De Europese energie-infrastructuur staat onder toenemende druk door cyberaanvallen van zowel criminele als statelijke actoren. Waar voorheen vooral grootschalige energiecentrales het doelwit waren, verschuift de dreiging nu richting gedistribueerde energiebronnen zoals zonnepanelen op daken van woningen en bedrijven. Deze installaties zijn kwetsbaarder dan gedacht en onvoldoende beschermd onder bestaande wet- en regelgeving.
Met de opmars van hernieuwbare energie, in het bijzonder zonne-energie, groeit de rol van zogenoemde distributed energy resources (DER). Volgens de EU Energy Security Strategy en het RePowerEU-plan is deze decentralisatie essentieel voor meer energieonafhankelijkheid. Maar deze verschuiving brengt ook nieuwe kwetsbaarheden met zich mee. Veel PV-installaties zijn niet geclassificeerd als kritieke infrastructuur en vallen daardoor buiten de strenge beveiligingsvereisten die gelden voor grote nutsbedrijven.
Zonne-energie
De recente uitbreiding van wetgeving, zoals de NIS2-richtlijn en de Network Code on Cybersecurity (NCCS), richt zich voornamelijk op traditionele netwerken. Apparatuur zoals zonnepanelen werkt echter meer als Internet-of-Things (IoT) dan als klassieke energie-infrastructuur. Beveiligingsverantwoordelijkheid ligt nu vaak bij eindgebruikers zoals particulieren of kleine bedrijven, terwijl fabrikanten en installateurs vaak op afstand toegang hebben zonder duidelijke verplichtingen.
Hoewel grootschalige aanvallen op zonne-infrastructuur nog zeldzaam zijn, waarschuwen experts dat dit kan veranderen. Simulaties tonen aan dat een gecoördineerde aanval op slechts 3 GW aan PV-capaciteit al grote gevolgen kan hebben voor de Europese stroomvoorziening. Aangezien enkele fabrikanten samen verantwoordelijk zijn voor veel grotere vermogens, is de dreiging reëel.
Cybersecurity
Om de cybersecurity binnen de zonne-energiesector te verbeteren, pleit een recent rapport voor een sectorspecifiek beveiligingskader. Dit moet onder meer richtlijnen bevatten voor preventie, detectie, reactie en herstel bij aanvallen. Daarnaast wordt aanbevolen om externe, niet-Europese toegang tot kritieke systemen te beperken en certificeringstrajecten voor apparatuur te verscherpen.
Beleidsmakers worden opgeroepen om snel werk te maken van deze aanbevelingen, onder meer via de NCCS. Alleen met een geharmoniseerde aanpak kan Europa de veerkracht van haar energiesysteem versterken tegen de cyberdreigingen van morgen.