Minister Adriaansens: ‘Kans op grootschalige hacks zonnepanelen kleiner maken’

Dat stelt de minister van Economische Zaken en Klimaat in reactie op het onderzoek van de Rijksinspectie Digitale Infrastructuur (RDI) waaruit vorige maand bleek dat omvormers voor zonnepanelen simpel te hacken zijn én storing kunnen veroorzaken op andere draadloze apparaten en het C2000-netwerk van de hulpdiensten.

Speerpunt
‘Het rapport maakt duidelijk dat het met de cybersecurity van veel zonne-energieomvormers slecht gesteld is’, stelt Adriaansens. ‘De veiligheid van digitale producten en diensten vormt 1 van de 4 pijlers in de Nederlandse Cybersecurity Strategie. Het is dan ook een speerpunt van het kabinet om in Europa wetgeving hierover vast te stellen die fabrikanten verplicht de cybersecurity van hun product goed te regelen. Het RDI-rapport toont aan waarom het zo belangrijk is dat deze cybersecurity-eisen er komen.’

Radioapparatuurrichtlijn
De minister wijst op de Radioapparatenrichtlijn waarbinnen vanaf 1 augustus 2024 wettelijke eisen voor cyberveiligheid gaan gelden. ‘Nederland heeft zich hiervoor hard gemaakt in de EU als eerste belangrijke stap. De Cyber Resilience Act gaat straks een stap verder en zal cybersecurity-eisen stellen aan alle hard- en software die in de Europese Unie op de interne markt wordt gebracht. De cybersecurity-eisen onder de radioapparatuurrichtlijn en die onder de Cyber Resilience Act zullen dan in principe samengaan in een gemeenschappelijk kader om overlap van regels te voorkomen.’

Standaardwachtwoorden verboden
‘Een van de eisen waar draadloos verbonden apparaten zoals de onderzochte omvormers aan zullen moeten voldoen, heeft betrekking op de authenticatie: de controle of degene die inlogt op een apparaat wel degene is die daartoe bevoegd is’, vervolgt de minister. ‘Dat een groot aantal apparaten op afstand gelijktijdig zou kunnen worden gehackt, het scenario waar de RDI voor waarschuwt, komt onder andere door het gebruik van standaardwachtwoorden die niet uniek zijn. Het aanbieden van draadloos verbonden apparaten die niet voorzien zijn van unieke standaardwachtwoorden zal onder de nieuwe cybersecurity-eisen niet langer zijn toegestaan.’

NIB2-richtlijn

Tot slot wijst Adriaansens op de herziening van de Europese Netwerk- en Informatiebeveiliging-richtlijn (NIB2-richtlijn) die herzien wordt, waardoor meer zonnepaneelbedrijven dan nu in de toekomst moeten voldoen aan wettelijke verplichtingen voor cybersecurity. ‘Deze verplichtingen bestaan uit een meldplicht voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening te beperken. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers. Daarnaast zal de Europese verordening over grensoverschrijdende cybersecurity in de elektriciteitssector (Netcode) zorgen voor hogere cybersecurity-eisen aan grootschalig aan te sturen omvormers. De Netcode bevat bindende voorschriften voor cybersecurity die worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. De Netcode bouwt voort op de cybersecurity-eisen van de radioapparatuurrichtlijn en de implementatie van de betreffende standaarden, en zal naar verwachting eind 2023 in werking treden.’

Bewustwordingscampagnes
Gezien de huidige situatie in de zonne-energiesector stelt de minister dat het van belang is dat fabrikanten, importeurs en installateurs hun verantwoordelijkheid nemen en hun producten en ondersteuning aanpassen om digitale kwetsbaarheden te verminderen. ‘In afwachting van de genoemde verplichtingen voert de RDI daarom gesprekken met deze partijen om vrijwillig invulling te geven aan de betreffende eisen. Zo kunnen installateurs bijdragen door bij installaties gebruikers voor te lichten en hulp te bieden bij beveiligingshandelingen die gebruikers zelf kunnen uitvoeren. Tot slot blijft het kabinet inzetten op bewustwordingscampagnes gericht op gebruikers van met het internet verbonden apparaten. De publiekscampagne “Doe je updates” is hier een voorbeeld van. Daarmee wordt de kans op grootschalige hacks van zonnepanelen in de nabije toekomst naar verwachting kleiner.’