Nieuwe EU-wetgeving maakt einde aan slecht beveiligde omvormers voor zonnepanelen: ‘Cybersecurity gaat omhoog’

Een aanscherping van de Wet beveiliging netwerk- en informatiesystemen (Wbni) plaatste een groot aantal zonne-energiebedrijven in de zomer van 2021 voor de uitdaging om aan een reeks strenge cybersecurity-eisen te voldoen. Wie dacht dat de kous daarmee af was, heeft het absoluut mis. De EU werkt aan een groot aantal nieuwe regels: van de Network- and Information Security Directive 2 tot de Radio Equipment Directive en de Cyber Resilience Act…

Wbni
Jan-Jan Lowijs is een collega van beveiligingsexpert Frank Groenewegen die in de mei 2021-editie van Solar Magazine de zonne-energiesector wees op het belang van goede cybersecurity. Groenewegen deed daarbij zelfs de suggestie om goede digitale beveiliging onderdeel te maken van zonnestroominstallaties van de toekenning van subsidie.

Hoe zat het ook alweer? Vorig jaar zomer werd een aantal grote zonne-energiebedrijven via een wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht aan strenge cybersecurity-eisen te voldoen. Bedrijven die 100 megawatt of meer aan pv-projecten bezitten en exploiteren, worden geacht hun beveiliging op te schroeven, omdat zij bestempeld zijn als zogenaamde aanbieders van een essentiële dienst (AED’s). Deze AED’s moeten extra maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en ernstige ICT-incidenten te voorkomen. Mochten die zich toch voordoen dan moeten zij hier melding van maken bij het Nationaal Cyber Security Centrum en de gevolgen van dergelijke incidenten zoveel mogelijk beperken.

‘De Wbni is de Nederlandse vertaling van de Europese Network and Information Security Directive; oftewel de NIS-richtlijn’, duidt Lowijs. ‘Iedere lidstaat van de Europese Unie (EU) dient een Europese richtlijn om te zetten in nationale wetgeving. De NIS is ooit in het leven geroepen om de digitale weerbaarheid van onze samenleving en economie te vergroten en de gevolgen van cyberincidenten te verkleinen.’

Toenemende dreigingen
Lowijs legt uit dat de actualisatie van de NIS-richtlijn kadert in de wens van de Europese Unie om Europeanen in de digitale wereld nog beter te beschermen. ‘Ook de enkele jaren geleden ingevoerde nieuwe privacywetgeving – de Algemene verordening gegevensbescherming (AVG) – kadert in die ambitie, net als wetgeving die ontwikkeld wordt over kunstmatige intelligentie.’

Bij de invoering in 2016 was de NIS-richtlijn de eerste EU-brede wetgeving voor cyberbeveiliging. ‘Het specifieke doel ervan was om een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten te bereiken’, memoreert Lowijs. ‘Om het hoofd te bieden aan de toenemende dreigingen van digitalisering en de golf van cyberaanvallen, heeft de Europese Commissie een voorstel ingediend om de NIS-richtlijn te vervangen door een nieuwe versie; de NIS2-richtlijn.’

Lees het volledige artikel hieronder in de december 2022-editie van Solar Magazine.