'Kijk niet alleen naar individuele pv-installaties, maar naar wat samen onder één knop zit'

'Kijk niet alleen naar individuele pv-installaties, maar naar wat samen onder één knop zit'
Op sommige winterse dagen zal een pv hack weinig schade aanrichten. Foto: Tijdo van der Zee

De zonnestroomsector is nog altijd kwetsbaar voor cyberaanvallen door kwaadwillenden. Het is volgens Willem Westerhof van Bureau Veritas dan ook hoog tijd dat de sector serieus werk maakt van cyber security. Niet alleen om stroomzekerheid te waarborgen, maar vooral om te voorkomen dat een kleine, technische hack uitgroeit tot een grootschalige blackout met maatschappelijke, economische en fysieke consequenties. Bureau Veritas Cybersecurity pleit voor aanpassing van de regelgeving.

Zonne-energiesystemen zijn uitgegroeid tot een kwetsbare schakel in de Europese energievoorziening, zegt Willem Westerhof, Cybersecurityspecialist bij Bureau Veritas Cybersecurity. “Zonnepanelen worden geplaatst in de kritieke infrastructuur en vervolgens aan het internet geknoopt met een cloudplatform dat niet altijd goed beveiligd is. De sector kende bovendien jarenlang een race to the bottom, wat het investeren in security heeft bemoeilijkt.”

Realistische aanvalsscenario’s

Westerhof werkte samen met verschillende partijen uit de zonne-energie-sector aan het rapport ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties’, met 27 verschillende realistische aanvalsscenario’s. Het onderzoek laat zien dat de kwetsbaarheden reëel en gestructureerd zijn en dat de dreigingen uit meerdere hoeken kunnen komen: van cybercriminaliteit en ransomware tot statelijke actoren, onethische bedrijven en zelfs activistische hackers. In het verleden heeft Westerhof als ethisch hacker meerdere keren met succes zonnepaneleninstallaties gehackt om aan te tonen dat het met de beveiliging van deze systemen slecht gesteld is. Sindsdien hebben verschillende fabrikanten actie ondernomen, maar sommige leveranciers hebben de beveiliging nog altijd niet op orde.

Cyberbeveiligingswet

Fronius, dat in Europa onder meer omvormers produceert, heeft jaren geleden al maatregelen genomen om data te beschermen, zegt Jaap van Eijk, technisch adviseur van Fronius Nederland. “Onze data wordt via verschillende kanalen naar verschillende servers verzonden en wij splitsen natuurlijk onze servers. Dus op één server staat niet én de data van de klant, én de locatiegegevens van de klant.” Hij vraagt zich wel af of alle producenten van omvormers op deze manier omgaan met de data van hun klanten.

“Ik weet van een paar producenten dat ze dat niet doen. Onze servers draaien daadwerkelijk in Europa. Dat is iets anders dan zeggen dat je servers in Europa staan, terwijl ’s nachts de data gewoon elders naartoe gaat.” De invoering van de nieuwe Cyberbeveiligingswet moet dit soort problemen aanpakken. Deze wet implementeert de Europese NIS2-richtlijn en treedt waarschijnlijk in het tweede kwartaal van 2026 in werking. Concreet betekent dit dat bedrijven beveiligingsmaatregelen moeten nemen, incidenten dienen te melden en ketenbeveiliging moeten versterken.

Individuele installaties niet risicovol?

Zonnepanelen vormen een belangrijk onderdeel van het energiesysteem, maar individuele installaties worden niet als risicovol gezien. Dat is volgens Westerhof niet altijd terecht. “Een kernreactor, een windpark of een grote gasturbine vallen allemaal onder allerlei wet- en regelgeving. Maar voor individuele zonnestroominstallaties zeggen we: dat is zo weinig, daar doe je maar mee wat je wilt. Maar wanneer die kleine systemen massaal worden gekoppeld in cloudportalen van fabrikanten of installateurs of samengevoegd worden op netniveau, ontstaat er een systeemkritisch risico.”

Heel Europa plat?

Hij legt uit dat dat risico niet hypothetisch is. “Op accounts van grote installateurs of van leveranciers van omvormers zijn enorme hoeveelheden vermogen gebundeld en toegankelijk via één portaal.” Een dergelijk cloudportaal, waar honderden of duizenden installaties bestuurd kunnen worden, valt juridisch gezien momenteel in veel landen niet onder wet- en regelgeving. De bundeling van deze kleinere installaties maakt het mogelijk dat met één hack op een zwak punt honderden megawatts tot meerdere gigawatts tegelijk kunnen worden aangestuurd of uitgeschakeld. Dat is ruim voldoende om een destabilisatie van het Europese elektriciteitsnet te veroorzaken. Westerhof: “Bij vijf gigawatt zouden we grote stroomstoringen door heel Europa kunnen zien, maar bij drie gigawatt begint de gevarenzone al.”

Golfbeweging

De impact ontstaat niet enkel doordat installaties massaal tegelijk kunnen uitvallen, maar vooral door de reactie van het elektriciteitsnet zelf. Dat was ook het geval bij de grote black-out in Spanje in april 2025. Daar kwam een golfbeweging op gang, waardoor systemen automatisch reageerden en zichzelf terugregelden. Dit versterkte uiteindelijk de verstoring van het elektriciteitsnet. De Spaanse casus toont aan dat een verstoring in een relatief klein vermogen van bijvoorbeeld 200 of 300 MW kan leiden tot een totale blackout, zegt Westerhof. “Als je een grote golfbeweging maakt met 200 of 300 megawatt dan gaan andere apparaten automatiseren reageren. Dat maakt het zo moeilijk.”

Onafhankelijke keuring

Individuele zonnepaneleninstallaties vormen dus niet het probleem, maar de cloudplatforms erachter wel, zegt Westerhof. “Als één installatie platgaat, zijn de maatschappelijke gevolgen nul. Maar als je dingen op grote schaal uit kunt zetten, dan wordt het heel snel, heel eng.” Daarbij moet de regelgeving rekening houden met het geaggregeerd vermogen, want dat is nu nog niet het geval, zegt Van Eijk.

“In de wetgeving wordt vaak gekeken naar installaties van honderd megawatt, dat zijn er maximaal twintig in Nederland, maar men vergeet het geaggregeerde vermogen van kleine installaties. Dat zijn er veel meer. Daar zijn brancheverenigingen nu echt op aan het duwen: kijk niet alleen naar individuele installaties, maar naar wat samen onder één knop zit.”

Home Energy Management Systemen (HEMS) ook groot risico

De decentrale opzet van energieopwekking heeft grote voordelen, maar het stelt ook nieuwe eisen aan digitale beveiliging. Veel particuliere en kleinschalige installaties gebruiken standaard wachtwoorden of worden beheerd via hetzelfde cloud-account dat meerdere installaties omvat. Dat maakt ze een aantrekkelijk doelwit voor criminaliteit of misbruik. Fronius nam hiervoor al twintig jaar geleden maatregelen, zegt Van Eijk.

“Wij hadden vroeger ook een standaard wachtwoord voor onze omvormers. Nu hebben we een heel random wachtwoord dat de klant meteen moet aanpassen.” Van Eijk wijst er nog op dat niet alleen omvormers maar ook Home Energy Management Systemen (HEMS) een groot risico vormen. “Ik denk dat de gevoeligheid meer zit bij HEMS dan bij omvormers. Die schieten als paddenstoelen uit de grond en draaien vaak in één portal dat overal ter wereld benaderd kan worden. Het is maar de vraag waar die data staan en waar de applicatie draait.”

Niet genoeg bereidheid

Volgens Westerhof is de zonnestroomsector nog altijd kwetsbaar voor cyberaanvallen die honderden megawatts tot gigawatts impact kunnen hebben. “Als je kijkt naar wat er dit jaar aan kwetsbaarheden is uitgekomen, kun je dat zeker stellen. Dat er tot nu toe geen grootschalige blackout is geweest, is het enige lichtpunt. Kennelijk is er nog niet genoeg bereidheid geweest om de trekker over te halen.”

Lees meer over

Joop van Vlerken

Joop van Vlerken

Joop van Vlerken is zelfstandig redacteur en journalist, gespecialiseerd in energie, klimaat, bouw- en installatietechniek.

Onderwerpen aanpassen

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.

of maak een account aan

  1. Watercongestie
  2. Alle trafohuisjes slim
  3. Licht op groen voor SDE-subsidie voor batterij tijdens negatieve prijsuren
  4. Europese Commissie presenteert pakket voor een robuust Europees elektriciteitsnet en pleit voor versoepeling stikstofregels
  5. Tennet: grote hoeveelheid batterijvermogen nodig in elektriciteitsnet
  6. Edmij sluit veertig capaciteitsbeperkende contracten in Enexisgebied
  7. Ammoniak als waterstofdrager steeds concreter in beeld
  1. Nog geen duidelijkheid over SDE++ in 2027: branche slaat alarm
  2. 'We hebben geen tijd om struikelend naar de oplossing te komen'
  3. Hoe komt langdurige energieopslag van de grond in Nederland?
  4. Engeland stimuleert LDES via de energierekening van de consument
  5. Plan Lievense krijgt moderne twist met Delta21
  6. De herontdekking van perslucht als energiebuffer
  7. Energy Storage NL: 'Energieopslag stevig verankeren in beleid'