Rond de jaarwisseling zijn Kamervragen gesteld over de aanbesteding van zo’n 4 miljoen (onderdelen van) slimme meters uit China. Nederlandse netbeheerders kopen gezamenlijk nieuwe meters in, om die volgens de Energiewet 2026 verplicht in alle huizen te installeren. 

Dat Nederland voor belangrijke energie-infrastructuur kiest voor (onderdelen van) niet-Europese producten is, in het kader van de aankomende CRA, opvallend. Deze Europese wet verplicht fabrikanten om vanaf september 2026 problemen met digitale producten te melden. Een jaar later, in december 2027, moeten veiligheidseisen standaard in het ontwerp worden ingebouwd: ‘secure by design’. Uit eerdere ervaringen met (veelal Chinese) omvormers van zonnepanelen zijn belangrijke lessen geleerd. Hoewel het hierbij om andere onderdelen en een andere toepassing gaat dan bij de slimme meters, zijn de vraagtekens over de herkomst vergelijkbaar.

Aanbevolen link:

Tweede Kamer bezorgd over Chinese rol bij nieuwe slimme meters

Weinig invloed

Omvormers vormen de schakel tussen de opgewekte energie en het stroomnet. Ze communiceren met mobiele apparaten en ‘cloud’-systemen. Een digitale aanval op omvormers kan het transport en de productie van elektriciteit goed verstoren. Het gevaar zit ‘m zowel in de software als in de hardware (computerchips). “Een van de belangrijkste kwetsbaarheden in Nederland en Europa is dat wij niet of nauwelijks nationale fabrikanten van omvormers hebben”, vertelt Lenneke Slooff, programmamanager van zonnetoepassingen bij TNO. 

Wereldwijd komen omvormers voor zo’n 80% uit China, met name de merken Huawei en Sungrow hebben een gestage opmars gemaakt in de Nederlandse markt. “Dat betekent niet alleen dat we weinig zicht hebben op wat er precies in de omvormers gebeurt, maar ook dat we weinig invloed hebben op eventuele aanpassingen”, vertelt Slooff. De zogenaamde ‘kill switch’ waarmee je apparaten op afstand aan of uit kunt zetten, is al verboden in Europa. Toch blijft Nederland voorlopig afhankelijk van wat er uit het buitenland wordt geleverd. Ook komt het voor dat de monitoring van zonneparken in handen is van buitenlandse operatie- en onderhoudsbedrijven of internationale ketens. “Dat betekent weer afhankelijkheid van hoe goed zíj beveiligd zijn”, aldus Slooff. Het draait om expertise en goede beveiliging in de hele toeleveringsketen.

Hack detecteren en uitschakelen

Verouderde software of standaard wachtwoorden vormen ook een risico. Die kunnen de omvormers die met het internet zijn verbonden op afstand manipuleren of zelfs uitschakelen. Ook kunnen persoons- en gebruiksgegevens worden onderschept. Zo’n grootschalig cyberincident is nog niet voorgekomen in de zonne-industrie. Dat blijkt uit het rapport Solutions for PV Cyber Risks to Grid Stability NV, van SolarPower Europe (april 2025), de Europese vereniging voor de PV-sector. Al neemt de kans daarop wel steeds meer toe door het snelgroeiende aandeel van zonne-energie in Europa. 

Die risico’s zijn echt reëel blijkt uit verschillende onderzoeken, waaronder die van Secura en de Topsector Energie. Of dat nu gebeurt door criminele hackers met financieel gewin (‘phising’, het beïnvloeden van energiemarkten), of door statelijke actoren op zoek naar disruptie of het versterken van hun machtspositie. “Het is belangrijk dat alle betrokken partijen in de keten gezamenlijk inzichtelijk krijgen wat de risico’s concreet betekenen in de praktijk”, zegt Slooff. “Hoe een hacker bij een omvormer kan binnenkomen en wat precies de effecten daarvan zijn. Maar ook hoe je vroegtijdig een hack kunt detecteren en uitschakelen, om een sneeuwbaleffect te voorkomen.”

Uitdaging voor kleinere partijen

Zonne-energie heeft een steeds grotere maatschappelijke functie en het besef dat dit veilig moet zijn, is volgens Maaike Beenes, branchespecialist cyberveiligheid bij HollandSolar, de afgelopen jaren sterk gegroeid. “De sector is zich goed bewust van de risico’s. Voor fabrikanten is daarbij het vertrouwen in hun producten essentieel. Voor eigenaren van zonneparken en -daken kan één dag uitval financieel al in de miljoenen lopen.”  

De Rijksdienst voor Digitale Infrastructuur (RDI) controleert sinds de zomer of fabrikanten voldoen aan de Europese wetgeving voor cyberveiligheid. Specialisten van de RDI zien in de zonnesector vergeleken met een aantal jaar geleden meer aandacht voor zowel het ecosysteem als geheel, als voor de toeleveringsketens van individuele partijen. Hierbij blijft het een uitdaging om kleinere partijen te bereiken die op minder prominente plekken in de keten zitten, zoals kleinere installatiepartijen.

Ook signaleert de RDI dat opkomende wet- en regelgeving complex is voor vooral het mkb, waar innovatie en productkennis vaak voorop staan en ‘compliance’ veelal een verplichting achteraf is. Beenes herkent dit beeld. “Grote bedrijven kunnen zelf onderzoek doen of eisen stellen aan leveranciers. Kleine bedrijven hebben daar meestal niet de capaciteit voor, terwijl er wel veel op hen afkomt. Daardoor ontstaat een grijs gebied: zij moeten er veel meer op vertrouwen dat de producten waarmee ze werken veilig zijn. Goede wetgeving voor productveiligheid is daarom onmisbaar.”

Geloofwaardigheid

Een andere uitdaging is het kostenplaatje. Het rapport van SolarPower Europe benadrukt de sterke marktwerking in Europa, waardoor kosten en commerciële belangen het vaak winnen van (cyber)veiligheid.Al is goed denkbaar dat voldoen aan de nieuwste cyberwetgeving binnenkort een belangrijk pluspunt wordt op de markt, zoals dat jaren geleden gebeurde met brandveiligheid.  

“Geloofwaardigheid is natuurlijk essentieel”, zegt Beenes. “Voor fabrikanten is het belangrijk dat er vertrouwen is in hun product. Voor ontwikkelaars, installateurs en partijen in onderhoud en beheer die zich willen onderscheiden op dit vlak, moet er ook aan de vraagkant iets veranderen. Alle partijen die zonne-energie-installaties willen laten plaatsen, zouden cyberveiligheid moeten bespreken en bijvoorbeeld meenemen in de tendervoorwaarden.”

Proactieve maatregelen

Beenes ziet dat de sector proactief maatregelen neemt. “Fabrikanten voeren bijvoorbeeld zelf pentesten uit; ze simuleren een cyberaanval om te zien of hun eigen product of dienst te hacken is. En binnen de wetgeving van CRA vragen wij om de hoogste standaarden voor omvormers. We willen dat deze onder de ‘kritieke producten’ gaan vallen, wat betekent dat ze onafhankelijk zijn en niet door de fabrikant zelf worden beoordeeld.”

SolarPower Europe gaat zelfs nog een stap verder. Hoewel de CRA een groot deel van de cyberrisico’s zal mitigeren, ziet de Europese branchevereniging het liefst cybermaatregelen specifiek voor de energiesector. En dan met name voor zonne-energie, omdat die in toenemende mate digitaal is gestuurd.
Voor de eindgebruiker die al zonnepanelen op de daken heeft liggen geldt: cybermaatregelen hoeven niet per se heel complex te zijn. Soms is het eenvoudig veranderen van een standaard wachtwoord of het inschakelen van ‘tweefactorauthenticatie’ al voldoende om de belangrijkste kwetsbaarheden aan te pakken, net als bij andere digitale producten.