Europese zonne-energiesector wil strengere cyberbeveiligingsregels

In opdracht van de Europese koepelorganisatie SolarPower Europe heeft DNV het cybersecurityrapport opgesteld. Een van de belangrijkste aanbevelingen is om sectorspecifieke cyberbeveiligingsmaatregelen te ontwikkelen én te verplichten – bijvoorbeeld via een norm – voor het beveiligen van op afstand bediende zonnepaneelinstallaties.

Groeiende dreiging
In een tijd waarin cyberaanvallen op energie-infrastructuur in Europa toenemen, wordt de beveiliging van zonnesystemen steeds belangrijker. De huidige regelgeving richt zich volgens SolarPower Europe voornamelijk op traditionele, gecentraliseerde energiecentrales en houdt onvoldoende rekening met de specifieke beveiligingsbehoeften van gedistribueerde energiebronnen zoals zonnepanelen op daken.

Walburga Hemetsberger, chief executive officer van SolarPower Europe, benadrukt het belang van een goede aanpak: ‘Zoals elke technologische revolutie biedt digitalisering ongelooflijke kansen, bijvoorbeeld besparingen op energiesysteemkosten van 160 miljard euro per jaar. Het brengt ook nieuwe uitdagingen met zich mee, zoals cyberbeveiliging. We hadden geen antivirusbescherming nodig voor een typemachine, maar we hebben het wel nodig voor onze laptops. Als verantwoordelijke, toekomstgerichte sector hebben we de cyberbeveiligingsuitdaging in kaart gebracht en komen we met duidelijke, uitgebreide oplossingen.’

Cyberbeveiligingswetgeving
Het rapport stelt dat Europa’s beweging naar een meer gedecentraliseerd energiesysteem duidelijke voordelen biedt voor de energiezekerheid. Om dit voordeel te maximaliseren, moet de cyberbeveiligingswetgeving – die zich richt op die oude, gecentraliseerde energie-infrastructuur – worden bijgewerkt. Hoewel de zonne-energiesector doelwit is geweest van cyberaanvallen, zijn deze volgens de onderzoekers niet te vergelijken met aanvallen in andere delen van de energiesector, waar bedrijfsspionage, ransomware en aanvallen die leiden tot stroomuitval op het openbare net, wat het afgelopen decennium steeds vaker voorkomt.

Risicoanalyse
Bij het analyseren van risico’s legt het rapport de nadruk op directe controle over omvormers, bijvoorbeeld bedoeld voor netdiensten, en updates, zoals beveiligingsupdates. Grootschalige installaties blijken veiliger te zijn omdat ze vaak worden beheerd door ervaren nutsbedrijven en vallen onder de Europes Network and Information Security Directive (NIS2)-richtlijn. Kleinschalige zonne-energiesystemen, vaak dakgebonden installaties, missen daarentegen strenge cyberregels.

‘Veel pv-systemen zijn te klein om als kritieke infrastructuur te worden aangemerkt en worden niet beheerd door professionele exploitanten zoals nutsbedrijven’, duiden de onderzoekers. ‘Installateurs, aggregators en fabrikanten hebben steeds vaker toegang op afstand, bijvoorbeeld om flexibele diensten mogelijk te maken, maar zij zijn momenteel niet onderworpen aan de gebruikelijke eisen voor exploitanten van kritieke infrastructuur.’

Hoewel de impact van het compromitteren van een enkele kleine installatie laag is, worden ze bij samenvoeging voor efficiëntie van het elektriciteitssysteem virtuele energiecentrales van aanzienlijke omvang. De onderzoekers stellen dat een gerichte compromittering van 3 gigawatt aan productiecapaciteit aanzienlijke gevolgen kan hebben voor het Europese elektriciteitsnet.

Risicogebieden
De analyse toont aan dat meer dan 12 westerse en niet-westerse fabrikanten vandaag de dag aanzienlijk meer dan 3 gigawatt aan geïnstalleerde capaciteit beheren. Van de 14 risicogebieden die in het rapport worden geëvalueerd, worden 5 gebieden gecategoriseerd als middelmatig risico, 6 gebieden als hoog risico en 3 gebieden als kritiek risico. De risicobeoordeling combineert de ernst van de impact en de waarschijnlijkheid.

Hoewel aangenomen EU-wetgeving zoals de Cyber Resilience Act (CRA), NIS2-richtlijn en de Network Code for Cybersecurity (NCCS) een deel van het risico beperkt, schetst SolarPower Europe een duidelijk pad om op alle 14 risicogebieden de status ‘laag risico’ te bereiken.

Concrete oplossingen
Om terug te keren naar een categorie met ‘laag’ risico voor cyberbeveiliging, beveelt het rapport twee overkoepelende oplossingen aan. De eerste zou ervoor zorgen dat bestaande wetten inzake cyberbeveiliging specifiek genoeg zijn voor de behoeften van de zonne-energiesector. De tweede zou nieuwe regels introduceren die de controle over relevante zonne-energiesystemen via omvormers binnen de EU houden of in rechtsgebieden die een gelijkwaardig beveiligingsniveau kunnen bieden.

Voor de tweede oplossing beveelt het rapport aan om een aanpak te volgen die vergelijkbaar is met General Data Protection Regulation (GDPR)-regels, waarbij controle over geaggregeerde gedistribueerde apparaten, zoals omvormers van kleinschalige zonnepanelen op daken, alleen mag plaatsvinden in regio’s die qua beveiliging als gelijkwaardig aan de EU worden beoordeeld. Dit zou moeten worden geïmplementeerd via de EU NCCS of een andere nieuwe ‘fast-track’ procedure. Entiteiten met een hoog risico zouden dan verplicht worden om cyberoplossingen te ontwikkelen die zouden worden gemonitord en goedgekeurd door de bevoegde autoriteiten.

3 kritieke domeinen
Het rapport werd opgesteld met technische input van het European Inverter Forum en aangenomen door het bestuur van SolarPower Europe. Het volgt op SolarPower Europe’s position paper over cyberbeveiliging van juli 2024.

De aanbevelingen van het rapport omvatten 3 kritieke domeinen: bescherming, detectie en herstel, die samen zorgen voor een robuuste en gelaagde cyberbeveiligingsverdediging voor de zonne-energiesector.