Brief regering : Reactie op verzoek commissie over het RDI-rapport over storingsproblematiek en cybersecurity van omvormers voor zonnepanelen
26 643 Informatie- en communicatietechnologie (ICT)
29 023
Voorzienings- en leveringszekerheid energie
Nr. 1038
BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 16 juni 2023
Op verzoek van de vaste commissie voor Digitale Zaken van 7 juni 2023 stuur ik u hierbij,
mede namens de Minister voor Klimaat en Energie, het rapport «Onderzoek storingsproblematiek
en cyberveiligheid omvormers voor zonnepanelen» van de Rijksinspectie Digitale Infrastructuur
(RDI) toe, inclusief een kabinetsreactie in deze brief.1
De RDI heeft op 30 mei 2023 met dit rapport de uitkomst gepubliceerd van het onderzoek
naar omvormers van zonnepaneelinstallaties. Omvormers zetten de energie afgegeven
door de zonnepanelen om in elektriciteit die bruikbaar is voor het elektriciteitsnet.
Elektrische apparaten als deze kunnen stoorsignalen uitzenden en dienen daarom te
voldoen aan eisen ter voorkoming van storingen bij andere draadloze apparaten en communicatienetwerken,
zoals vastgelegd in de EMC-richtlijn (2014/30/EU)2 en de radioapparatuurrichtlijn (2014/53/EU). Ook wordt hierin geregeld dat de functionaliteit
van deze apparaten niet negatief beïnvloed mag worden door elektromagnetische velden,
zoals rond zendinstallaties. Daar komen medio 2024 eisen bij onder de radioapparatuurrichtlijn
voor de cybersecurity van draadloos verbonden apparaten.3
De RDI is dit onderzoek in 2021 gestart vanwege een toename van het aantal meldingen
van storingen bij zonnepanelen, die voort bleken te komen uit storende apparatuur
of onjuiste installaties. De RDI heeft in het onderzoek vastgesteld dat zonnepaneelinstallaties
veelal niet voldoen aan de huidige eisen voor het voorkomen van storingen. Daarnaast
heeft de RDI de apparaten getoetst aan de toekomstige cybersecurity-eisen, om zowel
fabrikanten als de eigen organisatie in de rol van toezichthouder hierop voor te bereiden.
Storingseisen
In het onderzoek van de RDI bleek een aanzienlijk deel (5 van de 9) van de onderzochte
omvormers niet aan de eisen te voldoen: door deze apparaten werd te veel storing veroorzaakt.
Met het op de markt brengen van non-conforme omvormers en accessoires overtreden fabrikanten
de Telecommunicatiewet. De betreffende fabrikanten zijn door de RDI in individuele
gesprekken gewezen op de geconstateerde overtreding(en) en hun wettelijke verplichtingen.
Naar aanleiding van dit onderzoek hebben deze fabrikanten een waarschuwing ontvangen
voor deze overtredingen. Er zijn op dit moment geen boetes opgelegd of andere maatregelen
genomen, omdat de fabrikanten voldoende bereid waren om passende maatregelen te nemen.
De RDI zal op een later moment hercontroles uitoefenen om hier op toe te zien en treedt
dan handhavend op bij overtredingen.
Cybersecurity
Het rapport maakt daarnaast duidelijk dat het met de cybersecurity van veel zonne-energieomvormers
slecht gesteld is. Op het gebied van de toekomstige cybersecurity en de administratieve
wettelijke eisen voldeed geen van de onderzochte omvormers. De RDI wijst daarbij op
het gevaar van een slechte beveiliging van omvormers, waardoor een groot deel van
de zonnepaneelinstallaties gehackt zou kunnen worden. Daarmee zouden ze op afstand
uitgeschakeld kunnen worden door onbevoegden. De RDI wijst terecht op de mogelijke
risico’s voor het elektriciteitsnetwerk als dat massaal gebeurt, en de noodzaak om
hier – in afwachting van de verplichte eisen – nu al naar te handelen. Ook hierover
is de RDI in gesprek met fabrikanten.
Kabinetsreactie
De veiligheid van digitale producten en diensten vormt een van de vier pijlers in
de Nederlandse Cybersecurity Strategie4. Het is dan ook een speerpunt van het kabinet om in Europa wetgeving hierover vast
te stellen die fabrikanten verplicht de cybersecurity van hun product goed te regelen.
Het RDI-rapport toont aan waarom het zo belangrijk is dat deze cybersecurityeisen
er komen. De cybersecurityeisen voor draadloos verbonden apparaten onder de radioapparatuurrichtlijn
worden in de nabije toekomst van kracht. Nederland heeft zich hiervoor hard gemaakt
in de EU als eerste belangrijke stap. De Cyber Resilience Act gaat straks een stap
verder en zal cybersecurityeisen stellen aan alle hard- en software die in de Europese
Unie op de interne markt wordt gebracht. De cybersecurityeisen onder de radioapparatuurrichtlijn
en die onder Cyber Resilience Act zullen dan in principe samengaan in een gemeenschappelijk
kader om overlap van regels te voorkomen. Een van de eisen waar draadloos verbonden
apparaten zoals de onderzochte omvormers aan zullen moeten voldoen, heeft betrekking
op de authenticatie: de controle of degene die inlogt op een apparaat wel degene is
die daartoe bevoegd is. Dat een groot aantal apparaten op afstand gelijktijdig zou
kunnen worden gehackt, het scenario waar de RDI voor waarschuwt, komt onder andere
door het gebruik van standaardwachtwoorden die niet uniek zijn. Het aanbieden van
draadloos verbonden apparaten die niet voorzien zijn van unieke standaardwachtwoorden
zal onder de nieuwe cybersecurityeisen niet langer zijn toegestaan.
Als gevolg van de herziening van de netwerk- en informatiebeveiligingsrichtlijn (NIB-2)
zullen meer zonnepaneelbedrijven dan nu in de toekomst moeten voldoen aan wettelijke
verplichtingen voor cybersecurity. Deze verplichtingen bestaan uit een meldplicht
voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening
te beperken. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig
zijn van leveranciers. Daarnaast zal de Europese verordening over grensoverschrijdende
cybersecurity in de elektriciteitssector (Netcode) zorgen voor hogere cybersecurity-eisen
aan grootschalig aan te sturen omvormers. De Netcode bevat bindende voorschriften
voor cybersecurity die worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden
worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese
elektriciteitsnet. De Netcode bouwt voort op de cybersecurity-eisen van de radioapparatuurrichtlijn
en de implementatie van de betreffende standaarden, en zal naar verwachting eind 2023
in werking treden.
Voor een robuuste en duurzame energietransitie is niet-storende en cyberveilige apparatuur
essentieel. Voorkomen moet worden dat met de verdere energietransitie storingsvrij
frequentiegebruik ernstig wordt belemmerd en dat de leveringszekerheid van energie
in de toekomst op het spel komt te staan. Bij het toepassen van de betreffende eisen
zijn ook gelijke concurrentievoorwaarden van belang. Het toezicht van de RDI draagt
bij aan het realiseren van deze voorwaarden voor een succesvolle energietransitie.
Gezien de huidige situatie in deze sector is het nu al van belang dat fabrikanten,
importeurs en installateurs hun verantwoordelijkheid nemen en hun producten en ondersteuning
aanpassen om digitale kwetsbaarheden te verminderen. In afwachting van de genoemde
verplichtingen voert de RDI daarom gesprekken met deze partijen om vrijwillig invulling
te geven aan de betreffende eisen. Zo kunnen installateurs bijdragen door bij installaties
gebruikers voor te lichten en hulp te bieden bij beveiligingshandelingen die gebruikers
zelf kunnen uitvoeren. Tot slot blijft het kabinet inzetten op bewustwordingscampagnes
gericht op gebruikers van met het internet verbonden apparaten. De publiekscampagne
«Doe je updates» is hier een voorbeeld van. Daarmee wordt de kans op grootschalige
hacks van zonnepanelen in de nabije toekomst naar verwachting kleiner.
De Minister van Economische Zaken en Klimaat,
M.A.M. Adriaansens
Indieners
-
Indiener
M.A.M. Adriaansens, minister van Economische Zaken en Klimaat