Централізована енергетична система Європи залишається вразливою

Працівники ремонтують ділянки Дарницької теплової електростанції, пошкоджені російськими авіаударами в Києві, Україна, 4 лютого 2026 року. Ця зима стала особливо складною для України, яка витримала чотири зими систематичних російських атак на свою енергетичну інфраструктуру.

Згідно з даними ООН, у січні 2026 року зафіксовано майже щоденні удари по енергетичній інфраструктурі в 17 регіонах. У Києві повторні напади на дві комбіновані теплоелектростанції призвели до відключення центрального опалення для майже 6,000 житлових будинків. Всі 15 теплових електростанцій України вже зазнали пошкоджень або були знищені.

Однак, незважаючи на ці виклики, Україна змогла адаптуватися та створити те, чого досі не вистачає Європі. Коли централізовані теплові станції стали високоякісними цілями, українські оператори перейшли на муніципальні когенераційні установки — компактні системи, які генерують як електрику, так і тепло незалежно від загальної мережі.

До листопада 2025 року сектор централізованого опалення працював на 182 таких установках разом із 239 блочно-модульними котлами, формуючи автономні "енергетичні острови" для лікарень, водоканалів і житлових будинків. У той час як європейські цикли закупівель вимірюють впровадження в роках, українські оператори встановлюють модулі за кілька днів.

Вони імпровізували під вогнем: попередньо розміщуючи запчастини, встановлюючи протоколи екстреного зв'язку, скорочуючи бюрократичну ієрархію за рахунок прийняття рішень на муніципальному рівні. Міжнародне енергетичне агентство (IEA) визначає ці можливості екстреного реагування як одні з найбільш переносимих елементів енергетичної оборони України. Але кому і як швидко їх можна передати?

У Центральній та Східній Європі (ЦСЄ) централізоване опалення є основним способом обігріву міст. Польща, Словаччина, Чехія, Угорщина та країни Балтії всі залежать від централізованих систем, побудованих в епоху Радянського Союзу. Це саме та архітектурна логіка, яка зробила інфраструктуру України високоякісною ціллю — не тільки для ракет і дронів, але й для кібератак.

Сучасні теплові станції працюють через промислове програмне забезпечення, яке регулює температуру, тиск і потік дистанційно. Цей цифровий шар вже підлягає експлуатації. У січні 2024 року раніше невідомий шкідливий програмний продукт під назвою FrostyGoop націлився на системи опалення у Львові, захопивши Modbus, протокол зв'язку, що широко використовується для контролю промислового обладнання. Він призвів до відключення опалення в понад 600 багатоквартирних будинках на два дні.

Дослідники пізніше виявили контролери опалення, які працюють на тому ж протоколі, відкритими для інтернету, у Литві та Румунії. Три дні до початку цього року координована кібератака націлилася на велику польську комбіновану теплоелектростанцію, що обслуговує майже півмільйона споживачів. Нападники, які були пов'язані з групою, що має зв'язки з ФСБ, перебували в мережі з березня 2025 року, картографуючи системи та крадучи облікові дані.

Шкідливе програмне забезпечення Wiper було розгорнуто, щоб зробити системи безповоротно непридатними. Програмне забезпечення виявлення кінцевих точок на станції виявило його вчасно. Більшість муніципальних операторів опалення по всьому континенту не мають таких можливостей. Україна знає, як виглядають ці атаки, як вони ескалюють і як підтримувати постачання тепла незважаючи на них. Однак це знання не доходить до європейських постачальників, які його потребують, і не так швидко, як потрібно.

Є кілька структурних проблем. Сектор опалення в Європі фрагментований: державні постачальники в основних містах, великі приватні гравці, такі як Veolia та Engie, муніципальні оператори — найбільша група в ЦСЄ — та малі місцеві власники, які купили станції під час приватизації 1990-х років. Муніципальні оператори є слабким ланкою. Вони підпорядковуються міським радам, а не національним урядам. У них немає мандату на міжнародний обмін знаннями, немає бюджету для цього і немає інституційного партнера, з яким можна зв'язатися в Києві.

Вони інвестують в основному лише тоді, коли доступні програми субсидій ЄС для інфраструктури, яка часто має десятиліття. Коли ви керуєте 50-річними трубами та технологією виробництва, кібербезпека не є вашим пріоритетом. Це навіть не другий пріоритет. Це малі компанії в районних містах, які не мають зайвих ресурсів, часто очолювані менеджерами, які зайняті щоденними оперативними проблемами.

Деякі з них знають про існування загрози, але майже жоден з них не має механізму для реагування на неї. Інституційна інфраструктура для обміну знаннями технічно існує. Секретаріат Енергетичної Спільноти пов'язує Україну з її європейськими сусідами та підписав меморандуми про координацію централізованого опалення. Стратегія готовності ЄС визначає 30 дій для кризової стійкості. Але ці зв'язки існують між урядами (а не інженерами та диспетчерами), які насправді керують системами.

Політика готовності ЄС реалізується зверху вниз, що не ефективно вирішує місцеву вразливість опалення. Ніхто не має в описі роботи завдання зв'язати українського оператора когенерації з опалювальною компанією в Польщі чи Словаччині. Тим часом пропозиції щодо спільної європейської кібероборони перебувають на розгляді, і кілька держав-членів ЄС створюють наступальні кібернетичні засоби стримування. Але темп не відповідає загрозі. І знову ж таки, ці ініціативи працюють на стратегічному рівні — не на рівні муніципального опалення, де вразливість є найбільшою.

Тепер питання в тому, що потрібно зробити? Повертаючись до України, Київ більше не імпровізує.

3 березня Президент Володимир Зеленський провів засідання Ради національної безпеки і оборони, на якому були затверджені регіональні плани енергетичної стійкості для кожного українського регіону, побудовані навколо чотирьох стовпів: стійкості, інновацій, технологій та міжнародної співпраці.