, que regula equipos de radio y telecomunicaciones;
-
El Código de Red sobre Ciberseguridad, que regula los requisitos de ciberseguridad para flujos eléctricos transfronterizos;
-
Cambios en evolución en la Ley de Ciberseguridad de la UE y el Reglamento de Resiliencia de Entidades Críticas de la UE.
Pérdida de ingresos y sanciones
El costo de una semana de inactividad para un sistema de almacenamiento de baterías de 100 MW, debido a un ciberataque, puede alcanzar fácilmente los 300.000 dólares en ingresos perdidos.
En el lado del cumplimiento, un retraso de un mes en un proyecto debido a incumplimiento puede resultar en pérdidas de ingresos de alrededor de 1,2 millones de dólares para un proyecto de almacenamiento de energía de 100 MW. Muchos inversionistas empiezan a notar sanciones crecientes, que bajo la Directiva NIS 2 europea pueden llegar hasta 10 millones de euros (11 millones de dólares) o el 2% de los ingresos globales, además del daño reputacional.
Hoy en día, no es raro que los desarrolladores de almacenamiento de energía intenten transferir la responsabilidad de cumplimiento de ciberseguridad a los proveedores de sistemas. Si bien los proveedores de sistemas de almacenamiento desempeñan un papel fundamental en la ciberseguridad, muchos requisitos de cumplimiento no pueden transferirse completamente del propietario u operador del almacenamiento.
El Foro Económico Mundial encontró que el 60% de los encuestados consideraba que la regulación era demasiado compleja o numerosa y reportó dificultades para verificar si los proveedores externos cumplían. Una alineación clara en la fase de adquisición, sobre qué es responsabilidad de los propietarios de activos y qué requisitos específicos tienen para los proveedores, es fundamental para lograr un sistema ciberseguro y conforme.
Al observar el marco de ciberseguridad en desarrollo en Europa, la próxima revisión del Marco Europeo de Seguridad Energética probablemente pondrá nuevamente el foco en la ciberseguridad en el sector energético.
Nuevas propuestas legislativas ofrecen cierta orientación sobre lo que podría venir. Para las subastas de energías renovables, la Comisión Europea ya está estableciendo requisitos de precalificación en ciberseguridad, abordando los riesgos en la cadena de suministro de países considerados preocupantes. Es probable que tales normas lleguen al sector de almacenamiento de energía próximamente. Países como Lituania ya van un paso adelante, habiendo promulgado una ley que prohíbe el control operativo desde países considerados amenazas a la soberanía nacional.
Es probable que los reguladores examinen más de cerca los riesgos en la cadena de suministro y el país de origen de los productos digitales, especialmente componentes críticos de hardware y software de TI, y la capacidad de entidades fuera de la Unión Europea para controlar activos en la infraestructura energética crítica europea.
Ya se está realizando una revisión de este tipo para la cadena de suministro solar a nivel de la UE. La prohibición de equipos 5G de determinados proveedores chinos en varios países europeos y la sustitución retroactiva de equipos 5G ya instalados en Alemania y el Reino Unido puede que no se replique exactamente igual en la infraestructura energética europea, pero sin duda es un escenario que los desarrolladores e inversionistas deben considerar. Ya se ha producido el desmantelamiento de un sistema de almacenamiento de baterías de un proveedor chino en bases militares estadounidenses por preocupaciones de seguridad nacional.
Defensa en profundidad
Reducir los riesgos de los proyectos de los clientes mediante salvaguardias sólidas de ciberseguridad es fundamental. Las estrategias de defensa en profundidad, que equilibran capas de controles para prevenir, detectar, responder y recuperarse de ciberataques, son clave para apoyar la resiliencia operativa.
Los proveedores de almacenamiento de energía deben ofrecer sistemas que permitan el cumplimiento del propietario de los activos con la directiva NIS2 y otras regulaciones globales, para reducir los riesgos de incumplimiento y retrasos en los proyectos.
El enfoque de Fluence se basa en la confianza y la transparencia. Reconocemos que las empresas de todo el mundo navegan por un pluralismo regulatorio con múltiples marcos regulatorios diversos coexistiendo y sin un único organismo global de regulación en ciberseguridad. Nuestro enfoque es armonizar estos requisitos utilizando estándares industriales reconocidos globalmente que cubren la amplitud y profundidad de los requisitos a través de estas regulaciones. Alineándonos con estándares como el Marco de Ciberseguridad NIST, ISO 27001 e IEC 62443, apoyamos la base de los requisitos regulatorios y vamos más allá del cumplimiento para abordar riesgos específicos de los sistemas de almacenamiento de baterías.
Para compradores, aseguradoras y financiadores de activos de almacenamiento de baterías, es esencial comprender la importancia de la ciberseguridad. El panorama está cambiando y tomar medidas proactivas para reducir la exposición es más importante que nunca. Priorizando la ciberseguridad, podemos proteger nuestra infraestructura energética y allanar el camino hacia un futuro sostenible y seguro.
Sobre los autores:
Katherine Hutton es gerente global de producto para ciberseguridad en Fluence.
Lars Stephan es director de marketing, políticas y asuntos públicos en Europa, Oriente Medio y África.
The views and opinions expressed in this article are the author’s own, and do not necessarily reflect those held by pv magazine.
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.