Minister Hermans: kans op aanval door hack omvormers zonnepanelen zeer klein

Dat heeft minister Hermans laten weten na Kamervragen van Silvio Erkens (VVD) over het risico dat omvormers van zonnepanelen gehackt worden en hierdoor het stroomnet mogelijk kan uitvallen.

RED en CRA
Hermans wijst op de huidige veiligheidseisen voor elektrische materialen in de Europese laagspanningsrichtlijn die in de Nederlandse wetgeving opgenomen is in het warenwetbesluit elektrisch materiaal, maar wijst erop dat voor IT-veiligheid extra regels nodig zijn.

 ‘Vanaf 1 augustus 2025 zijn er veiligheidseisen op grond van de herziene Radio Equipment Directive (RED) van kracht. Dit betreft cybersecurity eisen voor draadloos verbonden apparatuur, waaronder zonnepaneelomvormers. Daarnaast wordt naar verwachting vanaf eind 2027 de Europese verordening cyberweerbaarheid (red. de Cyber Resilience Act, CRA) van kracht. De CRA is breder dan de RED en geldt niet alleen voor draadloze apparaten, maar voor alle producten met digitale elementen.’

Standaard wachtwoorden
In aanloop naar de inwerkingtreding van deze regels, is het volgens de minister van belang dat iedereen in de zonne-energieketen – fabrikanten, importeurs, installateurs, en consumenten en bedrijven met zonnepanelen – aan de slag gaat met het nemen van, preventieve, maatregelen om digitale kwetsbaarheden te minimaliseren.

‘De consument, de installateur en de fabrikant hebben een eigen verantwoordelijkheid om de zonnestroominstallaties te allen tijde goed te beveiligen met sterke wachtwoorden en door regelmatig updates uit te voeren’, aldus Hermans. ‘Er zijn momenteel inderdaad kwetsbaarheden. De oorzaak hiervan ligt vooral bij slechte beveiliging van omvormers door het gebruik van standaard wachtwoorden die niet uniek zijn en het niet op tijd updaten van hardware. Daarnaast zorgen niet alle fabrikanten van omvormers tijdig voor software-updates om de omvormers veilig te kunnen houden.’

Blackout
Doordat omvormers aan het internet zijn gekoppeld, kunnen meerdere omvormers gelijktijdig worden gehackt of op een ongewenste manier worden aangestuurd. ‘Daardoor kunnen aanvallen gedaan worden die schaalbaar zijn, waarbij het in theorie bij zeer grote aantallen apparaten fout kan gaan’, vervolgt Hermans. ‘De kans dat dit gebeurt achten wij echter zeer klein. Gelijktijdige toegang tot grote aantallen apparaten is niet waarschijnlijk.’

Erkens wilde van Hermans ook weten hoe groot het risico op een black-out is bij een grootschalige hack. ‘De kans dat een dergelijk risico zich voordoet is zeer klein. Er moet een zeer groot aantal zonnepanelen gelijktijdig uitvallen voordat dit risico zich voordoet. Het Europese elektriciteitssysteem is zo ingericht dat de uitval van een bepaalde omvang kan worden opgevangen. In het uiterste geval dat zich een black-out voordoet, dan betekent dit dat er in een deel van het elektriciteitssysteem geen elektriciteit beschikbaar is. Hoe verregaand de gevolgen hiervan zijn ligt aan meerdere omstandigheden. Denk aan het totaal beschikbare vermogen van de getroffen partij(en), de kenmerken, de timing en daarbij ook de, internationale, belastbaarheid op het elektriciteitsnet. De landelijke netbeheerder TenneT heeft, in directe samenwerking met buurlanden, herstelprocedures voor het geval een dergelijke situatie zich voordoet. Deze procedures worden regelmatig in een internationaal samenwerkingsverband geoefend.’

Toezichthouder
Wel stelt Hermans het zorgelijk te vinden dat Nederlandse hackers de afgelopen 2 jaar 3 keer zijn binnengedrongen tot de software van beheerbedrijven van zonnepaneelinstallaties. ‘Dit onderstreept de noodzaak voor de wet- en regelgeving die binnenkort van kracht wordt. Het is belangrijk dat er meer aandacht komt voor de cyberveiligheid van deze internationaal opererende beheerbedrijven.’

De Rijksinspectie Digitale Infrastructuur (RDI) bereidt zich volgens Hermans als toezichthouder grondig voor op de nieuwe regelgeving. ‘De RDI voert gesprekken met fabrikanten, installateurs, verkopers en importeurs en onderzoekt ook nu al op kleine schaal de cyberveiligheid van deze apparaten, zoals in 2023. De RDI heeft dit onderzoek uitgevoerd vooruitlopend op de komst van bovengenoemde cybersecurityeisen, om fabrikanten en leveranciers erop te wijzen dat zij zich moeten voorbereiden op de nieuwe eisen. Naar aanleiding van dit rapport hebben sectorpartijen, waaronder omvormerfabrikanten, al stappen ondernomen om hogere veiligheidseisen en standaarden te hanteren.’

Gedragscode
Tot slot wijst de minister op de Gedragscode Zon op Woningen van Holland Solar waarin de zonne-energiesector afspraken heeft gemaakt over het veilig installeren van residentiële pv-systemen. ‘Volgens deze gedragscode zal de installateur de omvormer instellen met een sterk en per installatie uniek wachtwoord voor de onderhoudsinstellingen van de omvormer.’

Hermans besluit: ‘Het kabinet zet ook in op het vergroten van bewustzijn, zoals in de overheidscampagne “Doe je updates”, waarin een oproep wordt gedaan om slimme apparaten in huis direct te updaten. Verder werkt het kabinet aan proactieve informatieverstrekking over de komende wet -en regelgeving, zodat de partijen en fabrikanten zich alvast kunnen voorbereiden.’