Brancheverenigingen dringen aan op verplichte certificering omvormers

De brancheorganisaties willen dat omvormers worden geclassificeerd als kritieke producten en roepen de overheid op cybersecurity-eisen te koppelen aan subsidies en energieveilingen.

Omvormers als kritiek
De organisaties willen dat omvormers en andere besturingscomponenten zoals batterijen, energiemanagementsystemen en plant controllers onder de Cyber Resilience Act (CRA) worden geclassificeerd als kritieke producten.

Deze Europese wet verplicht fabrikanten van digitale producten om aan strenge veiligheidseisen te voldoen. Wanneer producten als kritiek worden aangemerkt, moeten ze worden goedgekeurd door een onafhankelijke derde partij. Het compromitteren van omvormers vormt volgens de brancheorganisaties een ernstig risico voor de stabiliteit van het elektriciteitsnet en voor huishoudens.

Sectorspecifieke richtlijnen nodig
Holland Solar en ESNL stellen dat de CRA en bestaande normen zoals ISO 27001 en IEC 62443 onvoldoende sturing bieden voor de volledige end-to-end infrastructuur. Dit kan volgens hen leiden tot een heterogeen landschap dat moeilijk te managen is voor zowel fabrikanten als wetgeving en handhaving. De organisaties vragen daarom op Europees niveau om sectorspecifieke richtlijnen voor zowel residentiële als grootschalige systemen.

Een dergelijke richtlijn moet duidelijkheid scheppen voor fabrikanten en andere relevante marktpartijen die bijvoorbeeld onder NIS2 en de Netwerkcode Cybersecurity (NCCS) vallen. Het zou ook als basis kunnen dienen voor productspecifieke CRA-certificering. De brancheorganisatie riepen afgelopen september al op tot strenge controle op de cyberveiligheid van omvormers.

Beperk externe toegang
Externe toegang van buiten de Europese Unie (EU) moet volgens de brancheverenigingen worden beperkt tot jurisdicties met vergelijkbare risicoprofielen. Toezichthouders moeten toegang op afstand beperken voor entiteiten van buiten de EU, tenzij die gevestigd zijn in veilige jurisdicties met sterke handhaving. De adequaatheidsbesluiten van de Algemene Verordening Gegevensbescherming (AVG) kunnen een goede basis vormen voor het vaststellen welke jurisdicties hiervoor in aanmerking komen.

Een vergelijkbare benadering wordt al onderzocht in Litouwen, waar installaties boven een bepaalde grootte niet langer op afstand mogen worden benaderd door leveranciers uit hoog-risico landen. Er zijn volgens Holland Solar en Energy Storage NL verschillende manieren om dit mogelijk te maken, zoals het scheiden van hardware en software. Dit zou het mogelijk maken om hardware van over de hele wereld te gebruiken, maar die altijd aan te sturen met uitsluitend software uit de EU of vergelijkbare jurisdicties.

Data binnen veilige zones
Het moet verplicht worden dat de opslag en verwerking van alle operationele data van zonne-energie- en energieopslagsystemen plaatsvindt in datacenters binnen de EU of veilige, gelijkwaardige jurisdicties. In het bijzonder moet realtime data die de stabiliteit van het net kunnen beïnvloeden binnen de EU of in veilige jurisdicties worden gehost. Deze maatregel sluit aan bij bestaande Europese initiatieven voor data-soevereiniteit. De AVG bevat al richtlijnen voor het hosten van data binnen de Europese Economische Ruimte en omvat een lijst landen die als veilig worden beschouwd, waaronder Canada, Zuid-Korea, Japan, het Verenigd Koninkrijk en de Verenigde Staten. In de uitvoeringsverordening van de Net Zero Industries Act worden onveilige rechtsgebieden gedefinieerd op basis van 2 criteria: het bestaan van een wettelijke verplichting om softwarekwetsbaarheden eerst aan autoriteiten te melden, en het feit dat cyberaanvallen tegen een EU-lidstaat zijn uitgevoerd vanuit dat rechtsgebied.

Uitvoerbaarheid waarborgen
De Europese Commissie werkt aan een ICT Supply-Chain Toolbox, waarin maatregelen worden voorgesteld die lidstaten kunnen treffen om de toeleveringsketen voor digitale technologie te onderzoeken en risico’s vast te stellen. Deze toolbox is vergelijkbaar met de al bestaande 5G-toolbox en is gebaseerd op de NIS2-richtlijn. Holland Solar en ESNL vragen de ministeries van Klimaat en Groene Groei en Economische Zaken om te waarborgen dat alle maatregelen gebaseerd zijn op transparante en objectieve criteria, begrijpelijk en uitvoerbaar zijn voor marktpartijen, en niet leiden tot onnodige kostenstijgingen. De organisaties vragen prioriteit te geven aan de implementatie van NIS2 en het waarborgen van juridische duidelijkheid met betrekking tot al zijn bepalingen.

Verantwoordelijkheden verduidelijken
De nationale implementatie van NIS2 en toekomstige wijzigingen van de NCCS moeten de verdeling van verantwoordelijkheden bij een cyberaanval verduidelijken. Het moet duidelijk zijn dat de eigenaar van een systeem aansprakelijk is en verantwoordelijk is voor het nemen van passende beveiligingsmaatregelen. In scenario’s waarin het voor de eigenaar niet haalbaar is om deze verantwoordelijkheid te dragen, zoals bij residentiële systemen, moet deze verantwoordelijkheid contractueel worden gedelegeerd als voorwaarde voor partijen om stroom op de markt te brengen. Bij grootschalige systemen moet de exploitant verantwoordelijk worden gesteld als exploitant van kritieke infrastructuur. In veel gevallen heeft de exploitant echter slechts een beperkte rol en mogelijk niet de bevoegdheid om beslissingen te nemen, waaronder het afdwingen van beveiliging in de toeleveringsketen.

Ketenverantwoordelijkheid afdwingen
De bestaande cybersecurityregelgeving dekt volgens de 2 organisaties niet alle relevante actoren in het ecosysteem van zonne-energie en opslag. Sommige partijen – zoals grote installateurs, leveranciers, fabrikanten en externe dienstverleners – hebben toegang tot vermogens die de drempelwaarden overschrijden die door lidstaten zijn vastgesteld, maar vallen mogelijk niet onder de strikte definities voor exploitanten van kritieke infrastructuur volgens NIS2.

Voor operations en maintenance (o&m)-partijen die voldoen aan de omvangscriteria in de Cyberbeveiligingswet voor aantal medewerkers, omzet en gecontroleerd vermogen, maar die zelf geen eigenaar zijn van systemen, vragen Holland Solar en Energy Storage NL duidelijkheid. De ketenverantwoordelijkheid van kritieke entiteiten kan hieraan een bijdrage leveren omdat zon en opslag deel uitmaken van de toeleveringsketen van deze bedrijven. Deze entiteiten kunnen een rol spelen bij het controleren of wordt voldaan aan de voorgestelde eisen voor end-to-end beveiliging. Holland Solar en Energy Storage NL verzoeken om aan deze controle toe te voegen of omvormers RED3.3 en in de toekomst CRA gecertificeerd zijn.

Eisen in subsidies
Holland Solar en ESNL vragen het ministerie van Klimaat en Groene Groei de cyber en dataveiligheidseisen uit de Net Zero Industries Act breed toe te passen op subsidies, energieveilingen en publieke inkoop waar dat mogelijk is, waaronder de Stimuleringsregeling Duurzame Energieproductie en Klimaattransitie (SDE++). Dit draagt volgens de organisaties bij aan een gelijk speelveld en een cyberveilig energiesysteem. Daarbij moet rekening worden gehouden met de praktische uitvoerbaarheid en eventuele meerkosten, die in de subsidiebedragen moeten worden verwerkt. Dit geldt specifiek voor kleine bedrijven en energie-coöperaties.

De Net Zero Industries Act vereist dat lidstaten non-price criteria toepassen bij minimaal 30 procent van het jaarlijks geveilde vermogen of 6 gigawatt van hernieuwbare energieveilingen en publieke inkoop.