logo
wvhj2023
© Photography by Spanjer
© Photography by Spanjer
2 december 2024

Doen pv-ontwikkelaars al genoeg aan cybersecurity?

Doen ontwikkelaars van grote zonne-energiesystemen al genoeg aan cybersecurity? Solar Magazine vroeg het aan Sander Dannenberg, Manager IT bij Novar en lid van de werkgroep Cybersecurity van Holland Solar.

Een grootschalige verstoring van de stroomvoorziening door cyberaanvallen op zonne-energiesystemen is geen ondenkbaar toekomstscenario. Dit risico moet worden geminimaliseerd. RVO en de Topsector Energie gaven Secura opdracht dieper in deze opgave te duiken. Dat leidde augustus dit jaar tot de publicatie van ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties.’ 

Oppakken
In dit rapport worden onder andere dreigingen en hun eventuele gevolgen geadresseerd. Daarnaast komt aan de orde wat mogelijke maatregelen zijn en wie wat kan doen. Cybersecurity vergt tevens een integrale aanpak. Topsector Energie mobiliseert daarom samen met Holland Solar de zonnestroomsector en allerhande partijen om werk te maken van digitale veiligheid.  

In een serie van 3 artikelen focust Solar Magazine op cybersecurity vanuit het perspectief van fabrikanten en leveranciers van hardware en software, projectontwikkelaars en O&M-partijen. Wat doen ontwikkelaars en exploitanten van grootschalige zonne-energiesystemen al aan beveiliging en wat kunnen ze nog beter oppakken? Die vraag staat centraal in het tweede verhaal van dit drieluik. 

Wat doe jij bij Novar? 
‘Ik ben al 2,5 jaar verantwoordelijk voor het op orde houden van onze IT. Daarbij gaat het niet alleen over wat er op ons kantoor gebeurt, maar in toenemende mate ook op locatie, bij onze operationele technologie. Ook daar draaien IT-systemen en die moeten optimaal functioneren, ook wat betreft digitale veiligheid. En dat laatste is een steeds belangrijker aandachtspunt.’ 

Zien ontwikkelaars de pv-branche het belang van cybersecurity voldoende? 
‘Het mooie aan onze business is dat we in een paar jaar een asset ontwikkelen en bouwen, een zonne-energiesysteem met een batterij bijvoorbeeld – die dan 20 tot 30 jaar zijn werk doet. In ons geval exploiteren we die ook zelf. Die installaties dragen bij aan een duurzaam energiesysteem, maar er moet natuurlijk ook geld mee worden verdiend over de hele levensduur. Ik zie cyberaanvallen in dat verband als één van de grote bedreigingen, en dat geldt ook voor andere partijen in ons werkveld.’ 

Hoe schat jij de gevaren exact in? 
‘Wij hebben een rondje door ons bedrijf gedaan. Veruit de meeste mensen zien het uitvallen van 1 of meerdere installaties door digitale aanvallen als het ergste dat kan gebeuren. Dat kan immers mogelijk grote gevolgen hebben voor het rendement van deze projecten, en uiteraard ook voor een betrouwbare energievoorziening.’ 

Hoe reëel is dat scenario, is dit soort sabotage al aan de gang? 
‘Bij mijn weten is er nog geen sprake van concrete pogingen. Maar de dreiging is zeker aanwezig, bijvoorbeeld vanuit Staatsactoren en hackersgroepen uit andere landen. Wij nemen die serieus. Dat gebeurt gelukkig ook door anderen in onze branche, zo zie ik tevens in de werkgroep Cybersecurity van Holland Solar. Vooralsnog kampen we hier bij Novar echter vooral met kleinere cybercriminaliteit, onder andere phishing mails die zich richten op het ontfutselen van inlogcodes of betalingen. Daar hebben we wekelijks meerdere malen mee te maken. Het blijft natuurlijk onduidelijk uit welke hoek deze komen.’ 

Wat doet Novar op het gebied van cyberveiligheid aangaande die grote dreigingen? 
‘Wij hebben een programma opgetuigd waarmee cybersecurity een integraal onderdeel wordt van onze systemen. Denk daarbij aan het technische ontwerp, maar ook aan voldoen aan de wet en het opleiden van mensen in het kader van veilig onderhoud op locatie. Dat betekent onder meer dat we de hardware van bestaande assets aanpakken, met name routers en andere connected devices voor de omvormers. Ik zou iedere ontwikkelaar aanraden om te kiezen voor een soortgelijke aanpak; een blauwdruk maken aangaande de systeemarchitectuur en alles daaromheen, gebaseerd op dreigingen, regelgeving en daaruit voortvloeiende eisen, en die in de uitvoering vertalen naar specifieke projecten. Die blauwdruk kunnen we toepassen op al onze assets van onze en van klanten.’ 

Als ontwikkelaar en exploitant van pv-systemen sta je niet alleen, je werkt samen met vele partijen… 
‘In een integrale aanpak van cybersecurity door de hele pv-keten – ontwikkelaars, epc’ers, flexproviders, o&m-partijen, noem maar op – is van groot belang, zowel technisch als organisatorisch. Ook wat dit betreft ben ik positief. Zo wordt ook dit belang onderschreven door alle partijen in de werkgroep Cybersecurity van Holland Solar. Die zijn daar ook daadwerkelijk mee bezig, bijvoorbeeld wat betreft kennisdeling, het formuleren van eisen aan toeleveranciers en procedures bij dreigingen en incidenten.’ 

Komt de Nederlandse zonne-energiebranche op tijd in actie op het gebied van digitale veiligheid? 
‘Grote hernieuwbare energiesystemen zijn anno 2024 24/7/365 online om ze doorlopend te kunnen monitoren en aansturen. Die connectiviteit is noodzaak. Tegelijkertijd willen we maximale digitale veiligheid en voldoen aan de wet, bijvoorbeeld de EU-richtlijn Network and Information Systems 2 (NIS2) waarin onder andere eisen ten aanzien van techniek, ketenzorgplicht, meldplicht en toezicht worden zijn opgenomen. Dat alles moet naast elkaar kunnen bestaan. Bovendien evolueren al die zaken, en ook de dreigingen met de tijd. We hebben het dus niet over eenmalige actie. Het is een continu proces. Dat maakt cybersecurity tot een uitdagende opgave voor alle betrokkenen, en die gaan we nu volop aan in onze sector.’ 

Deel dit artikel:

Nieuwsbrief

Meld u aan voor de nieuwsbrief met het laatste nieuws!
Ja, ik wil de nieuwsbrief ontvangen en heb de privacy policy gelezen.

Laatste Nieuws

Bekijk al het nieuws

Meest gelezen

Producten