Vanaf 1 augustus is een verscherping van de Radio Equipment Directive (RED) van kracht gegaan. Hiermee worden eisen gesteld aan de cyberveiligheid van radio-apparatuur, waaronder ook de omvormers van zonnepanelen. Wat deze wet precies inhoudt en wat het betekent voor de zonnepanelen vertelt Sander de Graaf, coördinerend adviseur productveiligheid bij de Rijksinspectie Digitale Infrastructuur (RDI).

Zonnepanelen zijn steeds vaker verbonden met het internet. Dat biedt mogelijkheden, bijvoorbeeld om jouw stroomopwek in te zien of slim aan te sturen, maar het kan ook gevaren met zich meebrengen. Want met een onveilige verbinding met het internet bestaat het risico dat persoonsgegevens op straat komen te liggen, dat er storingen plaatsvinden of zelfs dat een zonnesysteem gehackt wordt.

De Europese Radio Equipment Directive (RED), ook wel Radioapparatuurrichtlijn genoemd, moet dat voorkomen. De wet bestaat al langer, maar krijgt een ‘cybersecurity-update’ waarmee de persoonsgegevens van consumenten beter beschermd worden en betere bescherming tegen fraude wordt geboden.

Sander de Graaf legt uit dat de RED eigenlijk alle radio-apparaten omvat, dus apparaten die verbinding maken met bijvoorbeeld wifi, bluetooth of 5G. Daar bestaan al langer regels voor, en daar houdt de RDI ook al toezicht op, maar per 1 augustus zijn er cyberveiligheids-eisen toegevoegd. De RDI adviseert over de wet- en regelgeving omtrent digitale veiligheid en houdt ook toezicht op de naleving van deze regels.

“Wat deze wet doet is echt de bescherming van het apparaat zelf”, vertelt De Graaf. Het gaat dus niet over gegevens die een apparaat wel of niet mag verzamelen, maar over de manier waarop een apparaat zelf beschermd is. De wet stelt eisen over veiligheid, fraude en de bescherming van persoonsgegevens. Bij zonnepanelen gaat het met name om die persoonsgegevens.

Om wat voor informatie dat precies gaat, verschilt erg per fabrikant, zegt De Graaf. Het kan bijvoorbeeld gaan om slechts een aan en uit knop van de omvormer, maar het kan ook zijn dat de omvormer gegevens verzamelt over GPS locaties, of over de momenten waarop bewoners wel of niet thuis zijn, dan is het alweer een ander verhaal. “Daarom is het echt van belang dat fabrikanten zelf even kijken welke gegevens zij verwerken.”

Om dat soort persoonsgegevens te beschermen worden vanuit de RED ‘minimale hygiëne-eisen’ gesteld. Omvormers van zonnepanelen moeten bijvoorbeeld altijd een wachtwoord hebben, en een fabrikant mag geen standaard wachtwoord mee gebruiken voor alle omvormers. Ook moeten fabrikanten basismaatregelen hebben genomen die zorgen dat derden via een apparaat niet zomaar bij de persoonsgegevens van consumenten kunnen komen.

De Graaf: “Wat de RED verwacht van jou als fabrikant is dat jij een basaal niveau van cybersecurity toepast op je product. Dan hebben we het erover dat er een wachtwoord op zit, een versleuteling op je netwerkverbinding, en geen kwetsbaarheden op het moment dat jij het apparaat verkoopt.”

CE-markering

Dit betekent in de praktijk dat er vanaf 1 augustus in de EU alleen nog maar zonnepanelen verkocht mogen worden die aan de RED voldoen. Dat kan herkend worden aan de CE-markering op een apparaat. Hiermee geeft de producent, leverancier of importeur aan dat het product voldoet aan de geldende  regelgeving.

De Graaf: “Wat ik altijd kan aanbevelen aan consumenten, is om de installateur uit te dagen ‘wat zijn ze eigenlijk aan het doen?’. Vaak hebben zij ook een account, beveiligen ze dat goed? Hebben ze bijvoorbeeld niet hetzelfde wachtwoord voor jouw zonnepaneel als voor de buren? Daag ze een beetje uit, zodat ze ook inzicht geven in hoe ze ermee omgaan.”

Zo kan je  als consument checken of een installateur inderdaad goed omgaat met cyberveiligheid en of het een serieuze partij is die je kan inschakelen als er toch iets aan de hand is. Uiteindelijk gaat het om jóúw persoonsgegevens en om kwaadwillenden (die bijvoorbeeld jouw omvormer aan of uit wil zetten) buiten de houden. Dus is het helemaal niet gek om dat even te checken, vindt De Graaf.

PV-markt pakt het goed op

Eerder onderzoek van de RDI liet zien dat geen van de onderzochte negen typen omvormers aan de (toenmalige) cybersecurity eisen voldoen. Een vergelijking met dat onderzoek uit 2023 is echter lastig te trekken, omdat eenzelfde onderzoek niet is uitgevoerd. “We hebben niet exact naar deze producten opnieuw onderzoek gedaan. Er is natuurlijk daarna wel contact geweest met diverse fabrikanten. We zien wel dat het serieus opgepakt wordt.”

De RDI houdt er toezicht op dat alle nieuwe zonnepanelen aan de regels voldoen. “Onze eerste signalen zijn dat de markt het goed heeft opgepakt en dat hier aandacht voor is. En wat we ook zien in het geval van de PV-sector is dat zij zelf de afgelopen paar jaar een impuls hebben gekregen, van binnenuit ook, om daarmee aan de slag te gaan. Er is natuurlijk veel aandacht voor geweest, je ziet daar het besef dat het beter moet en het aandacht geniet en dat vinden we mooi.”

Of het voldoen aan de RED een grote verandering is voor fabrikanten, hangt ervan af hoe serieus ze cyberveiligheid al namen, zegt De Graaf. “Ik denk dat ieder bedrijf dat zijn cybersecurity al op orde had zich niet zoveel zorgen hoeft te maken.” Voor die bedrijven is het vooral een kwestie van het op orde brengen van de documentatie die laat zien dat ze aan de wet voldoen. “Er zullen partijen zijn voor wie het een grote verandering is. Maar in dat geval is het ook wel terecht dat ze aan de bak gaan, want dan was het ook echt nodig.”

De RED gaat over apparatuur die nu verkocht wordt, omvormers die eerder zijn geïnstalleerd vallen niet onder de verplichting. “Ik heb ook de goede hoop dat veel aanpassingen ook software matig opgelost kunnen worden. Dus dat fabrikanten die vanaf 1 augustus 2025 zonnepanelen leveren die aan de wet voldoen, ook beveiligingsmaatregelen uit gaan rollen voor consumenten die dat willen naar bestaande producten die al op daken liggen. Ik heb de hoop dat fabrikanten dat doen, maar het is geen verplichting”, aldus De Graaf.

“Een product dat niet voldoet aan wet- en regelgeving mag niet verkocht worden. Dat is heel simpel. Deze eisen zijn niet met terugwerkende kracht van toepassing, maar alleen voor producten die vanaf 1 augustus verkocht worden. Op het moment dat je niet voldoet aan de regelgeving mag het product niet verkocht worden. En in de praktijk zal de vraag zijn hoe groot de overtreding is, of er een significant probleem is of een acuut onveilig product, dan kan je in het ergste geval gedwongen worden het product teruggeroepen worden. Maar gelukkig kan met dit soort apparatuur het probleem vaak verholpen worden met een software update.”

Verdere verbetering cyberveiligheid

Ondertussen komt er ook alweer nieuwe wetgeving aan, die nog een stapje verder gaat. Waar de RED puur naar het apparaat zelf kijkt, beslaat de De Cyber Resilience Act (CRA) bijvoorbeeld ook de cloudomgeving van een fabrikant, apps die bij een omvormer horen en andere software.  Consumenten moeten nu zelf zorgen dat ze die online omgevingen goed beveiligen. Vanaf 11 december 2027 valt dat onder de verantwoordelijkheid van de fabrikant.