Nieuw onderzoek: meer aandacht nodig voor bescherming zonnepanelen tegen cyberaanval

Het onderzoek, uitgevoerd in opdracht van de Rijksdienst voor Ondernemend Nederland, schetst scenario’s en maatregelen voor veilige zonnestroominstallaties. Het onderzoek laat aan de hand van verschillende scenario’s zien dat de potentiële impact van cyberaanvallen groot kan zijn met zowel maatschappelijke, fysieke als economische gevolgen. Meer bewustzijn over de problematiek en betere bescherming van de zonnepaneelsystemen zijn volgens de onderzoekers daarom noodzakelijk.

Bewustzijn creëren
‘Met het onderzoek “Veilige zonnestroom: scenario’s en maatregelen voor cyberweerbare zonnestroom-installaties” willen we bewustzijn creëren bij partijen over waar in de keten risico’s zitten zodat zij hiermee aan de slag kunnen’, aldus Soe van Dijk, digitaliseringsexpert bij de Topsector Energie. ‘Iedereen is van elkaar afhankelijk, dus wachten op elkaar is geen optie. Onze boodschap is: met de juiste mindset, maatregelen en samenwerking in de keten kunnen we het goed en veilig krijgen.’

Wanneer er een aanval op grote schaal gebeurt, waarbij een groot aantal omvormers van kleinere zonnepaneelinstallaties op afstand onverwacht worden aan- of uitgezet, kan de impact significant zijn. Omdat zonnestroom een steeds groter onderdeel van de Nederlandse energievoorziening wordt, kan dit de stabiliteit van het stroomnet volgens onderzoekers in gevaar brengen en zorgen voor tijdelijke lokale of regionale stroomuitval. Dat kan weer gevolgen hebben voor verkeerssystemen, de bereikbaarheid van hulpdiensten en economische impact hebben op bedrijven. Ook fysieke schade aan de zonnepaneelapparatuur is mogelijk.

Omvormers zwakke schakel
De kans op een langdurige, landelijke black-out achten de onderzoekers klein, daarvoor moet een hack of storing op grote schaal plaatsvinden en zich bovendien richten op meer dan alleen de zonnestroominstallaties. Echter, ook kortdurende storingen kunnen een heftige impact hebben op de samenleving.

Uit het onderzoek blijkt dat met name internet-gekoppelde omvormers een zwakke schakel zijn. Netbeheerders en beheerders van grote zonneparken zijn zich hier – vaak – al van bewust en hebben beleid om risico’s te beperken. Maar de sector kent volgens de onderzoekers steeds meer middelgrote en kleinere spelers, inclusief miljoenen consumenten en bedrijven die zonnepanelen op hun dak hebben, waar cybersecurity weinig tot geen aandacht krijgt. Wetgeving is in de maak, maar moet nog geïmplementeerd worden. Waar een energiecentrale strenge wetgeving heeft, kennen de kleine pv-installaties nog, vrijwel, geen cyberwetgeving.

3 acties
De onderzoekers pleiten daarom voor actie. Fabrikanten moeten cloudportalen met meerstapsverificatie (MFA) beveiligen, een maximale schakelfrequentie instellen op omvormers; zorgen voor veilige en geteste over-the-air firmware updates en de ‘meest veilige’ configuratie de standaard maken.

Installateurs moeten op hun beurt installateursportalen met MFA beveiligen, cyberveilig installeren en advies geven aan consumenten over cybersecurity. Bij eindgebruikers moet cyberbeveiliging onderdeel worden van hun keuze, die niet alleen maar op prijs gefocust moet zijn. Dit vereist bewustwording bij huishoudens en bedrijven en bij projectontwikkelaars.

Tot slot moeten overheden zorgen dat beveiligingsstandaarden geaccepteerd worden om conformiteit aan te tonen met cyberwetgeving die in de maak is. Vanaf augustus 2025 vallen omvormers namelijk onder Europese wettelijke cybersecurityeisen voor draadloos communicerende apparaten (RED 3.3). Vanaf 2027 gaan er bredere Europese cybersecurityeisen gelden voor alle hard- en software onder de Cyber Resilience Act.