Verslag vergadering Commissie voor Leefmilieu, Natuur, Ruimtelijke Ordening en Energie
Verslag
De heer Bothuyne heeft het woord.
We willen niet alleen meer zonnepanelen, we willen ook dat dat allemaal op een veilige manier gebeurt, minister. Dat is een discussie die enerzijds komt aanwaaien vanuit Europa, omdat daar wel wat wetgevend werk in voorbereiding is rond cybersecurity dat een impact kan hebben op de manier waarop we zonnepanelen en omvormers installeren. Maar ze komt er ook naar aanleiding van een onderzoek door de Rijksinspectie Digitale Infrastructuur van de Nederlandse overheid, de Nederlandse communicatieregulator, die vorige week aan de alarmbel trok. Zij geven aan dat er in Nederland heel wat omvormers zijn die gevoelig zijn voor hacking, en niet aan de normen rond cyberbeveiliging voldoen. Er is ook te weinig communicatie en sensibilisering gebeurd naar gebruikers, naar mensen met een omvormer in huis, en over hoe ze dat op een veilige manier kunnen doen. Er zijn ook problemen met een aantal aangeleverde omvormers, voor wat betreft hun functionaliteit en veiligheid. De risico’s op hacking zouden daar groot zijn.
In Nederland heeft men daartoe een stuk wetgeving en een bepaalde actie in het leven geroepen om de veiligheid te garanderen voor klanten, voor eigenaars van omvormers.
Minister, hoe schat u dat risico in Vlaanderen in?
Werden hierover reeds acties of adviezen geformuleerd?
Zijn er ervaringen met hacking via omvormers gekend in Vlaanderen? In Nederland zijn er een paar tientallen meldingen per jaar van problemen rond cybersecurity via omvormers. Zijn daar lessen uit getrokken?
Op welke manier gaan we die cybersecurity bij de installatie van omvormers in Vlaanderen verzekeren? Wordt er een informatiecampagne in het leven geroepen? Wordt er gewerkt aan een kwaliteitscharter bij groepsaankopen voor zonnepanelen, zodat we daar altijd garanties kunnen bieden op veilig materiaal?
Minister Demir heeft het woord.
Net als bij alle andere toestellen die verbonden zijn met het internet, bestaat er een risico dat ook deze toestellen worden gehackt. De eerste en belangrijkste maatregel die eenieder kan nemen, is om de standaardgebruikersnaam en het wachtwoord te wijzigen naar een persoonlijke gebruikersnaam en wachtwoord – en het liefst iets complexer dan de naam van je zoon of dochter of je geboortedatum.
Wetgeving met betrekking tot cyberveiligheid heeft voor een groot deel een Europese oorsprong. Zo werkt de Europese Unie aan een aantal initiatieven, die ook aangenomen zijn en in België werden omgezet. De FOD Economie is ook de betrokken administratie voor de identificatie, normering en toezicht op de sectoren Energie en Digitale Dienstverleners onder de NIS-wet (Network and Information Security).
Richting ondernemingen heeft de Vlaamse Regering een Vlaams Beleidsplan Cybersecurity uitgewerkt, met allerlei acties rond bewustmaking en opleiding bij zowel bedrijven als bij de brede bevolking. Hiervoor slaan het Agentschap Innoveren en Ondernemen (VLAIO) en het departement Economie de handen in elkaar, samen met VDAB, Syntra en de hogeronderwijsinstellingen.
In het Flexibiliteitsplan 2025 dat de Vlaamse Regering eind vorig jaar goedkeurde, werd een actie voorzien om cybersecurity en privacy in de energiesector hoog op de agenda te plaatsen.
Het Vlaams Energie- en Klimaatagentschap (VEKA) gaat ook in overleg met de Cyber Security Coalition, Beltug en relevante departementen binnen de Vlaamse overheid om een goed beeld te krijgen van de reeds lopende acties, waarbij het VEKA zich mogelijk kan aansluiten of bewustwording rond kan creëren. Op basis van de resultaten van dit overleg evalueert het VEKA ook welke maatregelen er verder moeten worden genomen.
Naast het rapport van de Nederlandse Rijksinspectie Digitale Infrastructuur, dat inderdaad in de pers is geweest, zijn mij op dit moment geen andere adviezen gekend. Wel is het zo dat omvormers enkel kunnen worden geïnstalleerd mits homologatie. In België verloopt dat via Synergrid. Hierin sturen de netbeheerders onder andere aan op hardwarematige beveiliging van omvormers.
Voorts moeten eigenaars en fabrikanten van productie- en afname-installaties de nodige maatregelen nemen op technisch, organisatorisch en menselijk vlak. Daaronder vallen ook maatregelen ter beveiliging van hun eigen installatie, zoals cybersecurityrisico’s en controlemaatregelen die beschreven zijn in ISO 27002 en NIST 800-53.
Er zijn mij en de sector – zo zegt men mij – geen ervaringen gekend met betrekking tot hacking van zonnepanelen.
Het rapport van de Rijksinspectie Digitale Infrastructuur doet ook zelf een aantal aanbevelingen. De fabrikanten zijn natuurlijk verantwoordelijk voor de conformiteit van hun producten, maar de gebruiker kan zelf ook problemen voorkomen. Zo kun je bijvoorbeeld de aanwezigheid van de verplichte CE-markering (Conformité Européenne) van het apparaat controleren; sterke en unieke wachtwoorden gebruiken; standaardwachtwoorden direct wijzigen; regelmatig apparaten controleren op updates; apparaten via een gastnetwerk verbinden met wifi; tweefactor-authenticatie inschakelen, waarbij twee beveiligingsstappen worden gebruikt, bijvoorbeeld een wachtwoord en een code per sms. Je kunt ervoor kiezen om apparaten niet met het internet te verbinden, als dit niet nodig is, en je kunt kritisch nadenken of het nodig is om bepaalde gegevens te verstrekken.
Ik zal aan het VEKA en aan de administratie vragen om te bekijken hoe we de aanbevelingen die ik net heb meegegeven, breed kunnen opzetten naar zonnepaneleneigenaars toe. Zo krijgt men toch de reflex dat men attent moet zijn voor deze vorm van hacking. Dat geef ik mee aan de administratie.
De heer Bothuyne heeft het woord.
Het is goed dat u ook hier de vinger aan de pols houdt, en dat het VEKA in overleg gaat met alle betrokkenen. Ik heb misschien nog de vraag naar de timing van de uitkomst van dat overleg. Wanneer mogen we daar iets van verwachten?
Ik heb nog twee suggesties. Ik denk dat heel weinig mensen daar actief mee bezig zijn. Op het moment dat zij zonnepanelen plaatsen, zijn ze gewoon blij dat die dingen werken en stroom opleveren. Misschien kunnen we, op het moment van de aanmelding van de installatie, via de communicatie die op dat moment gebeurt vanuit Fluvius, ook wijzen op de risico’s die er zijn, en misschien ook op de good practices van bijvoorbeeld het wijzigen van het wachtwoord. Op die manier kunnen we risico’s gaan vermijden. Zo kunnen we die aanmeldingsprocedure als aanknopingspunt gebruiken om communicatie te doen rond de cyberveiligheid van de omvormers en de hele installatie.
Ik had er vorige week ook al naar verwezen dat er een paar jaar geleden een kwaliteitscharter was voor groepsaankopen. Daar zijn bijvoorbeeld heel wat provincies nog altijd mee bezig. Ik weet niet in hoeverre dat kwaliteitscharter op dit moment nog opgevolgd wordt, maar misschien is het ook een idee om bijvoorbeeld de CE-keuring en dergelijke meer op te nemen als elementen van kwaliteit en als good practice bij het organiseren van groepsaankopen. Zo kunnen minstens mensen die via die weg zonnepanelen laten installeren, zeker zijn dat ze veilige installaties krijgen.
Minister Demir heeft het woord.
Ik vind het een goede suggestie om inderdaad de aanmeldingsprocedure bij Fluvius hiervoor te gebruiken. Dat is een goed idee. En wat het overleg betreft, hoop ik dat we dat tegen het zomerreces wel kunnen opstarten.
De heer Bothuyne heeft het woord.
Bedankt, wordt vervolgd.
De vraag om uitleg is afgehandeld.