Nieuw onderzoek Agentschap Telecom naar hacken omvormers zonnepanelen

VVD-Kamerleden Queeny Rajkowski en Silvio Erkens hadden minister Jetten vragen gesteld over het hacken van Chinese omvormers bij 42.000 Nederlandse eigenaren van zonnepanelen. Onderzoekers van het Dutch Institute for Vulnerability Disclosure kregen door slechte beveiliging van het monitoringplatform Solarman namelijk toegang tot de omvormers van de zonnepanelen.

Europese regelgeving op komst
Minister Jetten stelt dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) eerder in het Cybersecurity Beeld Nederland 2022 (CSBN) al heeft vastgesteld dat de risico’s op digitale incidenten toenemen door de groeiende digitalisering en de opkomst van het Internet of Things (IoT).

Het kabinet zet zich volgens de minister voortdurend in om te voorkomen dat deze risico’s een bedreiging vormen voor vitale processen zoals landelijk transport, distributie en productie van energie. In dat kader wees het ministerie bedrijven in de (zonne-)energiesector vorig jaar aan als zogenaamde Aanbieders van Essentiële Diensten (AED's), onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Jetten hierover: ‘Het Agentschap Telecom houdt toezicht op deze aanbieders. Incidenten met aanzienlijke gevolgen voor de dienstverlening moeten gemeld worden bij Agentschap Telecom en het Nationaal Cyber Security Centrum (NCSC). Daarnaast wordt er in Europees verband nu gewerkt aan een Europese, gedelegeerde verordening over cybersecurity in de elektriciteitssector (Netcode on Cybersecurity). Dit is specifieke Europese regelgeving waarin bindende voorschriften voor cybersecurity worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. Op de naleving van deze verplichtingen zal toezicht worden gehouden, door onder andere het Agentschap Telecom en de Autoriteit Consument en Markt. Onder deze Netcode kunnen ook entiteiten vallen die omvormers op grote schaal op afstand aansturen, ook wanneer zij zich niet op Europees grondgebied bevinden.’

Cyberaanval
Netbeheerders treffen volgens Jetten ook voorbereidingen voor een eventuele grootschalige inzet van Internet of Things-apparaten in een cyberaanval. ‘Ze kunnen echter niet voorkomen dat apparaten met dergelijke veiligheidsrisico’s worden aangeschaft en in gebruik worden genomen binnen een woning of bedrijfspand. Dit betekent dat er eveneens een belangrijke verantwoordelijkheid ligt bij leveranciers en fabrikanten van apparatuur om risico’s voor het elektriciteitsnet te verkleinen.’

Om risico’s van deze apparaten te verkleinen, wordt volgens de minister ingezet op preventie, awareness en aanvullende wetgeving die producten softwarematig, maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik. Jetten: ‘Op dit moment wordt gewerkt aan verschillende trajecten van Europese wet- en regelgevingen om veiligheidsrisico’s te mitigeren. Onder de Radio Equipment Directive (RED) zijn cybersecurity-eisen als markttoegangseisen voor draadloos verbonden apparaten aangenomen. Omvormers vallen ook onder de scope van de RED. Op 1 augustus 2024 moeten draadloos verbonden apparaten die de Europese markt op komen, voldoen aan deze cybersecurity-eisen.’

Onderzoek
Apparaten die niet aan de eisen voldoen, kunnen vanaf dat moment door het Agentschap Telecom van de markt worden geweerd en gehaald. ‘In voorbereiding op het van kracht worden van de cybersecurity-eisen onder de RED heeft het Agentschap Telecom naar aanleiding van deze casus een onderzoek ingesteld naar omvormers’, duidt de minister. Het Agentschap Telecom zal het gesprek aangaan met de desbetreffende fabrikanten over hoe verbeteringen van de cybersecurity gerealiseerd kunnen worden.’

Daarnaast wordt volgens de minister in het najaar een Europees wetsvoorstel van de Europese Commissie verwacht: de Cyber Resilience Act. Die voorziet in horizontale regulering voor de cybersecurity van ICT-producten en diensten. ‘Nederland zet bij de Cyber Resilience Act in op een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten en diensten in de hele productlevenscyclus’, duidt minister Jetten. De minister wijst in dit kader ook op de herziening van de Europese Network- and Information Security 2 (NIS2)-richtlijn. ‘Als gevolg van de herziening van de NIS2 zullen meer bedrijven dan nu – in onder andere de energiesector – in de toekomst moeten voldoen aan wettelijke verplichtingen voor cybersecurity. Deze verplichtingen bestaan uit een meldplicht voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening te beperken.

Chinese techniek
Tot slot hadden de VVD’ers minister Jetten ook gevraagd of er andere energiebronnen zijn waarvoor Nederland afhankelijk is van Chinese techniek. De minister moet dat antwoord schuldig blijven. ‘Het Rijk heeft niet inzichtelijk in hoeverre welke energiebronnen precies allemaal afhankelijk zijn van Chinese techniek en daarbij is er geen overzicht over alle lopende en aankomende aanbestedingen bij vitale aanbieders. Wel biedt het Rijk ondersteuning en begeleiding op aanvraag aan vitale aanbieders wanneer zij te maken hebben met een (mogelijk) risicovolle aanbesteding. Hiervoor is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s.’