Cybersécurité et réglementation en Italie : les nouvelles règles pour les centrales solaires de plus de 100 kW

Le secteur des énergies renouvelables en Italie entre dans une ère de transformation numérique et réglementaire. Sous l’impulsion de l’Autorité de Régulation de l’Énergie, des Réseaux et de l’Environnement (ARERA), les installations photovoltaïques et éoliennes de puissance significative doivent désormais se conformer à des exigences strictes d’intégration au réseau et de cybersécurité. Ces évolutions, destinées à garantir la stabilité du réseau électrique national, redéfinissent les modèles d’exploitation et imposent aux acteurs du secteur de revoir leurs stratégies de sécurité et de conformité.

Les délibérations ARERA 2025 : un cadre réglementaire pour un réseau plus stable

En 2025, l’ARERA a adopté deux délibérations majeures (385/2025/R/EEL et 564/2025/R/EEL) qui fixent un nouveau cadre pour les installations de production d’énergie renouvelable. L’objectif principal est de rendre le réseau électrique plus intelligent, flexible et résilient en intégrant pleinement les centrales décentralisées. Ces textes s’appliquent spécifiquement aux installations photovoltaïques et éoliennes de plus de 100 kW raccordées au réseau moyenne tension.

La mesure phare est l’obligation d’installer un contrôleur central (CCI) et d’activer la fonction de contrôle à distance de la puissance active (PF2). Cette fonction permet au gestionnaire de réseau de distribution (DSO) de moduler à distance la puissance injectée par l’installation pour équilibrer le réseau en temps réel, une capacité essentielle avec la part croissante des énergies intermittentes. Le respect de la norme technique CEI 0-16 sur les exigences de connexion au réseau est ainsi renforcé.

Un calendrier de mise en conformité échelonné jusqu’en 2028

Les délais pour se conformer à ces nouvelles règles varient selon la puissance de l’installation, avec une date limite finale fixée au 31 mars 2028. Le non-respect peut entraîner des sanctions sévères, notamment la suspension des incitations financières et l’arrêt de la rémunération pour l’électricité injectée.

• ≥ 1 MW : conformité requise avant le 31 décembre 2026.
• Entre 500 kW et 1 MW : échéance au 31 décembre 2027.
• Entre 100 kW et 500 kW : délai jusqu’au 31 mars 2028.

Un soutien financier pour faciliter la transition

Pour accompagner les propriétaires d’installations, l’ARERA prévoit des contributions financières forfaitaires indexées sur la date de notification de conformité. Ces aides visent à compenser une partie des coûts d’investissement liés à l’installation du contrôleur central et aux mises à niveau des systèmes :

• Jusqu’à 10 000 € pour les installations entre 500 kW et 1 MW.
• Jusqu’à 7 500 € pour les installations entre 100 kW et 500 kW.

La digitalisation accroît l’exposition aux cybermenaces

L’obligation de contrôle à distance et l’interconnexion croissante via des plateformes SCADA, des systèmes de gestion de l’énergie (EMS) basés sur le cloud et des architectures IoT élargissent considérablement la « surface d’attaque » des centrales solaires. Cette connectivité, si elle est indispensable à la flexibilité du réseau, expose les infrastructures énergétiques à des risques cyber inédits.

Comme l’a rappelé l’Agence de l’Union européenne pour la cybersécurité (ENISA), les infrastructures critiques, dont fait partie l’énergie, sont des cibles prioritaires. Les menaces identifiées par les experts incluent les accès non autorisés aux systèmes de contrôle, la manipulation des données de production, ou encore les attaques par ransomware pouvant perturber l’exploitation.

Des solutions de cybersécurité adaptées aux environnements industriels (OT)

Pour répondre à ces défis, le marché propose des solutions de cybersécurité spécifiquement conçues pour les technologies opérationnelles (OT), distinctes des environnements informatiques (IT) traditionnels. Parmi les outils devenus essentiels :

• Les systèmes de détection d’intrusion réseau (NIDS) : ils surveillent en continu les protocoles de communication industriels pour détecter tout comportement anormal ou trafic malveillant.
• L’analyse comportementale : couplée à l’intelligence artificielle (IA) et au machine learning, elle permet d’identifier des menaces subtiles ou des anomalies qui échappent aux signatures traditionnelles.
• La segmentation réseau : isoler les réseaux de contrôle critiques du reste de l’infrastructure informatique limite la propagation d’une éventuelle attaque.

L’intelligence artificielle : un atout pour la sécurité et l’optimisation

L’IA joue un double rôle dans la modernisation du parc photovoltaïque. Au-delà de la cybersécurité, elle devient un pilier pour l’optimisation des performances et la maintenance.

• Maintenance prédictive : en analysant les données des capteurs, l’IA peut anticiper les pannes d’onduleurs ou la dégradation des panneaux, réduisant les temps d’arrêt.
• Optimisation de la production et du stockage : les algorithmes améliorent la prévision de la production solaire et optimisent les cycles de charge/décharge des batteries, maximisant la valeur économique des actifs.
• Détection avancée des menaces : comme l’explique Claudio Contini, PDG de DigitalPlatforms, « l’IA et l’apprentissage automatique permettent une analyse plus fine du trafic réseau pour identifier des anomalies indicatrices d’une cyberattaque potentielle ».

Préparer l’avenir : conseils pour les exploitants

Face à cette double exigence de conformité réglementaire et de sécurité renforcée, les propriétaires et exploitants de centrales solaires sont invités à agir sans tarder. Voici une feuille de route recommandée :

1. Évaluer l’existant : vérifier si l’installation est déjà équipée d’un contrôleur central (CCI) compatible et identifier les besoins de mise à niveau.
2. Planifier les travaux : se caler sur le calendrier réglementaire en fonction de la puissance de l’installation pour éviter les pénalités.
3. Coordonner avec le DSO : collaborer étroitement avec son gestionnaire de réseau de distribution pour la mise en service et les tests de la fonction PF2.
4. Auditer la cybersécurité : réaliser un audit des vulnérabilités des systèmes de contrôle et de communication, et mettre en œuvre des solutions de sécurité OT adaptées.
5. Former les équipes : sensibiliser le personnel opérationnel aux bonnes pratiques de cybersécurité et aux procédures d’urgence.

En se conformant à ces nouvelles règles, le secteur solaire italien ne se contente pas de répondre à une obligation légale. Il participe à la construction d’un réseau électrique plus moderne, stable et sécurisé, capable d’intégrer massivement les énergies renouvelables tout en résistant aux défis du XXIe siècle. La convergence entre transition énergétique et transformation numérique est désormais une réalité opérationnelle.