Energieopwek en -opslag spelen zich steeds vaker digitaal af. Bijvoorbeeld door monitoring en aansturing. Daarom is er meer nodig om de veiligheid van zonne-energie- en opslagsystemen te bewaken. Wat die maatregelen zijn, beschrijven Holland Solar en Energy Storage NL in een White Paper.

Ten eerste pleiten de brancheverenigingen ervoor om producten die gebruikt worden voor het beheer van lokale energieopwek en -gebruik als kritieke producten te classificeren in de Europese Cyber Resilience Act. Dat zou dan gelden voor onder andere omvormers, batterijen en energiemanagementsystemen.

“Wanneer producten als kritiek worden geclassificeerd, moeten ze voldoen aan een goedgekeurd, productspecifiek, Europees cyberbeveiligingscertificeringsschema of een beoordeling door een onafhankelijke derde partij ondergaan als een dergelijk certificeringsschema niet bestaat”, leggen Holland Solar en Energy Storage NL uit. Zo’n sectorspecifiek certificeringsschema is er nog niet, maar zou er volgens hen wel moeten komen. Onder andere om duidelijkheid te bieden aan fabrikanten.

Geen toegang buiten EU

Verder zou externe toegang tot energiesystemen beperkt moeten worden. “Toezichthouders moeten toegang op afstand beperken voor entiteiten van buiten de EU, tenzij die gevestigd zijn in veilige jurisdicties met sterke handhaving.” Ook zou het belangrijk zijn dat de IT-infrastructuur die gevoelige data en applicaties host, gevestigd is in de EU of andere veilige landen. Dit wordt wel aangemoedigd, maar volgens de brancheverenigingen zou dit verplicht moeten worden voor zonne-energie en opslagsystemen.

Ook moet de verantwoordelijkheid voor de cyberveiligheid van energiesystemen duidelijker worden verdeeld. “Het moet duidelijk zijn dat de eigenaar van een systeem aansprakelijk is en verantwoordelijk is voor het nemen van passende beveiligingsmaatregelen.” Voor grootschalige energiesystemen zal die verantwoordelijkheid bij de exploitant liggen, voor consumenten zal dat waarschijnlijk moeten worden gedelegeerd aan een andere partij. 

Beheerders van grotere energiesystemen (100 megawatt) worden nu nog niet altijd als zodanig aangemerkt. De brancheverenigingen vragen of dergelijke partijen alsnog kunnen worden aangemerkt als NIS2-entiteit, zodat ze aan bepaalde veiligheidsvoorwaarden moeten voldoen.

De brancheverenigingen vragen ook om de dataveiligheidseisen uit de Net Zero Industries Act toe te passen op subsidies, energieveilingen en publieke inkoop. Dat moet zorgen voor een gelijk speelveld voor energieproducenten en een cyberveilig energiesysteem. Dat zou onder andere inhouden dat partijen moeten kunnen aantonen dat ze gepaste cyberveiligheidsmaatregelen hebben genomen. “Maak dit alles proportioneel en uitvoerbaar, met aandacht voor kosten en implementatie bij kleinere partijen”, concludeert Holland Solar.

Strategische aanpak batterijen

Eind vorig jaar schreef Thierry Aartsen, staatssecretaris Openbaar Vervoer en Milieu, een kamerbrief over de ‘strategische aanpak batterijen 2025’. Daarin zegt hij in 2026 nadrukkelijk aandacht te willen besteden aan cyberveiligheid van batterijsystemen, wegens het groeiend gebruik ervan.

“Er is generieke wetgeving geïmplementeerd en in aankomst waarmee de cyberveiligheid van batterij-energieopslagsystemen zou moeten worden geborgd, zoals de Cyber Resilience Act en de Network and Information Security Directive 2-richtlijn”, schrijft Aartsen en geeft daarbij aan  dat de ministeries van Klimaat en Groene Groei en van Infrastructuur en Waterstaat, verantwoordelijke ministeries, onderzoeken of die wetgeving voldoende is, of dat er aanvullende acties nodig zijn voor de veiligheid van energieopslagsystemen.

Dit is de eerste keer dat in die ‘strategische aanpak batterijen’ expliciet aandacht wordt besteed aan de cyberveiligheid van batterijen, schrijft Energy Storage NL. “Met de toenemende digitalisering en aansturing op afstand worden opslagsystemen onderdeel van het bredere cybersecuritydomein, onder andere via de Cyber Resilience Act en NIS2-richtlijn. Voor ondernemers betekent dit dat cybersecurity niet langer een optioneel IT-thema is, maar een integraal onderdeel van systeemontwerp, aanbestedingen en exploitatie.” Schrijft Energy Storage NL over de ‘Strategische Aanpak Batterijen 2025’.