Holland Solar en Energy Storage NL richten ISAC cyberweerbaarheid op

Eind 2022 startte TNO, in opdracht van Topsector Energie en de Rijksdienst voor Ondernemend Nederland (RVO), een verkenning naar het verbeteren van de cyberweerbaarheid van de zonne-energiesector in Nederland.

Gevaren
‘Daarmee werd het belang van digitale veiligheid op de kaart gezet in onze sector’, aldus Maaike Beenes, branchespecialist bij Holland Solar. ‘Wat zijn de gevaren, welke maatregelen moeten worden genomen om die te minimaliseren? TNO stelde ook vast dat er grote bereidheid tot samenwerken op dit thema was in de sector en beval mede daarom aan een Information Sharing and Analysis Centre (ISAC) te starten. Het leidde ook tot een vervolgonderzoek door Secura. Meerdere bedrijven uit de sector deelden expertise en kennis voor dit onderzoek, dat augustus 2024 resulteerde in het rapport “Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties”.’

Schade
Zonnestroominstallaties lopen aanzienlijke risico’s op cyberaanvallen – zo concludeerde Secura – vooral via internetgekoppelde omvormers, cloudportals en kwetsbare supply chains. Een aanval kan in het uiterste geval leiden tot massa-uitval of manipulatie van omvormers, met lokale of regionale stroomstoringen en economische, fysieke en sociale schade. Het rapport benadrukt dat meer bewustzijn, uniforme standaarden, technische maatregelen én regelgeving nodig zijn om de cyberweerbaarheid te versterken.

Losgeld
In hoeverre zijn cyberaanvallen op pv-installaties al realiteit in Nederland? Beenes: ‘Het rapport schetst meerdere mogelijke scenario’s. Aanvallen kunnen uit verschillende hoeken komen en zowel op zakelijke als residentiële systemen gericht zijn. Recent zijn er in andere sectoren bijvoorbeeld vaker bedrijven slachtoffer geworden van cybercriminelen die met ransomware losgeld eisen, dit zou ook zonne-energiebedrijven kunnen overkomen. Ook statelijke actoren kunnen schade aanrichten. Rusland toont een duidelijke interesse in de Europese energie-infrastructuur. Dit zijn niet te verwaarlozen risico’s. Maar van geslaagde aanvallen op Nederlandse zonne-energie-installaties is nog geen sprake geweest, voor zover mij bekend.’

Verantwoordelijkheid nemen
De onderzoeken van de afgelopen jaren hebben de zonne-energiebranche niet onberoerd gelaten, vertelt Beenes. Er is niet alleen meer bewustzijn ontstaan, er wordt ook actie ondernomen. ‘Alle spelers in onze sector zijn aan zet en moeten hun verantwoordelijkheid nemen.’ Velen zetten stappen in de goede richting, constateert ze, ook wat betreft de betrouwbaarheid van de toeleveringsketen. Daarnaast wijst ze op veranderende wetgeving die de zaak bespoedigt, zoals de Network and Information Security Directive (NIS2) van de EU. Dit richt zich op het versterken van de cyberbeveiliging van essentiële diensten, waaronder de energiesector.

Strenger
NIS2 omvat meer sectoren en bedrijven dan de voorganger waardoor meer producenten van duurzame energie, zoals zonneparken, onder de wet vallen. De eisen voor risicobeheer, incidentmelding en toezicht zijn strenger, en bestuurders van bedrijven worden aansprakelijk, wat het gevoel van urgentie bij veel bedrijven verhoogt. De Nederlandse Cyberbeveiligingswet (Cbw), waarin de NIS2-richtlijn wordt geïmplementeerd, is echter vertraagd en zal naar verwachting op zijn vroegst in het tweede kwartaal van 2026 in werking treden.

Heel goed
Daarnaast is er de Cyber Resilience Act (CRA), die vanaf 2027 zal gelden. Die verplicht fabrikanten van apparaten met digitale componenten – dus ook omvormers – ervoor te zorgen dat deze vanaf het ontwerp veilig zijn, regelmatig updates krijgen en kwetsbaarheden snel melden. ‘Dat is heel goed, ook omdat het een gelijk speelveld creëert’, aldus Beenes. Holland Solar pleitte desalniettemin onlangs, samen met NedZero, Energy Storage NL en Energie-Nederland, voor verplichte onafhankelijke certificering van compliance met de CRA. Ook de Europese branchevereniging Solar Power Europe zet zich hiervoor in. Waarom?

Handhaver
‘Op dit moment zijn bedrijven zelf verantwoordelijk om te beoordelen of hun producten voldoen aan de eisen in de CRA', aldus Beenes. ‘De toezichthouder – in Nederland de Rijksinspectie Digitale Infrastructuur – kan hierop handhaven. Wij willen echter dat omvormers worden opgenomen in de categorie ‘kritieke’ producten die volgens de CRA verplicht door een onafhankelijke derde partij moeten worden gecertificeerd. Daarmee bouw je extra veiligheid in, wat zeker ook belangrijk is voor het residentiële segment. Het bewustzijn en kennisniveau rond digitale veiligheid is nu eenmaal lager bij kleinere installateurs en consumenten dan in de zakelijke markt.’

Sectorstandaarden
Holland Solar laat zich niet onbetuigd op het vlak van digitale veiligheid. In 2024 werd de Werkgroep Cybersecurity opgericht. Inmiddels zijn hierbij ook leden van Energy Storage NL welkom. Hierin wordt onder meer gewerkt aan kennisdeling, bijvoorbeeld over regelgeving zoals NIS2 en concrete tools zoals vragenlijsten die bedrijven aan leveranciers kunnen stellen. Inmiddels loopt ook een parallel project: het opzetten van een nationaal ISAC, een van de aanbevelingen uit het onderzoek van TNO.

Belangrijke stap
Beenes: ‘Hierin brengen we partijen bijeen die elkaar kennen en vertrouwen. Ze kunnen informatie delen, bijvoorbeeld over cybersecuritymaatregelen, maar ook over incidenten: wat is er gebeurd, hoe is gereageerd, was dat succesvol, wat is daarvan geleerd? De Solar & Storage ISAC is momenteel in oprichting. We zijn inmiddels enkele keren bij elkaar geweest om afspraken te maken, die later in een officiële overeenkomst worden vastgelegd. Daarna gaan we formeel van start. Ik ben daar heel blij mee: cyberveiligheid is in het belang van de sector als geheel en zou niet iets moeten zijn waar bedrijven op concurreren. Zoals TNO in 2022 al constateerde is de bereidheid tot samenwerken in onze sector gelukkig groot. Met de ISAC zetten we met zijn allen een belangrijke stap in het verbeteren van de digitale veiligheid. Wie interesse heeft in deelname, kan zich bij Holland Solar melden.’