Europese Commissie wil cyberrisico’s omvormers zonnepanelen aanpakken

De herziene wetgeving geeft de Europese Commissie de bevoegdheid om cybersecurityrisico’s te identificeren en mitigatiemaatregelen te verplichten, na uitgebreide risico- en impactbeoordelingen.

Banden verbreken
De herziene Cybersecurity Act (CSA 2) moet EU-landen verplichten de banden te verbreken met ICT-leveranciers uit derde landen die hoge cybersecurity-risico’s vormen. Het juridisch kader richt zich op kritieke sectoren zoals telecommunicatie, energie, cloud, ruimtevaart en gezondheidszorg.

Het voorstel moet de cybersecurity-weerbaarheid van de EU versterken door het risico van toeleveringsketens in deze sectoren te verminderen.

Sectorspecifieke risicobeoordeling
De Europese Commissie voert momenteel een sectorspecifieke risico- en impactbeoordeling op het gebied van cyberbeveiliging uit voor zonnepaneelinstallaties. Deze beoordeling wordt dit jaar verwacht.

De herziene Cybersecurity Act stelt het Europese agentschap voor cyberbeveiliging ENISA in staat om de EU en haar lidstaten te helpen bij het begrijpen van gemeenschappelijke bedreigingen en bij het voorbereiden op en reageren op cyberincidenten. Het agentschap zal bedrijven en belanghebbenden die in de EU actief zijn verder ondersteunen door vroegtijdige waarschuwingen te geven voor cyberdreigingen en incidenten. In samenwerking met Europol en Computer Security Incident Response Teams zal ENISA bedrijven ondersteunen bij het reageren op en herstellen van ransomware-aanvallen.

3 gigawatt
De nieuwe wetgeving moet nog worden goedgekeurd door het Europees Parlement en de Raad van de Europese Unie. Nederlandse brancheorganisaties pleitten eerder al voor strenge handhaving van cybersecurityregels voor omvormers.

De aankondiging van de Europese Commissie volgt op de publicatie van het rapport ‘Solutions for PV Cyber Risks to Grid Stability’, dat door SolarPower Europe samen met DNV werd opgesteld. Dit rapport waarschuwt dat een gerichte compromittering van 3 gigawatt aan opwekkingscapaciteit significante gevolgen kan hebben voor het Europese elektriciteitsnet.

Virtuele centrales
Het rapport van SolarPower Europe en DNV benadrukt vooral de risico’s van directe besturing van omvormers, in het bijzonder die van kleinschalige zonnestroomsystemen. Hoewel de impact van het compromitteren van 1 enkele installatie laag is, vormen kleine installaties bij elkaar opgeteld virtuele centrales van aanzienlijke omvang wanneer ze worden geaggregeerd voor de efficiëntie van het energiesysteem.

De analyse laat zien dat meer dan 12 westerse en niet-westerse fabrikanten momenteel aanzienlijk meer dan 3 gigawatt aan geïnstalleerd omvormervermogen beheersen.

Kritieke risicogebieden
Van de 14 risicogebieden die in het rapport werden geëvalueerd, vallen 5 gebieden in de categorie medium risico, 6 gebieden in hoog risico en 3 gebieden in kritiek risico. De risicobeoordeling combineert de ernst van de impact met de waarschijnlijkheid dat iets gebeurt. Om terug te keren naar een lage cyberrisico-categorie beveelt het rapport 2 overkoepelende oplossingen aan. De eerste zou ervoor moeten zorgen dat bestaande wetten over cyberbeveiliging specifiek genoeg zijn voor de behoeften van de zonne-energiesector.

De tweede aanbeveling zou nieuwe regels introduceren die de besturing van relevante zonnesystemen via omvormers binnen de EU houden, of binnen rechtsgebieden die een gelijkwaardig beveiligingsniveau kunnen bieden. SolarPower Europe heeft in het verleden al gepleit voor het ontwikkelen en verplicht stellen van sectorspecifieke cybersecuritycontroles, bijvoorbeeld via EU-brede standaarden en protocollen. Daarnaast wil de branchevereniging de externe toegang tot en besturing van Europese pv-systemen vanuit buiten de EU via de omvormer beperken.

Positieve reactie
Dries Acke, plaatsvervangend directeur van SolarPower Europe, reageert positief op de aankondiging van de Europese Commissie om de Cybersecurity Act (CSA) te herzien. ‘Het is zeer goed dat de Europese Commissie cybersecurityonderwerpen serieus neemt’, zegt Acke. ‘Zoals we benadrukken in ons rapport met DNV, vraagt een economie van de 21e eeuw om beveiliging van de 21e eeuw. Het belangrijkste blijft om robuuste EU-brede standaarden en protocollen voor cyberbeveiliging te hebben die van toepassing zijn op alle digitale componenten en bedrijven die actief zijn op de Europese energiemarkt. Europa moet veerkrachtig zijn tegen alle soorten aanvallen van alle kanten.’