Aandacht voor cybersecurity in Belgische hernieuwbare energiesector groeit
Terug
Cybercrime neemt wereldwijd toe. Tegenwoordig zijn digitale aanvallen op consumenten, bedrijven, wetenschappelijke instellingen en overheden dagelijkse kost. Ook de Belgische hernieuwbare energiesector moet zich hiertegen wapenen. Maar gebeurt dit genoeg? "Veel PV-installaties en batterijsystemen zijn onvoldoende beveiligd. Maar de aandacht neemt toe, met name door nieuwe Europese wetgeving”, schetst Vincent Haerinck, consultant energie en industrie bij het Antwerpse cybersecuritybedrijf Toreon.
Haerinck zich onder meer bezig met de implementatie van de Europese richtlijn NIS2 bij klanten. Als business developer volgt hij tevens marktontwikkelingen op het gebied van digitale veiligheid, zoals regelgeving, governance, dreigingsbeelden en technologische oplossingen. Hij benadrukt het belang hiervan richting de energiemarkt, bijvoorbeeld via Flux50, het energiespeerpuntcluster van de Vlaamse overheid.
Kritieke systemen
Daarnaast is Vincent Haerinck ook actief als voorzitter van de Operational Technology (OT) Focus Groep binnen de Belgian Cyber Security Coalition (BCSC).
“Daar ligt mijn focus op hardware en software die direct gekoppeld is aan de fysieke wereld, zoals systemen die data verzamelen, communiceren en installaties of processen aansturen. Ook op dit vlak is cybersecurity een uitdaging, zeker omdat delen van bepaalde installaties vaak al decennia in gebruik zijn, bijvoorbeeld in gas- en waterkrachtcentrales uit de jaren zeventig.”
Energie kwetsbaar
Hoe ernstig is de digitale dreiging voor de traditionele en hernieuwbare energiesector? Haerinck noemt allereerst centrale productie-installaties als aantrekkelijke en logische targets. Dat stellen we momenteel ook vast in Oekraïne. Wanneer deze uitvallen, raakt dat direct een significant deel van de nationale energievoorziening.
“Nucleaire installaties besteden traditioneel veel aandacht aan veiligheid, ook op het vlak van een IT‑aanval. Bij gedistribueerde energiesystemen, zoals PV-installaties, is dat minder het geval, maar ook die kunnen een doelwit zijn. De impact van een aanval is echter beperkter en het herstel normaliter eenvoudiger. De praktische keuze is de weg van de minste weerstand en maximaal effect. Maar aanvallen op onze decentrale energieproductie zijn zeker een reëel scenario, hoewel we nog geen weet hebben van concrete gevallen”, geeft Haerinck aan.
Waar schuilt de dreiging?
De gebruikelijke verdachten, namelijk buitenlandse mogendheden, zijn absoluut geïnteresseerd in de kwetsbaarheid van Belgische en meer algemeen de Europese energievoorziening, stelt Haerinck. Ze verzamelen actief informatie, bijvoorbeeld over de stabiliteit van het elektriciteitsnet, ook als er nog geen concrete plannen voor een aanval zijn. Dat kan bijvoorbeeld via dataverzameling bij PV-installaties of door in te breken bij een netbeheerder.
“Zodra dergelijk lek aan het licht komt, wordt het vanzelfsprekend snel gedicht. Ook criminele organisaties zijn mogelijke daders, maar voor hen staat een snelle return on investment centraal, bijvoorbeeld via digitale gijzelingen of datadiefstal. Ook zij zoeken de ‘easy way in’, meestal via kwetsbare apparaten, zoals printers of koffiezetapparaten (typische slecht beveiligde IoT-toestellen). Ook PV-installaties en batterijen behoren tot die groep, want deze zijn steeds vaker geconnecteerd”, waarschuwt Haerinck.
Binnendringen vaak makkelijk
Dikwijls zijn PV- en opslagsystemen onvoldoende beveiligd, stelt Haerinck. Hij wijst daarbij op Shodan, een zoekmachine voor internetverbonden apparaten, waarin technische gegevens te vinden zijn, zoals softwareversies, de status van gateways en de systeemconfiguraties.
“Zoek daar in de categorie Industrial Control Systems en je vindt tal van IoT-apparaten van duurzame energiesystemen, zoals Programmable Logic Controllers (PLC’s) en omvormers, die via het internet communiceren. Vaak zijn de standaardwachtwoorden nog steeds actief, waardoor de toegang eenvoudig is.”
Verantwoordelijkheid doorschuiven
De Belgische hernieuwbare energiesector mag het belang van cybersecurity wel inzien, maar in hoeverre leidt dit tot actie? Haerinck merkt dat er naar elkaar wordt gewezen: de installateur kijkt naar de fabrikant, de fabrikant naar de eigenaar, die op zijn minst een sterk wachtwoord zou moeten instellen. Eigenaren van PV-installaties, opslaginstallaties en slimme laadpalen gaan ervan uit dat installateur en fabrikant alles goed hebben geregeld. Er zijn dus misplaatste verwachtingen aan alle kanten.
NIS2
Europa zit niet stil op het gebied van digitale veiligheid en introduceerde een nieuwe regelgeving gebaseerd op een shared responsibility-model. NIS2 verplicht organisaties in kritieke sectoren zoals hernieuwbare energie om cybersecurity te organiseren, inclusief meldplicht bij incidenten, risicobeheer en strengere toezicht- en sanctieregels. De Cyber Resilience Act (CRA) legt fabrikanten en leveranciers van digitale producten regels op voor veilig ontwerp, productie en updates om kwetsbaarheden te beperken.
“NIS2 schrijft geen specifieke maatregelen voor”, aldus Haerinck. “Maar ze verplicht middelgrote en grote organisaties wel stil te staan bij concrete thema’s omtrent digitale veiligheid. CRA is technologisch dwingender. Maar deze wetgeving brengt vooral het gesprek over cybersecurity op gang en zorgt dat cruciale vragen worden gesteld en daadwerkelijk worden beantwoord.”
Kleine installeurs vinden het minder prioritair
Haerinck noemt Europees beleid de belangrijkste motor achter cybersecurity in de Belgische hernieuwbare energiesector. Maar kunnen alle betrokkenen daar wel in mee? Grotere partijen moeten wel, ook omdat hun klanten hen gaan vragen aan te tonen dat ze voldoende veiligheid bieden. Voor kleinere installateurs geldt echter dat hun capaciteit beperkt is, waardoor de focus eerder op het uitvoerende werk ligt.
“Het opzetten van een cybersecurity-raamwerk staat bij hen dus niet bovenaan de agenda”, zegt Haerinck. “Brancheorganisaties, zoals PV Vlaanderen en ODE, die steeds meer aandacht voor digitale veiligheid vragen, kunnen hier echter wel in voorzien. Daarnaast is er natuurlijk het Centrum voor Cybersecurity België (CCB), dat onder meer optreedt als centraal meld- en coördinatiepunt voor cybersecurityincidenten in België en organisaties bijstaat op het gebied van preventie, reactie en naleving.”
Veranderend risicoprofiel
Het energiesysteem is sterk in beweging. Zo is er de opkomst van talrijke nieuwe partijen die actief op flexibiliteit van energiesystemen sturen. Er worden ook steeds meer energiemanagementsystemen op de markt gebracht voor optimalisatie achter de meter. Daarmee verandert het risicoprofiel omtrent digitale veiligheid.
“Bovendien voldoen ze niet allemaal aan de strengste cybersecurity-eisen”, vertelt Haerinck. Daarnaast noemt hij O&M-partijen als speciale doelgroep. Het is een interessant doelwit omdat ze vaak vele megawatts aan PV- en opslagsystemen onder beheer monitoren en aansturen.
Bewust zijn van gevaar
“Volledige digitale veiligheid bestaat niet, ook in de hernieuwbare energiesector. Maar neem het wel serieus. Stel vragen, verdiep je in de materie en overleg met collega’s en experts. Wat verwacht de wetgever, wat eisen de klanten en welke acties kan je ondernemen? Cybersecurity is een doorlopend proces: het vraagt blijvende aandacht, samenwerking en een proactieve aanpak. Wie nu de juiste stappen zet, zorgt voor veiligere installaties, versterkt het vertrouwen van het cliënteel en werkt mee aan een weerbaar energiesysteem”, besluit Haerinck.
