Zonne-installaties vatbaar voor cyberaanvallen

De toename van zonne-installaties op woningen en bedrijven in Nederland heeft niet alleen een positieve impact op het milieu. Het brengt ook nieuwe uitdagingen op het gebied van cyberbeveiliging met zich mee. Uit recent onderzoek, uitgevoerd door cybersecurity-experts van Secura en energie-experts van de Topsector Energie in opdracht van de Rijksdienst voor Ondernemend Nederland, blijkt dat deze installaties vatbaar zijn voor cyberaanvallen met grote gevolgen voor de maatschappelijke, fysieke en economische stabiliteit.

Aanvalsscenario’s

Het rapport ‘Veilige zonnestroom: scenario’s en maatregelen voor cyberweerbare zonnestroom-installaties’, bekijkt verschillende aanvalsscenario's. Een van de scenario’s beschrijft hoe cybercriminelen via cloudportalen toegang kunnen krijgen tot omvormers, deze op afstand manipuleren en de beheerders van zonneparken chanteren. Een ander scenario beschrijft hoe een eenvoudige online software-update, zonder adequate beveiliging, een hele keten van omvormers kan overnemen en stilleggen. Het derde scenario schetst een situatie waarin statelijke actoren door middel van cyberwapens vitale infrastructuur aanvallen, met de nadruk op de geopolitieke risico’s die dit met zich meebrengt.

Maatschappelijke impact

De onderzoekresultaten benadrukken het risico van lokale en regionale stroomuitval, veroorzaakt door massale cyberaanvallen op zonnestroominstallaties. Zo'n uitval kan de stabiliteit van het stroomnet ernstig verstoren en heeft daarmee directe invloed op de maatschappij, waaronder de uitval van verkeerssystemen en hulpdiensten. Daarnaast kan er economische schade ontstaan door verlies van opgewekte energie en door afpersingspraktijken van criminelen die dreigen met stroomuitval of fysieke schade aan installaties.

Hoewel de kans op een langdurige landelijke black-out klein is, onderstrepen de onderzoekers dat zelfs kortdurende storingen ernstige gevolgen kunnen hebben voor het dagelijkse leven en de economie. De noodzaak voor noodmaatregelen bij grootschalige uitval leidt bovendien tot hoge kosten, zowel voor bedrijven als overheden.

Zwakke schakel

Uit het onderzoek blijkt dat met name internet-gekoppelde omvormers een zwakke schakel zijn. Netbeheerders en beheerders van grote zonneparken zijn zich hier vaak al van bewust en hebben beleid om risico’s te beperken. Maar de sector kent steeds meer middelgrote en kleinere spelers, inclusief miljoenen consumenten en bedrijven die panelen op hun dak hebben, waar cybersecurity weinig tot geen aandacht krijgt. Wetgeving is in de maak, maar moet nog geïmplementeerd worden.

Europese regels

De cyberveiligheid van zonnestroominstallaties verschilt sterk per fabrikant en installatie. Momenteel ontwikkelen de Nederlandse en Europese overheden wetgeving die strengere eisen stelt aan de cyberveiligheid van deze systemen. Vanaf augustus 2025 vallen omvormers onder Europese cybersecurityvereisten voor draadloos communicerende apparaten (RED 3.3). Tegen 2027 moeten alle hardware en software voldoen aan de bredere eisen van de Cyber Resilience Act.

Uniforme standaarden

Ondanks de vooruitgang in wetgeving blijft er volgens de onderzoekers een grote rol voor de overheid weggelegd om ervoor te zorgen dat deze wetgeving effectief wordt geïmplementeerd en nageleefd. Hierbij is het vooral belangrijk dat er uniforme standaarden worden vastgesteld waaraan fabrikanten en bedrijven zich kunnen conformeren. Deze standaarden zouden moeten helpen om de verschillen in cyberveiligheid tussen diverse producten te verkleinen en om ervoor te zorgen dat zowel grote energiecentrales als kleine zonne-installaties voldoende beschermd zijn tegen cyberdreigingen.